Die Verwaltung sensibler Daten ist zu einem integralen Bestandteil jedes Unternehmens geworden, unabhängig von der Branche. In der Fertigungsindustrie werden zwar keine Verbraucherdaten in großem Umfang gesammelt, jedoch werden andere Arten von hochsensiblen Daten wie Quellcode, Patente, Designs und geschützte Informationen erzeugt, erworben und verarbeitet.
Hersteller sind oft auch Teil einer Lieferkette größerer Unternehmen und müssen Geheimhaltungsvereinbarungen unterzeichnen, die die Vertraulichkeit der Daten garantieren, und sich in bestimmten Branchen sogar einer Bewertung der Informationssicherheit unterziehen.
Dies ist z. B. in der deutschen Automobilindustrie der Fall. Erstausrüster (OEMs) sowie Partner und Unternehmen, die Teil der Automobilzulieferkette sind, ob sie nun in Deutschland ansässig sind oder nicht, müssen sich einer TISAX-Bewertung (Trusted Information Security Assessment Exchange) unterziehen, um nachzuweisen, dass das Unternehmen über ein angemessenes Niveau an Informationssicherheit verfügt.
Auch in den Vereinigten Staaten müssen Tausende von Auftragnehmern in der Fertigung ihre Daten gemäß den Anforderungen in NIST SP 800-171, Revision 2 und NIST SP 800-53, Revision 5 verwalten.
Diese Vorschriften wurden erlassen, weil Datenschutzverletzungen für Hersteller katastrophale Folgen haben können. Sie können das Vertrauen der Kunden, des Marktes und der Partner ernsthaft beeinträchtigen und die Chancen der Unternehmen, neue Aufträge zu erhalten, gefährden. Wenn ihr geistiges Eigentum (IP) gestohlen wird, können Unternehmen ihren Wettbewerbsvorteil verlieren und schwere Verluste einstecken. Laut dem Bericht „2022 Cost of a Data Breach Report“ von IBM und dem Ponemon Institute belaufen sich die durchschnittlichen Kosten für Datenschutzverletzungen in der Fertigungsindustrie auf 4,47 Millionen US-Dollar pro Vorfall.
Um die hohen finanziellen und rufschädigenden Kosten zu vermeiden, die mit Datenschutzverletzungen verbunden sind, müssen Hersteller zuverlässige Verfahren anwenden, um die Datensicherheit zu gewährleisten. Hier sind unsere wichtigsten Empfehlungen.
Schützen Sie sensible Daten vor Insider-Bedrohungen
Die meisten Datenschutzstrategien konzentrieren sich auf die Verhinderung von Cyberangriffen, die von Außen inszeniert werden, und übersehen dabei, dass die größte Sicherheitslücke eines Unternehmens oft seine eigenen Mitarbeiter sind. Durch Phishing- und Social-Engineering-Angriffe können sie der Einstiegspunkt für Cyber-Kriminelle in ein Unternehmensnetzwerk sein. Vor allem in der Fertigung stellen böswillige Insider, die vertrauliche Informationen verkaufen oder geistiges Eigentum mitnehmen wollen, wenn sie das Unternehmen verlassen, ein hohes Risiko dar.
Die häufigste Art der Bedrohung durch Insider ist jedoch Nachlässigkeit. Um Probleme schneller lösen zu können, verwenden Mitarbeiter möglicherweise ungeprüfte Tools für die Zusammenarbeit, übertragen Dateien über unsichere Cloud- und File-Sharing-Dienste oder lassen Dateien einfach an ungeschützten Orten liegen.
