Compliance-Verstöße vermeiden

Neun konkrete Schritte gegen Datenschutzverletzungen

| Autor / Redakteur: Frank Waldenburger / Peter Schmitz

Unternehmen brauchen eine starke Sicherheits­strategie, um Compliance-Verstöße mit sensiblen Unternehmens­daten bei einer Datenschutz­verletzung zu vermeiden
Unternehmen brauchen eine starke Sicherheits­strategie, um Compliance-Verstöße mit sensiblen Unternehmens­daten bei einer Datenschutz­verletzung zu vermeiden (Bild: Pixabay / CC0)

Immer wieder werden große Datenschutz­verletzungen, wie die bei Target, JPMorgan Chase und Equifax bekannt. Die Zahl der nicht bekannt gewordenen Cyber-Angriffe ist sicher deutlich höher. Die EU-Datenschutz-Grund­verordnung (DSGVO) und andere Richtlinien haben die Datensicherheit bei vielen Unternehmen ganz nach oben auf die Agenda gesetzt.

Erfolgreiche Sicherheitsstrategien gehen deutlich über starke Passwörter und/oder Zugangsbeschränkungen bzw. über ein Kontrollkästchen, mit denen Anwender ihre Compliance bestätigen, hinaus. Sicherheitsbewusste Unternehmen sollten einer Reihe von Schritten folgen, um die möglichen Lücken in ihren Datenschutzplänen zu identifizieren. Darauf aufbauend lassen sich kontinuierliche Prozesse definieren und implementieren, um die Daten ähnlich wie Hacker zu behandeln. Es gibt neun konkrete Schritte, um eine umfangreiche Datenschutz- oder Compliance-Verletzung zu vermeiden:

Schritt 1: Erstellen und Implementieren von Richtlinien zum Datenschutz-Management, von der Datenklassifizierung und -verarbeitung bis hin zu Regeln für die Informationsspeicherung und -verwaltung.

Nicht alle Daten lassen sich gleich behandeln oder kategorisieren. Einige Informationen sind sensibler als andere. Darüber hinaus haben Anwender unterschiedliche Zugriffsrechte auf Speichersysteme. Sie verknüpfen Informationen miteinander, zum Beispiel in einem Data Lake, und verändern damit möglicherweise die Kategorisierung der Informationen. Unternehmen müssen daher Richtlinien entwickeln, die die Datenklassifizierung, -Verarbeitung, -Speicherung und -Löschung berücksichtigen. Außerdem sollten auch Regeln, Standards und Vorgehensweisen zur Data Governance erstellt werden. Dazu gehört auch eine Kategorisierung in Vertraulich, Extrem Vertraulich, Unternehmens- und öffentliche Daten.

Im ersten Schritt werden die Richtlinien definiert. Um die Daten effektiv zu verwalten, ist ihre Klassifizierung notwendig. Darüber hinaus müssen Unternehmen die Ziele der Regeln festlegen und sie allen Beteiligten deutlich kommunizieren. In Zusammenarbeit mit den Eigentümern der Daten sollte die Sicherheit und Vertraulichkeit der Informationen mit den Anforderungen an die Integration und die geschäftliche Nutzung im Einklang sein. Dazu müssen Unternehmen das Ausmaß des identifizierten Risikos definieren und dabei berücksichtigen, inwieweit sich Organisationen in die Umgebungen von Partnern und Drittanbietern integrieren.

Schritt 2: Identifizieren aller sensiblen Daten und deren Risiken.

Sobald festgelegt ist, wie die Daten klassifiziert und verwalten werden sollen, werden die benötigten Daten ermittelt. Die Sichtung fördert die unterschiedlichsten Daten zutage: Gesundheits- und Finanzinformationen, Personal- oder persönlich identifizierbare Daten sowie geistiges Eigentum, Quellcodes oder proprietäre Formeln. Daher ist die Data Governance entscheidend – alle Informationen zu sammeln, zu bewerten und zu klassifizieren. Im nächsten Schritt sollten Organisationen sie hinsichtlich ihrer Sensitivität kategorisieren. Regelmäßige Überprüfung zu der Verwendung und des Status der Daten ist ebenfalls wichtig. Unternehmen sollten das Risiko sensibler Daten analysieren. Wie werden die Daten verwendet, klassifiziert? Wie häufig greifen Anwender darauf zu? Wie sind die Daten geschützt und wie einfach lassen sie sich duplizieren? So lassen sie sich hinsichtlich des Risikos einordnen.

Schritt 3: Entwicklung einer Strategie zur Speicherung, Sicherung und Archivierung von Daten.

Die meisten Unternehmensdaten werden digital gespeichert – und dies seit Jahren. SaaS- und Cloud-basierte Lösungen erhöhen die Komplexität: Die Daten sind an einem Ort gespeichert, auf den Unternehmen nicht unbedingt direkten Zugriff haben. Häufig werden Daten mehrfach gespeichert, zum Beispiel beim Backup oder bei der Archivierung. Um Informationen entsprechend zu schützen, muss das IT-Team alle Permutationen finden. Der Hintergrund: Selbst wenn die Ursprungsdaten gefunden werden, können dieselben Informationen im Archiv oder im Backup weiter schlummern.

Schritt 4: Sicherstellen, dass vertrauliche Informationen nicht über die Metadaten preisgegeben werden können.

