:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datensicherheit Mit Software Compliance-Risiken verringern
Daten schützen und zugleich damit arbeiten ist heute ein Balance-Akt, denn Unternehmen müssen heute dutzende Richtlinien und Auflagen befolgen und unterstehen der Kontrolle vieler verschiedener Behörden. Software-Lösungen aus der Bankenbranche versprechen, das Unvereinbare zu vereinen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Auf der ganzen Welt gelten Richtlinien für Unternehmen, nach denen sie für den Umgang mit Daten verantwortlich sind – wie der Sarbanes–Oxley Act (SOX) oder der Health Insurance Portability and Accountability Act (HIPAA) – und jede Verletzung der Schutzbestimmungen melden müssen. Auf der einen Seite nimmt die Regulierungswut nationaler und internationaler Aufsichtsbehörden stetig zu, zum anderen erweitern vor allem letztere ihr Einflussgebiet – Stichwort EU und das „Privacy Shield“.
Auf der anderen Seite unterstehen Unternehmen heute nicht mehr einer Behörde, sondern Dutzenden. Gerade in einer globalisierten Welt mit internationalen Konzernen und Standorten auf allen Kontinenten müssen sich Unternehmen auf die verschiedensten Compliance-Ansprüche einstellen.
Kontrolle behalten
In vielen Fällen wirken sich die genannten Regulierungen nicht nur auf das eigene Handeln aus, sondern auch auf das, was Zulieferer oder Partner mit den Daten anfangen. So muss ein deutsches Unternehmen sicherstellen, dass personenbezogene Daten auch auf den Servern eines Cloud-Anbieters unter Einhaltung aller gesetzlichen Anforderungen gespeichert und verarbeitet werden. Wo dieser Anbieter seine Daten lagern darf, ist zum Teil ebenfalls vorgeschrieben. Dass Daten jedoch andere Güter sind als Schiffscontainer, deren Lager man leichter zertifizieren kann, weil sie nicht in der nächsten Sekunde auf einem anderen Kontinent liegen, ist den Regulatoren dabei relativ egal.
Es geht also um Kontrolle. Kontrolle über die eigenen Daten, über sensible Informationen und deren Lagerorte, sowie darum, die Zulieferer und deren Umgang mit den Daten ebenfalls nachweisbar dokumentieren zu können. Im besten Falle ist jeder Arbeitsschritt transparent. Zugleich sind Unternehmen gezwungen, all ihre Informationen zu schützen: vor unautorisiertem Zugriff und vor neugierigen Augen.
Die Auflagen nehmen zu – nun müssen Daten nicht nur verfügbar und nachvollziehbar, sondern auch sicher sein. Die dritte Anforderung stellen die Mitarbeiter. Lägen alle Daten nur an einem Fleck, so ließen sie sich problemlos bewachen und Compliance-gerecht verwalten. Leider wollen die eigenen Mitarbeiter dabei nicht mitmachen – sie müssen mit ebendiesen Daten arbeiten, sie speichern und kopieren und auch aus dem Home-Office aufrufen, sowie mit Partnern und externen Dritten teilen.
Verstöße sind teuer
Datenschutz und Sicherheit sind kein reiner Selbstzweck – die Regulatoren verstehen keinen Spaß und können Millionenbeträge als Strafen verhängen, wenn Unternehmen ihre Cybersicherheitsstrategien und -verfahren nicht Compliance-gerecht implementieren und den richtigen Schutz nachvollziehbar nachweisen können. Im September 2015 hat die US-Börsenaufsicht SEC Compliance-Beauftragten mit harten Strafen gedroht, wenn sie ihren Pflichten der Kontrolle nicht nachkämen.
Dennoch scheinen Unternehmen den Überblick noch immer zu suchen. Felix Gaehtgens, Forschungsdirektor bei Gartner, weist darauf hin, dass im Jahr 2015 weniger als fünf Prozent der weltweiten Unternehmen die Aktivitäten privilegierter Nutzer verfolgt und überprüft hätten. Der Rest habe – wenn überhaupt – kontrolliert, wann, wo und von wem der Zugriff erfolgt sei, allerdings nicht, was eigentlich gemacht wurde.
Ein positiver Nebeneffekt der drakonischen Strafen und der negativen Konsequenzen von Sicherheitsregulierungen ist jedoch, dass sie dazu beigetragen haben, die Priorität von Cybersicherheit in die Führungsetage emporzuheben – was vielen CISOs geholfen hat, eine Förderung für kritische Sicherheitsinvestitionen zu erhalten.
