:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Compliance-Verstöße vermeiden Neun konkrete Schritte gegen Datenschutzverletzungen
Immer wieder werden große Datenschutzverletzungen, wie die bei Target, JPMorgan Chase und Equifax bekannt. Die Zahl der nicht bekannt gewordenen Cyber-Angriffe ist sicher deutlich höher. Die EU-Datenschutz-Grundverordnung (DSGVO) und andere Richtlinien haben die Datensicherheit bei vielen Unternehmen ganz nach oben auf die Agenda gesetzt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Erfolgreiche Sicherheitsstrategien gehen deutlich über starke Passwörter und/oder Zugangsbeschränkungen bzw. über ein Kontrollkästchen, mit denen Anwender ihre Compliance bestätigen, hinaus. Sicherheitsbewusste Unternehmen sollten einer Reihe von Schritten folgen, um die möglichen Lücken in ihren Datenschutzplänen zu identifizieren. Darauf aufbauend lassen sich kontinuierliche Prozesse definieren und implementieren, um die Daten ähnlich wie Hacker zu behandeln. Es gibt neun konkrete Schritte, um eine umfangreiche Datenschutz- oder Compliance-Verletzung zu vermeiden:
Schritt 1: Erstellen und Implementieren von Richtlinien zum Datenschutz-Management, von der Datenklassifizierung und -verarbeitung bis hin zu Regeln für die Informationsspeicherung und -verwaltung.
Nicht alle Daten lassen sich gleich behandeln oder kategorisieren. Einige Informationen sind sensibler als andere. Darüber hinaus haben Anwender unterschiedliche Zugriffsrechte auf Speichersysteme. Sie verknüpfen Informationen miteinander, zum Beispiel in einem Data Lake, und verändern damit möglicherweise die Kategorisierung der Informationen. Unternehmen müssen daher Richtlinien entwickeln, die die Datenklassifizierung, -Verarbeitung, -Speicherung und -Löschung berücksichtigen. Außerdem sollten auch Regeln, Standards und Vorgehensweisen zur Data Governance erstellt werden. Dazu gehört auch eine Kategorisierung in Vertraulich, Extrem Vertraulich, Unternehmens- und öffentliche Daten.
Im ersten Schritt werden die Richtlinien definiert. Um die Daten effektiv zu verwalten, ist ihre Klassifizierung notwendig. Darüber hinaus müssen Unternehmen die Ziele der Regeln festlegen und sie allen Beteiligten deutlich kommunizieren. In Zusammenarbeit mit den Eigentümern der Daten sollte die Sicherheit und Vertraulichkeit der Informationen mit den Anforderungen an die Integration und die geschäftliche Nutzung im Einklang sein. Dazu müssen Unternehmen das Ausmaß des identifizierten Risikos definieren und dabei berücksichtigen, inwieweit sich Organisationen in die Umgebungen von Partnern und Drittanbietern integrieren.
Schritt 2: Identifizieren aller sensiblen Daten und deren Risiken.
Sobald festgelegt ist, wie die Daten klassifiziert und verwalten werden sollen, werden die benötigten Daten ermittelt. Die Sichtung fördert die unterschiedlichsten Daten zutage: Gesundheits- und Finanzinformationen, Personal- oder persönlich identifizierbare Daten sowie geistiges Eigentum, Quellcodes oder proprietäre Formeln. Daher ist die Data Governance entscheidend – alle Informationen zu sammeln, zu bewerten und zu klassifizieren. Im nächsten Schritt sollten Organisationen sie hinsichtlich ihrer Sensitivität kategorisieren. Regelmäßige Überprüfung zu der Verwendung und des Status der Daten ist ebenfalls wichtig. Unternehmen sollten das Risiko sensibler Daten analysieren. Wie werden die Daten verwendet, klassifiziert? Wie häufig greifen Anwender darauf zu? Wie sind die Daten geschützt und wie einfach lassen sie sich duplizieren? So lassen sie sich hinsichtlich des Risikos einordnen.
Schritt 3: Entwicklung einer Strategie zur Speicherung, Sicherung und Archivierung von Daten.
Die meisten Unternehmensdaten werden digital gespeichert – und dies seit Jahren. SaaS- und Cloud-basierte Lösungen erhöhen die Komplexität: Die Daten sind an einem Ort gespeichert, auf den Unternehmen nicht unbedingt direkten Zugriff haben. Häufig werden Daten mehrfach gespeichert, zum Beispiel beim Backup oder bei der Archivierung. Um Informationen entsprechend zu schützen, muss das IT-Team alle Permutationen finden. Der Hintergrund: Selbst wenn die Ursprungsdaten gefunden werden, können dieselben Informationen im Archiv oder im Backup weiter schlummern.
Schritt 4: Sicherstellen, dass vertrauliche Informationen nicht über die Metadaten preisgegeben werden können.
Eine große Erleichterung für Mitarbeiter sind Metadaten, die digitalen Informationen hinzugefügt werden. Diese lassen sich beispielsweise für ein bestimmtes Projekt ergänzen. Die Herausforderung: Diese Metadaten wachsen kontinuierlich und können persönliche, geschäftliche und proprietäre Informationen enthalten – auch ohne Zugriff auf die zugrundeliegenden Daten. Je reichhaltiger die Metadaten sind, desto höher ist das geschäftliche oder persönliche Risiko. Daher sollten Metadaten genauso abgesichert sein wie andere Daten. Die Klassifizierungsrichtlinien müssen auch auf die Metadaten ausgerichtet sein. Sie sollten spezielle Regeln enthalten, um zu gewährleisten, dass Unternehmen, die ihre Datennutzung optimieren wollen, es nicht übertreiben.