Eine große Erleichterung für Mitarbeiter sind Metadaten, die digitalen Informationen hinzugefügt werden. Diese lassen sich beispielsweise für ein bestimmtes Projekt ergänzen. Die Herausforderung: Diese Metadaten wachsen kontinuierlich und können persönliche, geschäftliche und proprietäre Informationen enthalten – auch ohne Zugriff auf die zugrundeliegenden Daten. Je reichhaltiger die Metadaten sind, desto höher ist das geschäftliche oder persönliche Risiko. Daher sollten Metadaten genauso abgesichert sein wie andere Daten. Die Klassifizierungsrichtlinien müssen auch auf die Metadaten ausgerichtet sein. Sie sollten spezielle Regeln enthalten, um zu gewährleisten, dass Unternehmen, die ihre Datennutzung optimieren wollen, es nicht übertreiben.

Schritt 5: Festlegen, wer auf welche Daten Zugriff hat und diesen verwaltet.

Um vertrauliche Informationen vor unbefugtem Zugriff zu schützen, sollte der Zugang entsprechend eingeschränkt sein. Das Problem dieses Ansatzes ist, dass diese Technologien und Abläufe die üblichen Anwendungsfälle für die Datennutzung nicht berücksichtigen und damit unternehmenskritische Aktivitäten behindern können. Die Mehrheit der Unternehmen nutzt Systeme, die sich nicht direkt verwalten, zum Beispiel SaaS-, Cloud- oder mobile Umgebungen. Die unterschiedlichen Datenformate, die Menschen, Anwendungen und Geräte generieren, überfordern Unternehmen. Security-Strategien müssen sich daher ebenfalls anpassen – und sich nicht nur auf den reinen Zugriff fokussieren, sondern auch auf die Nutzung von Daten und deren Ontologie. Identity Governance kann hier unterstützen und den Zugang und die Authentifizierung optimieren. Damit verstehen Unternehmen besser, wer die Informationen wie und wo verwendet.

Schritt 6: Wissen, wer was macht: kontrollieren, protokollieren, benachrichtigen.

Um Daten zu schützen, ist es wichtig zu wissen, wer auf welche Informationen zugreift und wie sie verwendet werden. Zu den Details, die protokolliert und kontrolliert werden müssen, gehören folgende Fragen: Wer greift auf welche Daten zu? Werden sie verändert und warum? Ungewöhnliches Verhalten lässt sich so identifizieren und untersuchen. Es ist enorm wichtig, dass Führungskräfte ihre Mitarbeiter darüber informieren, wie wichtig Datenschutzprotokolle sind und sie entsprechend zu trainieren. Darüber hinaus sollten sie ihnen die Konsequenzen vor Augen führen, wenn sie diese Sicherheitsstandards nicht einhalten.

Schritt 7: Absolute Sorgfalt bei der Maskierung, Bereinigung und Verschlüsselung von Daten.

Unternehmen müssen ihre Daten ganzheitlich und über ihren gesamten Lebenszyklus hinweg betrachten. Hierbei sollten Unternehmen die Speicherung, Nutzung und Übertragung der Informationen identifizieren und feststellen, ob sie intern oder extern Risiken ausgesetzt sind. Auch der Zugriff durch und Nutzung von Mitarbeitern oder Partnern muss berücksichtigt werden. Es gibt einige interessante neue Lösungen, die über die traditionelle Datenmaskierung, -Sicherheit und -Bereinigung hinausgehen, um Sicherheitsrisiken zu identifizieren. Security Intelligence Anwendungen messen und erkennen die Gefahr. Diese lässt sich somit adressieren, bevor sie zu einem Problem wird. Automatisierte Verfahren erhöhen das Sicherheitsniveau zusätzlich, da sie schneller als IT-Teams reagieren und direkt eingreifen können.

Schritt 8: Sensible Daten gewissenhaft löschen oder archivieren.

Daten wachsen jedes Jahr enorm schnell. Unternehmen verlieren daher leicht den Überblick, welche Daten gelöscht, aktualisiert oder verändert wurden. Zu einer Sicherheitsstrategie gehören daher auch Richtlinien, um die Daten regelmäßig zu bereinigen, Doubletten zu löschen und Fehler zu vermeiden. Dies sollten nur autorisierte Mitarbeiter übernehmen, da auch sensible Informationen aus der Finanz- oder Personalabteilung vernichtet werden.

Schritt 9: Kontinuierliches Management des Datenrisikos.

Daten zu schützen ist eine kontinuierliche Aufgabe: Die Informationen verändern sich kontinuierlich, sie werden von Mitarbeitern genutzt und verändert, neue Vorgaben eingeführt und wieder verworfen. Unternehmen müssen ihre Datenschutzstrategie daher regelmäßig aktualisieren und an neue Gegebenheite anpassen. Daher ist ein Prozess notwendig, der das Datenmanagement kontinuierlich steuert.

Ohne diese Prozesse sind sensible Daten gefährdet. Egal, ob ein nicht autorisierter Mitarbeiter darauf zugreift, Informationen in Archiven verloren gehen oder bei einem Cyber-Angriff gestohlen werden: eine schwache Sicherheitsstrategie legt unternehmenskritische Daten und persönliche Informationen in die falschen Hände.

Über den Autor: Frank Waldenburger ist Director Sales Consulting Central Europe bei Informatica.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45478272 / Sicherheits-Policies)