Hersteller können Data Loss Prevention (DLP)-Lösungen mit Content-Discovery-Funktionen einsetzen, um sensible Daten zu identifizieren, zu überwachen und zu kontrollieren, unabhängig davon, ob sie lokal auf den Computern der Mitarbeiter gespeichert sind oder übertragen werden. Unternehmen können definieren, was sensible Daten im Kontext ihres eigenen Unternehmens bedeuten; sie können auch vordefinierte Profile für persönlich identifizierbare Informationen (PII) und geistiges Eigentum wie Patente, Blaupausen und Quellcode auswählen. Mit kontextbezogenem Scannen und Inhaltsinspektion können DLP-Tools in Hunderten von Dateitypen nach sensiblen Daten suchen, die Übertragung protokollieren, melden und blockieren.
Umgang mit lokal gespeicherten sensiblen Daten
Mitarbeiter können vergessen, sensible Dateien aus ihren Aufzeichnungen zu löschen, sobald sie eine Aufgabe abgeschlossen haben. Sie können auch versehentlich oder absichtlich ohne Wissen des Unternehmens auf sensible Daten zugreifen. Dies kann zu Problemen führen, insbesondere wenn es sich um vertrauliche Informationen handelt, die durch NDAs von Kunden oder Partnern geschützt sind. Um ihren gesetzlichen Verpflichtungen nachzukommen, müssen Hersteller über eine Möglichkeit verfügen, um sicherzustellen, dass sensible Daten nicht angreifbar sind oder für Unbefugte zugänglich sind.
Unternehmen können DLP-Lösungen einsetzen, um alle Firmencomputer nach Dateien mit vertraulichen Informationen zu durchsuchen. Wenn sie an nicht autorisierten Orten gefunden werden, können die Unternehmen Abhilfemaßnahmen ergreifen und Dateien mit sensiblen Daten direkt vom DLP-Dashboard aus automatisch löschen oder verschlüsseln.
Kontrolle von Wechseldatenträgern
Mitarbeiter schließen regelmäßig Wechseldatenträger an ihre Arbeitscomputer an, um Aufgaben zu erledigen, Informationen auszutauschen oder Daten mitzunehmen, wenn sie an einem anderen Ort arbeiten oder auf Geschäftsreise sind. Obwohl diese Geräte sehr nützlich sind, stellen sie eine Gefahr für die Datensicherheit dar, da Unternehmen nicht kontrollieren können, wie die auf ihnen gespeicherten Daten gesichert oder verwendet werden. Aufgrund ihrer Größe sind sie außerdem leicht zu verlieren oder zu stehlen.
Um diesem Risiko zu begegnen, können Hersteller DLP-Lösungen wie Endpoint Protector von CoSoSys einsetzen, die über Gerätekontrollfunktionen verfügen. Mit ihnen können Unternehmen die Nutzung von USB- und Peripherieanschlüssen sowie Bluetooth-Verbindungen blockieren oder auf zugelassene Geräte beschränken. Auf diese Weise können Unternehmen überwachen, welcher Mitarbeiter versucht hat, sensible Dateien auf Wechseldatenträger zu kopieren, und welches Gerät verwendet wurde.
Granulare Richtlinien können auch unterschiedliche Berechtigungen je nach Benutzer, Gruppe oder Abteilung vorsehen. Jemandem, der täglich mit sensiblen Daten arbeitet, kann beispielsweise die Verwendung von Wechseldatenträgern untersagt werden, während jemandem, der regelmäßig große Dateien austauschen muss, die Verwendung sicherer, vom Unternehmen ausgegebener Geräte gestattet werden kann.
Nächste Schritte
Hersteller müssen ständig wachsam sein. Das Risiko einer Datenschutzverletzung erstreckt sich auf geistiges Eigentum und sensible Vertragsdaten. In vielen Branchen müssen die Hersteller auch die Datenvorgaben ihrer Kunden und Lieferkettenpartner einhalten. Wenn Sie mehr über Endpoint Protector erfahren möchten und darüber, wie wir Hersteller dabei unterstützen, ihre Ziele im Bereich der Cybersicherheit und der Einhaltung von Datenschutzbestimmungen zu erreichen, buchen Sie eine Demo mit einem unserer Experten für Data Loss Prevention-Lösungen.