Schritt 5: Festlegen, wer auf welche Daten Zugriff hat und diesen verwaltet.
Um vertrauliche Informationen vor unbefugtem Zugriff zu schützen, sollte der Zugang entsprechend eingeschränkt sein. Das Problem dieses Ansatzes ist, dass diese Technologien und Abläufe die üblichen Anwendungsfälle für die Datennutzung nicht berücksichtigen und damit unternehmenskritische Aktivitäten behindern können. Die Mehrheit der Unternehmen nutzt Systeme, die sich nicht direkt verwalten, zum Beispiel SaaS-, Cloud- oder mobile Umgebungen. Die unterschiedlichen Datenformate, die Menschen, Anwendungen und Geräte generieren, überfordern Unternehmen. Security-Strategien müssen sich daher ebenfalls anpassen – und sich nicht nur auf den reinen Zugriff fokussieren, sondern auch auf die Nutzung von Daten und deren Ontologie. Identity Governance kann hier unterstützen und den Zugang und die Authentifizierung optimieren. Damit verstehen Unternehmen besser, wer die Informationen wie und wo verwendet.
Schritt 6: Wissen, wer was macht: kontrollieren, protokollieren, benachrichtigen.
Um Daten zu schützen, ist es wichtig zu wissen, wer auf welche Informationen zugreift und wie sie verwendet werden. Zu den Details, die protokolliert und kontrolliert werden müssen, gehören folgende Fragen: Wer greift auf welche Daten zu? Werden sie verändert und warum? Ungewöhnliches Verhalten lässt sich so identifizieren und untersuchen. Es ist enorm wichtig, dass Führungskräfte ihre Mitarbeiter darüber informieren, wie wichtig Datenschutzprotokolle sind und sie entsprechend zu trainieren. Darüber hinaus sollten sie ihnen die Konsequenzen vor Augen führen, wenn sie diese Sicherheitsstandards nicht einhalten.
Schritt 7: Absolute Sorgfalt bei der Maskierung, Bereinigung und Verschlüsselung von Daten.
Unternehmen müssen ihre Daten ganzheitlich und über ihren gesamten Lebenszyklus hinweg betrachten. Hierbei sollten Unternehmen die Speicherung, Nutzung und Übertragung der Informationen identifizieren und feststellen, ob sie intern oder extern Risiken ausgesetzt sind. Auch der Zugriff durch und Nutzung von Mitarbeitern oder Partnern muss berücksichtigt werden. Es gibt einige interessante neue Lösungen, die über die traditionelle Datenmaskierung, -Sicherheit und -Bereinigung hinausgehen, um Sicherheitsrisiken zu identifizieren. Security Intelligence Anwendungen messen und erkennen die Gefahr. Diese lässt sich somit adressieren, bevor sie zu einem Problem wird. Automatisierte Verfahren erhöhen das Sicherheitsniveau zusätzlich, da sie schneller als IT-Teams reagieren und direkt eingreifen können.
Schritt 8: Sensible Daten gewissenhaft löschen oder archivieren.
Daten wachsen jedes Jahr enorm schnell. Unternehmen verlieren daher leicht den Überblick, welche Daten gelöscht, aktualisiert oder verändert wurden. Zu einer Sicherheitsstrategie gehören daher auch Richtlinien, um die Daten regelmäßig zu bereinigen, Doubletten zu löschen und Fehler zu vermeiden. Dies sollten nur autorisierte Mitarbeiter übernehmen, da auch sensible Informationen aus der Finanz- oder Personalabteilung vernichtet werden.
Schritt 9: Kontinuierliches Management des Datenrisikos.
Daten zu schützen ist eine kontinuierliche Aufgabe: Die Informationen verändern sich kontinuierlich, sie werden von Mitarbeitern genutzt und verändert, neue Vorgaben eingeführt und wieder verworfen. Unternehmen müssen ihre Datenschutzstrategie daher regelmäßig aktualisieren und an neue Gegebenheite anpassen. Daher ist ein Prozess notwendig, der das Datenmanagement kontinuierlich steuert.
Ohne diese Prozesse sind sensible Daten gefährdet. Egal, ob ein nicht autorisierter Mitarbeiter darauf zugreift, Informationen in Archiven verloren gehen oder bei einem Cyber-Angriff gestohlen werden: eine schwache Sicherheitsstrategie legt unternehmenskritische Daten und persönliche Informationen in die falschen Hände.
Über den Autor: Frank Waldenburger ist Director Sales Consulting Central Europe bei Informatica.
(ID:45478272)
:quality(80)/p7i.vogel.de/wcms/96/52/9652300e1a699d7dda6129235bf16cc2/0108284149.jpeg "Unternehmen brauchen eine gut durchdachte Data Governance, die eine lückenlose Dokumentation über Herkunft, Nutzung und Speicherort sensibler Daten gestattet. (Bild: MYZONEFOTO - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1f/60/1f60797b298983525e5c1eb30d25f676/0103996970.jpeg "Die meisten Unternehmen verfügten beim Wechsel zur Distanzarbeit nicht über geeignete Verfahren für das sichere und datenschutzkonforme Arbeiten im Homeoffice. (Bild: CROCOTHERY - stock.adobe.com)")