In der digitalen Welt sind Daten der neue Rohstoff. Die Datenströme sind inzwischen jedoch so endlos geworden, dass Unternehmen sie in Datenspeicher ablegen müssen, ohne genau zu wissen, wie wertvoll diese Daten eigentlich sind. Das Ziel ist, mit den ausgewerteten Daten die eigene Leistungsfähigkeit zu erhöhen, bestehende Geschäftsmodelle zu optimieren oder aber gänzlich neue zu entwerfen.
Der Autor: Thorsten Krüger ist Regional Director DACH, CEE, CIS bei Thales
(Bild: Thales)
Mit der stetigen Zunahme der Daten wächst auch die Größe und die Nachfrage nach diesen Repositories mit jedem Tag exponentiell. Unternehmen stehen dabei verschiedene Arten von Repositories zur Speicherung großer Datenmengen zur Verfügung. Laut einem Bericht von Domo aus dem Jahr 2018 werden täglich etwa 2,5 Exabytes (ein Exabyte entspricht einer Trillionen Bytes) an Daten generiert, viele davon sensible Geschäftsdaten. Für das Jahr 2020 wird sogar damit gerechnet, dass für jeden Menschen auf der Erde ca. 1,7 Megabyte Daten pro Sekunde generiert werden. In Anbetracht dieser enormen Datenmenge ist es für Unternehmen schwierig, ihre Daten zentral und organisiert zu speichern. Bis zu dem Zeitpunkt, an dem sie eine nachhaltige, konkrete Lösung finden, entscheiden sich viele Organisationen für die Speicherung der Rohdaten in einem Ist-Format in zentralisierten Repositories, die allgemein als „Data Lakes“ bekannt sind.
Data Lakes sind Storage Repositories, die entweder lokal oder in der Cloud abgelegt werden. Dort werden sowohl strukturierte als auch unstrukturierte Daten zur späteren Verwendung gespeichert.
Diese Data Lakes speichern sowohl relationale Daten wie operative Datenbanken und Daten aus branchenspezifischen Anwendungen als auch nicht-relationale Daten z. B. aus mobilen Anwendungen, IoT-Geräten und sozialen Medien. Durch Crawling, Katalogisierung und Indexierung geben sie Unternehmen die Möglichkeit, die Art von Daten zu verstehen, die zu einem bestimmten Zeitpunkt verfügbar sind.
Sie funktionieren wie der Wasserkörper, nach dem sie benannt sind – Natural Lakes (Natürliche Seen), die ungefiltertes Wasser enthalten, das verarbeitet werden kann, um es trinkbar zu machen. So wie Wasser eine kostbare Ressource ist, so sind auch die in Data Lakes gespeicherten Daten von unschätzbarem Wert. Deshalb müssen Schutzmaßnahmen ergriffen werden, um sie zu erhalten und zu konservieren. Hier werden viele unstrukturierte Daten im Rohformat gespeichert, darunter Text, Video, Audio, mobile Aktivitäten, Aktivitäten in sozialen Medien, Geotag-Standorte und vieles mehr. Dies sind sensible Daten, die verschlüsselt werden müssen.
Schutz der Data Lakes vor Kontaminierung
Die Daten müssen deshalb beim Dateneingabeprozess und bei der Datenspeicherung abgesichert werden. Genauso wie exponiertes Wasser in einem See anfällig für Verunreinigung (und Missbrauch) ist, drohen den ungefilterten sensiblen Rohdaten in Data Lakes in Ermangelung starker Schutzmechanismen unmittelbare Gefahren durch Lecks, Sicherheitsvorfälle und Diebstahl. Wenn es um den Schutz sensibler Daten in Data Lakes geht, gelten „unbefugter Zugriff“ und „Datendiebstahl“ weithin als die beiden größten Sicherheitsherausforderungen.
Die Verschlüsselungsschlüssel und die Zugriffsrichtlinien müssen getrennt von den Anwendungseigentümern auf einem FIPS 140-2-konformen, vollautomatischen externen Schlüsselmanager verwaltet werden. So wird die Aufgabentrennung gewährleistet und sichergestellt, dass die Verschlüsselungsschlüssel von den Datenschlüsseln getrennt sind und der Best Practice und den DSGVO-Anforderungen entsprechend behandelt werden. Die Verschlüsselungsschlüssel werden aus externen, nach FIPS 140-2, Stufe 3 zertifizierten Lösungen (neuester PKS-Standard) generiert.
Das Bedrohungspotenzial
Hier gilt es zunächst zwei Perspektiven einzunehmen, die eines externen und die eines internen Akteurs.
Externe Perspektive: Dies sind laufende Angriffe, die das Netzwerk noch nicht durchbrochen haben. Sie umfassen fortgeschrittene persistente Bedrohungen (APTs), Denial-of-Service (DDoS)-Angriffe und Zero-Day-Angriffe. Unternehmen müssen sowohl gegen bekannte Angriffssignaturen als auch vor neuen Arten von Angriffen schützen.
