Bob

Chief Security Architect, RSA

Sicherheit und Datenschutz ausbalancieren mit Hilfe der Advanced Cyber Defense Strategy

In seiner programmatischen Rede an der RSA Conference Europe 2013  zeichnete Art Coviello, Executive Chairman von RSA, ein ernüchterndes Bild von den Herausforderungen, mit denen Experten für  Cyber-Sicherheit konfrontiert sind. Wir beobachten eine ständige Zunahme der Komplexität und Häufigkeit von Cyber-Attacken. Angriffsflächen werden größer, vor allem durch die massenhafte Verbreitung von Apps, digitalen Inhalten, mobilen Geräten und virtualisierter Infrastruktur. Die bereits vorhandenen Sicherheitsmaßnahmen, vor allem die, welche sich auf die Verteidigung der Außengrenze (Perimeter)  konzentrieren, sind zunehmend ineffektiv und irrelevant für Organisationen, die beweglichere, standortübergreifende Geschäftsmodelle benutzen.

Angesichts dieser Herausforderungen hat RSA eine neue Strategie für Advanced Cyber ​​Defense entworfen, welche mittels  Datenanalyse auf die Herausforderungen reagiert. Viele der RSA-Experten haben  über diese Strategie geschrieben und gesprochen. Das Thema erscheint  unter anderem in einem neuen Blog von Demetrio Milea; in einem Interview, das ich kürzlich in Österreich gab; in den Redebeiträgen der RSA Conference Europe – insbesondere im Votum von Amit Yoran; und in einer Reihe sehr aufschlussreicher Blogs über Gradmesser der Gefährdung (indicators of compromise) von meiner Kollegin Rashmi Knowles . Wie Rashmi in ihrem neuesten Blog schreibt:  “Unternehmen MÜSSEN den Überblick über ihren ganzen Geschäftsbereich behalten.” Ein umfassender Durchblick , gepaart mit einer effektiven Sicherheitsanalytik, angereichert mit Sicherheitsintelligenz aus einem möglichst breiten Sortiment von Quellen und integriert mit der Unternehmensführung, Risikomanagement und Störfall-Management, steht im Zentrum der Advanced Cyber Defense Strategie.

Aber manchmal melden sich bei einer so umfassenden Transparenz Bedenken zur Schnittstelle von Sicherheit und Privatsphäre. Stehen sie im Widerspruch? Verletzt eine wirksame Cyberstrategie den Schutz der persönlichen Daten? Das genau ist die zentrale Frage in einem sehr wichtigen Bericht von KPMG Deutschland, der  im Oktober dieses Jahres veröffentlicht wurde.

Der Bericht für EMC Deutschland GmbH verfasste Bericht besagt, dass “effektive Sicherheitsüberwachung, die als Grundlage für die Aufdeckung, Untersuchung und Reaktion dient, ist zum Schlüssel  der Verteidigung gegen komplexe Bedrohungen geworden. ” Aber steht diese Sichtbarkeit im Konflikt mit dem Datenschutz? Der Bericht kommt zum Schluss, dass mit der Advanced Cyber ​​Defense Strategie, die durch RSA Security Analytics propagiert wird, “ein Gleichgewicht zwischen der Privatsphäre und der Fähigkeit einer Organisation, sich gegen Angriffe zu schützen, gefunden werden kann.” Der Bericht beschreibt drei Anwendungsfälle, in denen die Sicherheitsüberwachung und Analytik “in Übereinstimmung mit den Datenschutz- und Telekommunikationsgesetzen in Deutschland und Frankreich durchgeführt werden können“. Er erklärt dann, wie diese Fallbeispiele  in der gesamten Europäischen Union Geltung haben können, wenn Organisationen die angemessene Sorgfalt  (“due care“) festzuschreiben versuchen, die Sicherheit und Datenschutz ausbalanciert.

In seiner Grundsatzrede  an  der RSA Conference Europe, verwendete Art Coviello die Analogie von zwei Magneten, um die Beziehung zwischen Sicherheit und Privatsphäre zu illustrieren. Wenn die Magneten richtig  ausgerichtet sind, sagte er, dann werden sich die Anliegen der Sicherheit und der Privatsphäre sich gegenseitig stärken und unterstützen, so wie korrekt ausgerichtete Magneten sich anziehen und nicht etwa abstossen. Der Bericht von KPMG ist äußerst wertvoll, um zu zeigen, wie Unternehmen diese Ausrichtung  zwischen Sicherheit und Privatsphäre bewerkstelligen können. Auf diese Weise können sie sich eine  wirksame Strategie für Advanced Cyber Defense zu Eigen machen.