:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Data Governance Datenschutz im Homeoffice
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Immer größere Datenmengen, die Verwaltung sensibler, personenbezogener Daten durch Unternehmen und Behörden sowie deren zunehmende Migration in Multi-Cloud-Umgebungen erhöhen das Risiko von Datendiebstahl. Die steigende Zahl mobiler Endgeräte und Zugriffspunkte, die sich aus dem Wechsel vieler Arbeitnehmer ins Home Office ergibt, schafft neue Einfallstore für Angriffe.
In dieser Situation kommt es auf jeden einzelnen Nutzer an, um Sicherheitsrisiken zu minimieren. Denn ohne die Kooperation der Endnutzer ist jedes noch so ausgefeilte Sicherheitskonzept wirkungslos. Unternehmen sollten ihre Mitarbeiter deshalb mit ins Boot zu holen. Das liegt nicht nur im Unternehmens-, sondern auch in ihrem eigenen Interesse: Neben sensiblen Kunden- und Unternehmensdaten sind auch ihre eigenen Daten einem höheren Risiko ausgesetzt, weil das Arbeiten über das Heimnetzwerk sie interessanter für professionelle Hacker macht, die sich über eben diese Umgebung Zugriff auf geschäftskritische Daten verschaffen wollen. Die folgenden Best Practices zeigen, wie Unternehmen und Mitarbeiter gemeinsam das Home Office sicherer machen können.
Aktionstag für den Datenschutz: Es bleibt viel zu tun
IT- und Datenschutzverantwortliche standen im Frühjahr 2020 vor der Aufgabe, klaffende Sicherheitslücken zu schließen, die es noch wenige Wochen vorher gar nicht gegeben hatte. Dabei mussten sie sich vor allem auch klarmachen, dass durch die neue Arbeitsweise außerhalb einer abgesicherten Büroumgebung quasi jeder Mitarbeiter zu seiner eigenen IT-Sicherheitsabteilung wurde. Somit waren nicht nur technische Lösungen gefragt, sondern die Schaffung eines Bewusstseins für Risiken und deren Abwehr bei der gesamten Belegschaft.
Am 28. Januar 2022 fand der auf Initiative des Europarats ins Leben gerufene Europäische Datenschutztag bereits zum 16. Mal statt – für viele Unternehmen ein Anlass, ihre Sicherheitsstrategie einer kritischen Prüfung zu unterziehen. Dabei zeigt sich: Selbst absolute Grundlagen wie häufig wechselnde, möglichst komplexe Passwörter sind längst nicht überall Standard. „Password123“ und dergleichen sind nach wie vor in Gebrauch. Es erübrigt sich zu sagen, dass „work from anywhere“ und Gefahren wie Ransomware-Attacken wesentlich weitergehende Sicherheitsvorkehrungen erfordern. Denn bei gezielten Angriffen bestehen nicht nur hohe Risiken für die Verfügbarkeit von Services und Infrastrukturen, sondern auch für den Missbrauch von Nutzerdaten.
Gelegenheit macht (Daten-)diebe
Das Risiko-Level des Jahres 2022 hatten Unternehmen selbst einige Jahre davor noch nicht antizipiert. Als zahlreiche, in vielen Unternehmen sogar alle Mitarbeiter praktisch über Nacht ins Home Office wechselten, waren nur wenige IT-Abteilungen in der Lage, ad hoc für sichere Remote-Arbeitsplätze zu sorgen. Das galt insbesondere für KMU, die häufig gar keine eigene in-house IT unterhalten. Ungesicherte Heimnetzwerke sind das virtuelle Äquivalent zu einer offenen Haus- oder Bürotür. Diese Situation rief Cyberkriminelle auf den Plan, die sich den improvisierten und mitunter chaotischen Wechsel zur Distanzarbeit zunutze machten.