Bedrohung durch böswillige Insider: Personen, die innerhalb des Unternehmens arbeiten und ihre Zugriffsrechte nutzen, um ihrem Arbeitgeber Schaden zuzufügen oder ihn zu betrügen. Sie können auch in der Systemverwaltung die PII und sensiblen Daten, die dort geschützt werden, einsehen und diese kopieren.
Wenn es um den Schutz sensibler Daten geht, kommen hauptsächlich zwei Angriffsvektoren zum Tragen: Unautorisierter Zugang und Datendiebstahl.
1. Unautorisierter Zugang
Wenn der Zugang zu den Data Lakes nicht durch Autorisierung geschützt ist, können die darin enthaltenen Daten leicht von jedermann eingesehen und missbraucht werden. Wenn diese Daten sensible persönliche Informationen, Finanzdaten von Unternehmen, technische Geschäftsgeheimnisse usw. enthalten, wird die Absicherung der Zugriffe durch Kontrolle der Identität und der Zugriffsberechtigung zu einem entscheidenden Faktor für die Datensicherheit.
2. Datendiebstähle
Selbst wenn geeignete Zugriffskontrollmechanismen vorhanden sind, können Datendiebstähle nicht ausgeschlossen werden, insbesondere wenn es um Sabotageversuche von Firmeninsidern geht. Aus diesem Grund schreiben zahlreiche Aufsichtsbehörden weltweit den Einsatz von Verschlüsselungstechnologien zum Schutz sensibler Daten als branchenübliche Praxis vor.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wenn Data Lakes kompromittiert und Daten gestohlen werden, führt das zum einen zu massivem Imageverlust für das Unternehmen. Zum anderen muss die Geschäftsleitung des Unternehmens haften, wenn sich herausstellt, dass die Sorgfaltspflicht im Umgang mit vertraulichen Daten oder gesetzliche Vorgaben zum Datenschutz (PCI DSS, DSGVO etc.) nicht umgesetzt wurden. Dies führt zu einem Vertrauensverlust bei den Geschäftspartnern des Unternehmens.
Beispiel Sicherheitsvorfall bei der kanadischen Bank of Montreal
Es gibt bereits zahlreiche Beispiele, in denen Data Lakes kompromittiert und Daten gestohlen wurden. Ein Beispiel dafür ist der Vorfall bei der kanadischen Bank of Montreal 2018. Von dem Datendiebstahl waren über 50.000 Kunden der Bank betroffen. Im Juli hatte ein US-Hacker den Data Lake des Cybersicherheitsunternehmens NightLion geknackt und dabei mehr als 8.200 Datensätze kopiert. Je mehr Unternehmen also diese Art der Datenspeicherung nutzen, desto interessanter wird sie für die Angreifer.
Fazit: Die Daten in den Data Lakes müssen vor Missbrauch geschützt werden
Wenn es um Datenmissbrauch geht, ist die Frage nicht „ob“, sondern „wann“ es passiert. Da immer mehr sensible Daten in Data Lakes gespeichert werden, funktionieren reine Perimeter-Abwehrsysteme nicht so effektiv wie die Verschlüsselung der sensiblen Daten selbst.
Unternehmen müssen die Kontrollen um den Datenfluss herum aufbauen, von der Zugriffsebene über die Anwendungsebene bis hin zur Speicherebene. Dies umfasst sowohl die Segmentierung als auch den Datenschutz. Die Dokumentensicherheit wiederum setzt am Endpunkt an und sollte als zusätzliche Kontrolle um die Daten herum erfolgen. Die Daten in den Data Lakes sollten mit Verschlüsselungsalgorithmen wie 3DES, AES-192/256, SHA-256, SHA-384, SHA-512 gesichert werden. Außerdem empfiehlt sich die Unterstützung von RSA-2048, RSA- 3072, RSA-4096 und ECC.
Mit seinem robusten Portfolio aus Verschlüsselung, zentralisiertem Schlüsselmanagement und Identitätsmanagement mit Zugriffskontrollen bietet Thales einen umfassenden Schutz für die Sicherung sensibler Daten in Data Lakes. Insbesondere die Transparente Verschlüsselung von Thales befasst sich umfassend mit den Anwendungsfällen von Data Lakes zur Verschlüsselung sensibler Daten auf Betriebssystemebene. Darüber hinaus unterhält es mit stark definierten Zugriffskontrollen für einzelne Benutzergruppen effizient Audit- und Versuchsprotokolle, um Compliance-Vorschriften wie den Payment Card Industry Data Security Standard (PCI DSS) und die Datenschutzgrundverordnung (DSGVO) zu erfüllen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/aa/be/aabe28802bb6011fa4674c0846129ada/0124123611v2.jpeg "Neben Kundendaten will ein Cyberkrimineller auch Backups, ENV-Dateien und interene Informationen über Infastrukturen von Europcar gestohlen haben. (Bild: Benjamin - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f0/d4/f0d4bdbd522642f73f3889c40a758c1d/0125631215v1.jpeg "Angriffe können niemals zu 100 Prozent verhindert werden; für Unternehmen ist es daher immens wichtig, bei einer erfolgreichen Attacke schnell wieder einsatzbereit zu sein – Cyber Resilienz und Datensicherung sind dafür Voraussetzung. (Bild: Rassameekae - stock.adobe.com / KI-generiert)")