Datenschutz ist für viele Unternehmen eine Herausforderung. Daten verändern sich, werden ausgetauscht und weiterverarbeitet. Sie über ihren gesamten Lebenszyklus hinweg zu schützen, ist gar nicht so einfach. Der Security-Spezialist Forcepoint erläutert, welche Schritte für den gesetzeskonformen Umgang notwendig sind.
Gemächlich: Länger als einen Monat brauchen Unternehmen im Durchschnitt, um Sicherheitsverletzungen im Datenschutz zu erkennen und zu beseitigen. Dabei lassen sich Daten durchaus zuverlässig schützen, wenn man ihren vollständigen Lebenszyklus betrachtet – vom Erstellen bis zum Löschen. Die nachfolgenden vier Schritte sind dabei nach Erfahrung von Forcepoint entscheidend:
1. Data Discovery
Der erste Schritt ist das Aufspüren aller Daten des Unternehmens. Üblicherweise lagern die Daten über Endgeräte, Server und Cloud-Services verstreut, sodass die Herausforderung darin liegt, keine Speicherorte zu übersehen. Ziel der Data Discovery ist es, herauszufinden, welche Daten das Unternehmen überhaupt besitzt, wo diese abgelegt sind, wer auf sie zugreifen kann und wann zum letzten Mal auf sie zugegriffen wurde. Oft haben Anwender umfangreichere Zugriffsrechte, als sie eigentlich benötigen. Eine Rechtevergabe nach dem Least-Privilege-Prinzip hilft, Risiken zu minimieren, weil Anwender nur die Berechtigungen erhalten, die sie für ihre Tätigkeiten benötigen. Darüber hinaus ist die Kenntnis der eigenen Daten notwendig für die Einhaltung von regulatorischen Vorgaben und Standards wie die europäische Datenschutzgrundverordnung (DSGVO) oder der Payment Card Industry Data Security Standard (PCI DSS). Schließlich können Unternehmen sensible Daten nicht schützen, wenn diese sich an unbekannten Speicherorten oder in einem riesigen Berg von Dark Data verstecken.
2. Data Classification
Sind alle Daten erfasst, geht es an die Klassifizierung, also die Einteilung in Kategorien. Darauf basierend können Unternehmen einen angemessenen Schutz für jede Kategorie definieren und die sensibelsten Daten mit Priorität schützen. Angesichts der enormen Datenmengen in den meisten Unternehmen ist eine manuelle Klassifizierung allerdings äußerst zeitraubend und fehleranfällig, wenn nicht sogar unmöglich. Fortschritte in Sachen Künstliche Intelligenz und Machine Learning erlauben inzwischen jedoch eine schnelle und genaue automatische Klassifizierung. Dabei werden nicht nur besonders schützenswerte Daten gekennzeichnet, sondern auch Datenmüll. Das sind redundante, obsolete und triviale Informationen, die schlicht überflüssig sind und gelöscht werden können. Das spart Kosten und reduziert Risiken.
3. Data Monitoring
Daten aufzuspüren und zu klassifizieren, ist erst der Anfang. Für einen umfassenden Schutz braucht es auch ein kontinuierliches Monitoring. Einerseits um die Informationen über den Datenbestand aktuell zu halten, schließlich werden Daten stetig kopiert, bearbeitet und übertragen. Andererseits um mögliche Bedrohungen zu identifizieren und schnell Gegenmaßnahmen einleiten zu können, die einen Datenabfluss oder Datenschutzverstöße stoppen. Eine Echtzeit-Überwachung sämtlicher Daten, Speichersysteme und Zugriffe hilft dabei, ungewöhnliche Veränderungen, von normalen Zugriffsmustern abweichende Zugriffe sowie andere verdächtige Aktivitäten zu erkennen. Diese Informationen sind wichtig für Risikobewertungen und ermöglichen proaktive Reaktionen.
4. Data Protection
Data Discovery, Classification und Monitoring liefern wertvolle Informationen, auf denen aufbauend Unternehmen den Datenschutz weitgehend automatisieren können. Der Schlüssel ist ein Data-First-Ansatz, der eine Kontrolle sämtlicher Interaktionen mit den Daten und die zuverlässige Durchsetzung von Richtlinien erlaubt. Diese Richtlinien sollten sich einheitlich und zentral verwalten lassen, um Inkonsistenzen und damit Lücken im Schutz zu vermeiden, die häufig auftreten, wenn jedes Tool seine eigenen Regelsätze mitbringt. Viele Gefahren lassen sich überdies durch Zero Trust massiv verringern, weil beispielsweise infizierte Dateien gar nicht erst ins Unternehmen gelangen oder Cyberkriminelle die wertvollen Daten dank restriktiver Rechtevergabe und konsequenter Authentifizierung aller Zugriffe gar nicht erreichen.
„Unternehmen können ihre Daten nur dann schützen, wenn sie sie kennen und wissen, was mit ihnen passiert“, erläutert Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint in München. „Deshalb reicht es auch nicht, Daten nur einmalig zu erfassen und zu klassifizieren. Nötig sind vielmehr moderne Technologien, die kontinuierlich über alle Daten wachen und einen hohen Automatisierungsgrad bieten. Für Handarbeit sind die heutigen Datenbestände schlicht zu groß – zudem erfordern Sicherheitsverletzungen umgehende Reaktionen, denn wenn Daten abfließen oder verschlüsselt werden, zählt jede Sekunde.“ Jürgen Frisch