Prompt stieg die Zahl der datenschutzrelevanten Vorfälle deutlich an. 28% der Geschäftsführer und Führungskräfte aus IT-Sicherheit und Datenschutz von über 500 deutschen Unternehmen, die in der so genannten Datenklaustudie der Prüfungs- und Beratungsgesellschaft EY befragt wurden, beobachteten eine gegenüber 2019 gestiegene Anzahl von Attacken in den Pandemiejahren 2020 und 2021. Fast alle Befragten (98 Prozent) gehen davon aus, dass das Problem von Datenklau und Cyberangriffen weiter zunehmen wird. Wenn es um Datenverlust geht, ist es daher von Vorteil, auf jedes Szenario vorbereitet zu sein. Mit den folgenden Maßnahmen kann eine Absicherung von Daten sowie maximale Sicherheit für Unternehmen sowie Mitarbeit gewährleistet werden.
Best Practices: Risikomanagement für mehr Sicherheit im Unternehmen und im Home-Office
Sicherheitsrichtlinien und -verfahren lassen sich jedoch nur sinnvoll entwickeln, wenn regulierte Daten definiert und die entsprechenden Richtlinien auf Menschen, Prozesse und Systeme abgestimmt sind. Von Unternehmensseite ist es daher wichtig, zunächst Governance-Maßnahmen zu definieren und zu verwalten, um Arbeitnehmern Richtlinien und Anwendungen für das sichere Arbeiten im Home-Office zur Verfügung zu stellen.
Informaticas Data Privacy Solution kann Unternehmen helfen, Datenschutzvorgaben und branchenspezifische Vorschriften zu erfüllen. Das Tool ermöglicht es Unternehmen, Geschäfts- und Technologierichtlinien, Verantwortlichkeiten, Prozesse und Datenbedingungen zu definieren, zu dokumentieren und zu messen. Die Nutzung von Automatisierungsfunktionen zur kontinuierlichen Messung von Datenschutzrisiken und deren Aufzeichnung hilft, die wichtigsten Risikoindikatoren (Key Risk Indicators, KRI) für Datenschutz- und Compliance-Programme auf dem aktuellen Stand sind.
Daten verstehen, um sicher mit ihnen zu arbeiten
Technische Lösungen können jedoch immer nur ein Teil eines Gesamtkonzepts für Datensicherheit sein. Letzten Endes kommt es immer auch auf die Nutzer an. Zu einem umfassenden Risikomangement gehört deshalb auch eine Unternehmenskultur, in der Mitarbeiter für den Umgang mit personenbezogenen Daten sensibilisiert werden und sich bei sicherheitsrelevanten Vorfällen ohne Angst vor Sanktionen vertrauensvoll an interne Ansprechpartner wenden können.
Unternehmen befinden sich heute im Besitz großer Mengen sensibler Daten. Das bringt eine enorme Verantwortung für Geschäftsleitung und Mitarbeiter mit sich, die ihr Datenverständnis und -wissen ständig erweitern müssen. Um Risiken in verschiedenen Umgebungen zu vermeiden, ist es wichtig, Daten zu lokalisieren, zu klassifizieren und zu analysieren. Häufig sind Mitarbeitern die Folgeschäden von Informationsverlusten nicht bewusst, was dazu führt, dass sensible Daten häufig auf unsichere und ungeschützte Arten übermittelt werden. Die Anonymisierung und Pseudonymisierung sensibler Daten ist daher ein weiterer entscheidender Baustein im Sicherheitskonzept. Um zusätzlich ein höheres Maß an Sicherheit für diverse Daten zu gewährleisten, sollte jeder Mitarbeiter zudem nur auf die für ihn erforderlichen Daten zugreifen können. Beispielsweise muss die Buchhaltungsabteilung in der Lage sein, alle Konten einzusehen, muss allerdings keinen Zugriff auf die gesamte Kundenkommunikation haben. Softwarelösungen weisen Mitarbeitern klare Zugriffsrechte zu, so dass nur diejenigen Mitarbeiter Zugang zu sensiblen Daten haben, die mit diesen tatsächlich arbeiten müssen. Zusätzlich ist es angesichts der steigenden Zahl von Mitarbeitern, die außerhalb der Sicherheit des Büronetzwerks arbeiten, wichtiger denn je, sicherzustellen, dass Remote-Arbeitsplätze vor Cyberangriffen geschützt sind.
