Unabhängig von der Größe des Unternehmens ist Datenschutz zu einem wesentlichen Bestandteil aller Unternehmensstrategien geworden. In vielen Ländern ist Datenschutz eine gesetzliche Verpflichtung. Datenschutzgesetze wie die EU General-Datenschutzgrundverordnung (DSGVO) und der California Consumer Privacy Act (CCPA) regeln die Erhebung, Verarbeitung und Speicherung der personenbezogenen Daten (Personally Identifiable Information – PII) wie Namen, Adressen und Telefonnummern und gewähren den betroffenen Personen verschiedene Rechte.
Gemäß dem von IBM und vom Ponemon Institute veröffentlichten Cost of a Data Breach Report 2021 beliefen sich die durchschnittlichen Kosten für Datenschutzverletzungen im Jahr 2021 weltweit auf 4,24 Millionen US-Dollar, was einem Anstieg von 10% gegenüber dem Vorjahr entspricht. Dieser Anstieg stand in Zusammenhang mit höheren Geldstrafen und auch mit den Auswirkungen der Home-Office-Arbeit während der Pandemie.
Hacker haben die Art und Weise der Cyberangriffe weiterentwickelt. Heutzutage können Phishing- und Social-Engineering-Angriffe für das Infiltrieren von Netzwerken und für die Verbreitung von Malware (Schadsoftware) und Ransomware einfach benutzt werden. Ein Identitätsdiebstahl oder ein Trick, um Mitarbeiter zur Preisgabe von Anmeldedaten zu verleiten, oder ein Klick auf einen infizierten Link oder Anhang reichen Cyberkriminellen aus, um sich Zugang zu einem Arbeits-Laptop zu verschaffen. Einmal eingedrungen, können Cyberkriminellen das gesamte Netzwerk infizieren.
Großunternehmen sind in den meisten Fällen beim Datenschutz bereits weiter, denn sie haben ihre Sicherheitsstrategien schon frühzeitig entwickelt und in den letzten Jahren getestet. Allerdings sind ihre Anforderungen auch komplexer. Viele von ihnen müssen neben Kundeninformationen auch speziellere Daten, wie z.B. geistiges Eigentum und Finanzdaten schützen. Im Folgenden stellen wir Ihnen die erfolgreichsten Methoden zum Schutz von Daten in einem Unternehmen und zur Gewährleistung der Datensicherheit im Unternehmen vor.
Erweiterter Schutz vor externen Bedrohungen
Zur Begrenzung der externen Sicherheitsdrohungen implementieren Großunternehmen grundlegende Maßnahmen wie zweistufige Authentifizierung, Firewalls und Anti-Malware-Lösungen; diese Lösungen werden regelmäßig aktualisiert. Die Großunternehmen gehen hier weiter, indem sie fortgeschrittene Strategien wie TPM-Funktionen Trusted Platform Module (TPM) und eine Zero Trust Architektur einsetzen.
Die Zero-Trust-Architektur empfiehlt ein anderes Cybersicherheitsprinzip: Vertraue nie, überprüfe alles. Dadurch wird sichergestellt, dass Benutzer, Geräte und Netzwerkverkehr beim Zugriff auf vertrauenswürdige Ressourcen überprüft werden und den Regeln des geringsten Rechts unterliegen. Dies zu Folge, sollte ein Rechner infiziert werden, können sich Angreifer nicht mehr seitlich durch das Netzwerk bewegen.
Dateispeicherort und die Richtung der Datenbewegungen
DasWissen um die gespeicherten Daten und des Datenspeicherortes ist einer der wichtigsten Schritte zu einem effizienten Datenschutz. Mittels der genauen Ermittlung des Lebenszyklus der Daten und der damit verbundenen Sicherheitsrisiken können Unternehmen wichtige Entscheidungen über die erforderlichen Schutzmaßnahmen treffen.
