Werteorientierte Datensicherheit als AlternativeAuf dem Weg zu zu effektiver Datensicherheit
21. Februar 2023Im Bereich des Datenschutzes vertrauen bislang viele Unternehmen auf das sogenannte Discovery-First-Modell. Bevor sich aber mit diesem Ansatz die Sicherheit verbessern lässt, sind aufwändige Analysen notwendig: Welche Daten sind an welchem Ort gespeichert? Wem gehören sie? Und wer kann darauf zugreifen? Darüber hinaus müssen Unternehmen Datenflüsse sowie Lebenszyklen abbilden und auch bestimmen, welche Vorschriften für sie gelten. Das kostet wertvolle Zeit und Ressourcen. Eine werteorientierte Datensicherheit bietet sich als Alternative an.
Eine Studie von Bitkom aus dem Jahr 2022 zeigt, dass Cyber-Kriminelle in diesem Jahr weiterhin die digitalen Daten Dritter ins Ziel nehmen. Allein 68 Prozent der betroffenen Unternehmen geben an, dass Kommunikationsdaten wie E-Mails entwendet wurden. Jedes vierte Unternehmen meldet den Verlust kritischer Business-Informationen wie Marktanalysen (28 Prozent) sowie Daten von Mitarbeitenden (25 Prozent). Doch wie können Unternehmen heutzutage ihr Sicherheitsrisiko minimieren?
Sechs Prinzipien der werteorientierten Datensicherheit können bei dieser Aufgabenstellung helfen. Grundsätzlich sollten sich Unternehmen auf praktische Kontrollen zur Behebung von Datenschwachstellen und Bedrohungen konzentrieren. Dabei unterstützen sie folgende Grundsätze:
- Produkte definieren; eine erste Vorgehensweise lässt sich aus der industriellen Produktion lernen. Dort führten in der Vergangenheit lange Planungsprozesse und übermäßige Lagerhaltung zu ineffizienten Prozessen. Um diesen Problemen entgegenzuwirken, entstanden neue Methoden – beispielsweise die agile Fertigung oder der Lean-Construction-Ansatz. Beide definieren bereits zu Beginn ihr Produkt und ermitteln, wie es geliefert wird. Und dadurch lässt sich die Wertschöpfungskette optimieren. Ein ähnliches Vorgehen empfiehlt sich bei der Datensicherheit. Dort ist der Datenschutz das Produkt. Doch diese technischen Maßnahmen allein reichen nicht. Auch der Mensch sollte mit einbezogen und nicht nur als Sicherheitslücke gesehen werden. Er kann als zusätzlicher Abwehrschirm gegen Cyber-Angriffe helfen.
- Effiziente Entdeckung; die Kenntnis über den Speicherort bestimmter Daten ist zwar wichtig, sollte aber nicht im Mittelpunkt stehen. Stattdessen empfehlen sich am Anfang eher umfassende Kontrollen von offensichtlichen Sicherheitsrisiken. Dazu gehören beispielsweise Wechseldatenträger und Übertragungen auf persönliche Cloud-Speicher oder E-Mail-Konten. Aber auch die automatische Bereinigung von öffentlichen Ordnern oder die Quarantäne stark veralteter Daten sollte beachtet werden. Idealerweise liegt der Fokus stets auf Aufgaben, die den Betrieb nicht stören.
- Zuerst Dienste aufbauen; erfolgreiche Kontrollen sollten mit den Unternehmenszielen vereinbar sein – etwa in Bezug auf Benutzerfreundlichkeit und Kommunikation, aber auch Prozesse für Ausnahmen sollten nicht vergessen werden. Es empfiehlt sich, die Mitarbeitenden so früh wie möglich über mögliche Risiken oder wichtige Maßnahmen zu informieren. Hierfür eignen sich beispielsweise Pop-up-Fenster mit einem Hinweis zur sicheren Zusammenarbeit. Auch lassen sich Metriken einbinden, um Führungskräften eine bessere Übersicht zum Nutzerverhalten ihrer Mitarbeitenden zu liefern.
- Automatisierte Abläufe; effektive Sicherheitsdienste nutzen Informationen aus der Datenerkennung oder -klassifizierung, um die Ergebnisse zu operationalisieren. Beispielsweise könnte das System mithilfe eines DLP-Dienstes bei Uploads auf persönliche Webmails warnen. Auch eine vollständige Sperrung anstelle einer einfachen Warnung lässt sich bei Bedarf auslösen.
- Metriken bewusst einsetzen; mithilfe genauer Analysen lassen sich Sicherheitskontrollen verbessern und Dienste bewerten. Wichtig sind dabei intern ausgerichtete Metriken. Sie zeigen etwa, wie lang der Dienst für eine typische Kontrolle benötigt. Zusätzlich gibt es externe Metriken, mit denen sich der grundsätzliche Erfolg erkennen lässt – beispielsweise die Menge gelöschter Altdaten oder die Anzahl blockierter Uploads. Außerdem lassen sich mit einigen extern ausgerichteten Parametern die Schwächen des Dienstes identifizieren. So zeigt die Reaktionszeit bei der Eskalation an, ob etwa eine Neuverteilung von Verantwortlichkeiten notwendig ist.
- Insider-Risikomanagement; es wird immer wichtiger, interne Sicherheitsrisiken zu minimieren. Derzeit reagieren Unternehmen oftmals erst, nachdem eine Schwachstelle erkannt wurde. Doch ein solches Vorgehen hat Schwierigkeiten bei großen, komplexen und hybriden Betriebsumgebungen. Das sogenannte Insider Risk Management (IRM) nutzt hingegen einen ganzheitlichen Ansatz. Es versucht grundsätzlich zu verstehen, warum gegen bestimmte Richtlinien verstoßen wird. Aus den Ergebnissen dieser Untersuchungen lassen sich dann die Sicherheitskontrollen und die Kompetenz der Mitarbeitenden verbessern. Schulungen helfen außerdem bei der Mitarbeiterbindung und -zufriedenheit. Im Kern des IRM geht es also um Menschen, Prozesse und deren Interaktionen. Je besser diese Maßnahmen greifen und akzeptiert werden, desto eher kann auch in weitere Technologien investiert werden, um die Transparenz zu erhöhen und sie in bestehende Prozesse zu integrieren.
Cédric Alber ist Director Corporate Communications & Media Relations bei Kudelski Security.