Daten schützen bedeutet Mitarbeiter weiterbilden
Die meisten Unternehmen verfügten beim Wechsel zur Distanzarbeit nicht über geeignete Verfahren für das sichere Arbeiten im Home Office. Angestellte erhielten übereilt Geräte, die oft nicht ordnungsgemäß gesichert waren, oder mussten persönliche Geräte für die Büroarbeit verwenden. Aus dieser Erfahrung hat man gelernt, dass das Home Office zur Sicherheitslücke werden kann, wenn Mitarbeiter nicht richtig ausgestattet, nicht richtig geschult oder beides sind.
Beispielsweise kann es bei der Eingabe von persönlichen und vertraulicher Daten im Home-Office, wie etwa der Anmeldung mit bestehenden Accounts wie Google, Facebook oder Apple-ID passieren, dass Passwörter gehackt oder gestohlen werden. Die Multi-Faktor-Authentifizierung fügt hier eine zusätzliche Authentifizierungsebene ein, die es Datendieben schwerer macht, an persönliche Accounts zu gelangen. Auch die Verlagerung des Home Office in öffentliche Netzwerke wie beispielsweise Cafés oder Bibliotheken – etwa, weil das heimische Netzwerk ausgefallen ist – birgt Risiken, die Angestellte kennen müssen. Öffentliche Netzwerke sind zwar oft kostenlos, doch bestehen hier erhöhte Risiken für Datendiebstahl oder für das Einschleusen von Schadsoftware. Falls öffentliche Netzwerke nicht vermieden werden können, sollten Unternehmen Mitarbeitern einen VPN zur Verfügung stellen, auf den sie in solchen Fällen zurückgreifen können.
Fazit
Unternehmen haben seit vielen Jahren verpflichtende Datenschutzauflagen zu erfüllen. Die gestiegenen Datenmengen und ihre Handhabung in ungesicherten Umgebungen macht die Erfüllung der rechtlichen Vorgaben nicht einfacher. Data Governance ist keine alleinige Aufgabe der IT mehr, sondern als geschäfts- und reputationskritisches Kriterium Führungsaufgabe und durch die Zunahme von Distanzarbeit auch Verantwortung jedes einzelnen Mitarbeiters. Unternehmen müssen deswegen geeignete technische Maßnahmen wie die Implementierung von Privacy-Software zu ergreifen, um die Sicherheit der in ihrem Besitz befindlichen personenbezogenen Daten zu gewährleisten. Solche Lösungen helfen, Risikoanalysen personenbezogener Daten vorzunehmen, Governance zu definieren und automatisierte Kontrollen etablieren, um den Schutz von kritischen Daten auch außerhalb des Büros zu gewährleisten. Zusätzlich liegt es in ihrer Verantwortung, Mitarbeitern eine gute Schulung, Ausstattung und aktuelle und relevante Informationen an die Hand zu geben.
Über den Autor: Christian Geckeis ist General Manager DACH bei Informatica.
(ID:48196258)
:quality(80)/p7i.vogel.de/wcms/e8/15/e8155cc5ae918cfdf14a8a82425e6325/0114007052.jpeg "So können Unternehmen sich und ihre Prozesse anpassen, damit sie ein hohes Datenschutz-Niveau erreichen. (Bild: Stockwerk-Fotodesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/63/b263dfa34af07b1225e3f1c630da72ec/0112880623.jpeg "29,8 Prozent der Deutschen, die im Home-Office arbeiten können, nutzen digitale Technologien, um im Sommer im Café, Biergarten, Freibad oder am See zu arbeiten. (Bild: Ivan Kruk - stock.adobe.com)")