Großunternehmen verwenden Data Loss Prevention Instrumente wie Endpoint Protector um Unternehmensnetzwerke auf empfindliche Daten zu überprüfen. Sollten empfindliche Daten an nicht dafür vorgesehenen Speicherorten gefunden werden, besteht die Möglichkeit diese Daten zu löschen oder zu verschlüsseln. Im Zeitalter der Datenschutzbestimmungen ist Transparenz der Schlüssel sowohl für die Einhaltung der Vorschriften als auch für das Einsetzen einer wirksamen Datenschutzpolitik.
Verschlüsselung in allen Bereichen
Von verschlüsselten Festplatten, USB-Sticks und Smartphones bis zu Daten, die vor der Übertragung in die Cloud oder auf tragbare Geräte verschlüsselt werden, ist die Verschlüsselung zum Schutz empfindlicher Unternehmensdaten und zur Sicherung von Kundendaten unerlässlich geworden.
Die Verschlüsselung behebt zwei häufige Datenschutz-Schwachstellen in der heutigen globalen Wirtschaft: Mitarbeiter, die ständig unterwegs sind, und die zunehmende Remote Arbeit. Geräte verlassen häufig die Sicherheit des Unternehmensnetzwerks. Die Verschlüsselung sorgt dafür, dass die enthaltenen empfindlichen Daten im Falle eines Diebstahls oder Verlusts für Außenstehende unzugänglich sind.
Schulung von Mitarbeitern auf allen Ebenen
Die größte Schwachstelle für den Datenschutz ist der Mensch. Großunternehmen stellen sicher, dass ihre Mitarbeiter über die Compliance-Vorschriften und besten Sicherheitspraktiken informiert sind, indem sie sowohl an Schulungen teilnehmen als auch klare Richtlinien bezüglich dem Umgang mit sensiblen Daten erhalten.
Die Führungskräfte der C-Ebene sind häufig Ziele von böswilligen Außenseitern, weil sie zu Daten auf höchster Ebene Zugang haben. Großunternehmen achten besonders darauf, dass die höhere Führungsebene die Vorschriften nicht umgeht, denn es ist von entscheidender Bedeutung, dass nicht nur horizontal, sondern auch vertikal das gleiche Maß an Datensicherheit gewährleistet ist.
DLP Lösungen können als wirksame Methode eingesetzt werden, indem sie klare Richtlinien bezüglich des Versands empfindlicher Daten bestimmen. Die Datenzugriffsebenen können auf Grund von Gruppen, Abteilungen, bestimmten Benutzern oder Endpunkten kontrolliert werden.
Erstellung der BYOD-Richtlinien
Während Unternehmen die Bring-your-own-device (BYOD)-Richtlinien einführen, um die Produktivität zu steigern und um die Kosten zu senken, ignorieren sie oft die Sicherheitsauswirkungen. Der Zugang zu empfindlichen Daten auf persönlichen Geräten bedeutet, dass die Daten außerhalb des Unternehmensnetzes transportiert werden, wodurch alle Sicherheitsmaßnahmen zum Schutz der Daten übergangen werden.
Großunternehmen schränken die Daten, die außerhalb der Unternehmensgeräte übertragen werden können, ein. Gleichzeitig können Gerätekontrolle-Richtlinien angewendet werden, wodurch sichergestellt wird, dass nur Geräten mit einem bestimmten Sicherheitsniveau benutzt werden dürfen. Auf diese Weise erhalten die Mitarbeiter die Möglichkeit, die Sicherheit ihrer persönlichen Geräte an das im Unternehmen erforderliche Niveau anzupassen. Mitarbeiter welche sich nicht an vorgegebene Schutzmaßnahmen halten, sollten über Zugriffsrechte eingeschränkt werden..
Auf dem Weg in das Zeitalter des weitreichenden Datenschutzes by Design und Voreinstellung müssen mittelständische und kleine Unternehmen in die Fußstapfen größerer Unternehmen treten und Sicherheitsstrategien zum Schutz von Daten vor Bedrohungen durch Insider und Außenstehende einführen.
