Tipps zur Einhaltung von Datensicherheit: Best Practices helfen, Ransomware einzudämmen
2. November 2021Unzureichende Richtlinien zur Einhaltung von Datensicherheit können es Ransomware-Angreifern erleichtern, Daten von Unternehmen als Druckmittel zu benutzen. Wie Sophos kürzlich berichtete, gehen einige Angreifer zu erpresserischen Taktiken über. Anstatt Dateien einfach nur zu verschlüsseln, drohen sie damit, die Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Mit geeigneten Best Practices lässt sich das Problem in den Griff bekommen.
Moderne Ransomware-Attacken bringen ein geschädigtes Unternehmen in die Lage, in der es mit Geldstrafen belegt wird, ganz zu schweigen von der Rufschädigung seiner Marke. Aus diesem und vielen anderen Gründen sind die Einhaltung von Vorschriften und die Informationssicherheit eng miteinander verwoben. Die Einhaltung von Datenschutzbestimmungen wird damit zu einer noch wichtigeren Säule jeder Sicherheitsstrategie.
Die folgende kurze Liste verdeutlicht bewährte Maßnahmen, die Unternehmen helfen, die Vorschriften einzuhalten und Ransomware-Kriminellen aus dem Weg zu gehen.
- Erstellen eines Compliance-Framework. Ein Rahmenwerk für die Sicherheit oder die Reaktion auf Vorfälle erklärt, wie man Vorfälle erkennt, darauf reagiert und sich davon erholt. In ähnlicher Weise bietet ein Compliance-Framework eine Struktur für alle Compliance-Vorschriften, die sich auf ein Unternehmen beziehen, z. B. wie interne Compliance- und Datenschutzkontrollen zu bewerten sind. Ein solches Rahmenwerk hilft auch bei der Identifizierung von Daten, z. B. von personenbezogenen oder sensiblen Daten, die strengere Sicherheitsprotokolle erfordern.
- Definieren von Richtlinien darüber, welche Daten gesammelt werden und warum. Dieser Schritt ist Teil der Erstellung eines Rahmenwerks. Es gibt viele Gründe, das Was und das Warum der Datenerfassung zu dokumentieren. Die Aufsichtsbehörden können verlangen, dass solche Richtlinien festgelegt werden; wenn die Daten von Verbrauchern stammen, können sogar noch strengere Anforderungen an die Beschreibung der Erfassungsrichtlinien gestellt werden.
- Erstellen von Datenschutzrichtlinien. Information der Kunden darüber, welche Daten gesammelt werden, wofür sie verwende werden und wie und wie lange sie gespeichert werden. Kunden auch drüber informieren, wie sie Zugang zu ihren persönlichen Daten erhalten oder „vergessen“ werden können, d. h. wie ihre Daten aus den Systemen entfernt werden.
- Verstärken des Engagements für die Offenlegung. Öffentlich zugängliche Datenschutzrichtlinien weitergeben, diese veröffentlichen und pflegen.
- Auf dem Laufenden über die neuesten gesetzlichen Bestimmungen, die sich auf die Compliance auswirken, bleiben. Ein „Privacy by Design“-Betriebsmodell kann Ihnen helfen, mit den sich ständig ändernden Vorschriften Schritt zu halten und sich an sie anzupassen. Das bedeutet, dass Sie den Datenschutz in die Entwicklung und den Betrieb von IT-Systemen, Infrastrukturen und Geschäftspraktiken einbeziehen, anstatt zu versuchen, ihn nachträglich einzubauen.
- Richtlinien zur Aufbewahrung und Löschung von Daten festlegen. Dieser Schritt ist von entscheidender Bedeutung. Aufbewahrungszeitpläne legen fest, wie lange Daten auf einem System gespeichert werden, bevor sie gelöscht werden, und die Zeitpläne können je nach Branche variieren. Ein regelkonformes, ausgereiftes und sicheres Unternehmen zeichnet sich dadurch aus, dass es solide Richtlinien für die Datenaufbewahrung und -löschung entwickelt, die ständig überprüft werden.
- Ein Datenverschlüsselungsprotokoll wählen. Festlegen, welche Art von Datenverschlüsselung eingesetzt werden soll und wo – vor Ort, in der Cloud etc. Je nachdem, wo die Daten gespeichert sind, können die Entscheidungen unterschiedlich ausfallen.
- Mit dem CISO über Netzwerkkontrollen sprechen. Da Compliance eng mit Sicherheit zusammenhängt, sollten Unternehmen ihren CISO in Gespräche über die Konfiguration von Netzwerkgeräten, die Zugriffskontrolle mit minimalen Rechten, die Ereignisprotokollierung und die mehrstufige Authentifizierung miteinbeziehen.
- Anonymisierung sensibler Daten. Falls erforderlich, sollten Daten anonymisiert werden, um persönliche Identifizierungsdaten durch Maskierung, Tokenisierung, Hashing oder Anonymisierung zu entfernen.
- Dokumentieren, wie alle von einer Sicherheitsverletzung betroffenen Parteien benachrichtigen werden. Entsprechend der DSGVO sind solche Benachrichtigungen obligatorisch – und Unternehmen möchten auf jeden Fall, dass der Benachrichtigungsprozess reibungslos abläuft. Es gilt festzulegen, wer für die Benachrichtigung verantwortlich ist, wie man das Problem löst und was man tun, um weitere Vorfälle zu verhindern.
Die Nutzung von Daten ist mit immensen Möglichkeiten verbunden, aber auch mit Verantwortung. Unternehmen, die an die Weisheit „Daten sind das neue Öl“ glauben, müssen auch die Compliance berücksichtigen, denn anderenfalls gehören die Daten vielleicht nicht mehr lange dem Unternehmen. (rhh)
Pure Storage