Sicherheit überall
Früher war selbst bei den sichersten Umgebungen nur die Grenze abgesichert. Heute gilt in Unternehmen: Die Inhalte sind die neue Grenze. Deswegen liegt der Fokus nun auf der Sicherheit auf Dokumentenebene statt auf traditionellen Mauern wie der Firewall zum Schutz vor Sicherheitsverstößen und Datenlecks. Die Inhalte bleiben kontrollierbar, ganz gleich, wo sie sich befinden. Damit gewinnen Unternehmen die Freiheit, Dateien in alle Welt zu versenden und gleichzeitig sensible Inhalte zu schützen.
Die Technik dahinter nutzt Methoden wie Information Rights Management (IRM) und die Verschlüsselung einzelner Dateien. Dies bedeutet, dass jede Datei immer geschützt ist, auch wenn sie bereits auf einen USB-Stick heruntergeladen wurde, und sich nur per zentralem Serverzugriff öffnen lässt – mit einer entsprechenden Authentifizierung des Nutzers. Somit können nicht nur Zugriffsberechtigungen zentral verwaltet und jederzeit entzogen oder verteilt werden, sondern dies kann dank IRM so granular geschehen, dass für jeden Benutzer festgelegt werden kann, ob er eine Datei etwa kopieren darf, ob er sie drucken kann, und so weiter.
Was hat dies nun mit Compliance zu tun? Jede Aktion wird aufgezeichnet und zentral kontrolliert. Dies bedeutet, dass zum Zeitpunkt eines Audits etwa eine solche Lösung ohne Mühe einen Report erstellen kann, der genau darlegt, wer wann welche Dateien angesehen, geöffnet oder versendet hat. Derartige Nachweise werden bereits heute vor Gericht eingesetzt, etwa in Übernahmestreitigkeiten.
Von der Bank in die Welt
Softwarelösungen wie diese nutzen heute unter anderem Banken und Wertpapierunternehmen auf der ganzen Welt, um ihre Netze geografisch verteilter Lieferanten zu verwalten. Dokumentenplattformen mit IRM und Verschlüsselungstechniken wie Customer Controlled Keys stellen eine zentralisierte Kontrolle und Überwachung sensibler Daten bereit. Sicherheits- und Risikomodelle geben Finanzinstituten die Möglichkeit, die moderne Kommunikation über die Unternehmensgrenzen hinweg zu fördern – ohne Kompromisse in Sachen Risiko-Management und ohne Einschränkung im Tagesgeschäft und weniger Abhängigkeit von vielbeschäftigten IT-Teams. Dadurch wird ein zuverlässiger Austausch von Dateien mit bewährten, umfassenden Sicherheits- und Verschlüsselungsfunktionen in einer sicheren Umgebung gewährleistet.
Mithilfe moderner Lösungen werden die Routineabläufe der Benutzer also nicht durch zusätzliche Schritte oder Hürden erschwert. Es wird sogar sichergestellt, dass das Unternehmen sein geistiges Eigentum, seine vertraulichen Kundendaten und alle anderen geheimen Dokumente auf dem Desktop, über Browser oder über Mobilgeräte vollständig unter Kontrolle hat. Die Einhaltung von Sicherheitsvorschriften wird durch diese Techniken einfacher und risikoärmer – für Mitarbeiter und die Informationen, die sie schützen wollen – und dass alles, ohne den Zugriff auf Informationen einzuschränken.
Es nimmt nicht Wunder, dass Techniken wie derartige Dokumentenplattformen längst den Weg aus der Bankenbranche in die breite Welt globaler Konzerne gefunden haben: nicht nur Banken und Pharmakonzerne, sondern auch Konstruktionsbüros und andere Industriebetriebe setzen bereits auf diese Plattformen. Je größer und verteilter Unternehmen werden und je wichtiger der Inhalt ihrer Dokumente, desto entscheidender ist eine technische Lösung, die Sicherheit, Kontrolle und Nachvollziehbarkeit vereint.
Über den Autor: Richard Anstey ist Chief Technology Officer EMEA bei Intralinks. Bevor er zu Intralinks kam, war er als Chief Architect bei OpenText für die Entwicklung von Technologien für das Informationsmanagement-Portfolio des Unternehmens verantwortlich.
(ID:44793394)
:quality(80)/images.vogel.de/vogelonline/bdb/1927800/1927818/original.jpg "Das Scan-Tool „Trend Micro Portable Security 3 Pro“ passt sich flexibel in die täglichen Sicherheitsroutinen kritischer Unternehmens-IT-Infrastrukturen ein und hilft industrielle Kontrollsysteme (ICS) abzusichern. (ipopba - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945861/original.jpg "Microsoft 365 ist für Unternehmen auf der ganzen Welt ein wichtiges Tool bei der Zusammenarbeit von entfernten, vermehrt die Cloud nutzenden Mitarbeitern. Aber wer sich auf die Zugänglichkeit von Microsoft 365 verlässt, muss auch darauf vorbereitet sein, dass Angreifer das Gleiche tun. (peshkov - stock.adobe.com)")