Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Best Practices zur Vermeidung von Datenverlusten" herunter. Download

Datensicherheit: Haben Sie wirklich an die größten Risiken gedacht?

Bei der Umsetzung von Datenschutz, sei es im Rahmen der DSGVO oder anderer regulatorischer Anforderungen, müssen die Unternehmen sehr viele Faktoren berücksichtigen und in ihre Sicherheits- und Schutzkonzepte einbeziehen. Da kann es passieren, dass selbst naheliegende Sachverhalte übersehen werden. Wir wollen Sie an die erinnern, die Sie auf keinen Fall vergessen sollten:

Die Angestellten informieren und schulen

Schon wieder IT-Trainings für die Mitarbeiter? Aber wir haben doch gar nicht auf neue Software umgestellt! – IT-Schulungen sollten nicht in erster Linie anlassgetrieben sein, sondern regelmäßig stattfinden, Sie wissen schon, der stete Tropfen. Selbstverständlich braucht es Schulungen für neue Software. Darüber hinaus sollten die Mitarbeiter immer wieder und unter unterschiedlichen Gesichtspunkten daran erinnert werden, wie mit den Daten im Unternehmen umgegangen werden muss. Dafür sollten sie die Sicherheitsrichtlinien des Unternehmens kennen und Bescheid wissen, wie sie mit ihrem Verhalten Datenverlusten vorbeugen können. Und sie sollten, möglichst anhand tatsächlicher Vorfälle, für die Tricks und Maschen sensibilisiert sein, mit denen Cyberkriminelle an Daten und Informationen heranzukommen versuchen, sowie über aktuelle Entwicklungen wie WannaCry und anderen gefährlichen Schadcode informiert werden.

BYOD-Richtlinien einführen

BYOD gehört nach wie vor zu den größten Risikofaktoren für Datenverlust. Trotzdem bringen immer mehr Mitarbeiter eigene mobile Geräte, also Smartphones, Tablets, Laptops oder USB-Sticks, in die Firma mit und nutzen sie für berufliche Aufgaben. Viele Unternehmen unterstützen ihre Angestellten dabei noch. Einer aktuellen Studie zufolge erlauben 69 Prozent der Unternehmen mit nur wenigen Einschränkungen, dass Mitarbeiter Daten auf private Geräte oder Systeme übertragen. Ein Drittel der Unternehmen lässt den uneingeschränkten Transfer zu Cloud-Anwendungen wie Dropbox zu, und 47 Prozent haben nur beschränkten oder gar keinen Einblick, auf welchen Wegen Daten ausgetauscht werden. Eine Was-ich-nicht-weiß-macht-mich-nicht-heiß-Haltung kann sich kein Unternehmen mehr leisten, denn Unwissenheit schützt vor Strafe nicht. In Anbetracht der Anforderungen an den Datenschutz im Rahmen der DSGVO laufen Unternehmen Gefahr, sich mit solcher Nachlässigkeit unmittelbar strafbar zu machen. Richtlinien für die Nutzung privater Geräte sind also Pflicht.

Daten lokalisieren und klassifizieren

Ja, wo liegen sie denn? Bevor eine Klassifizierung starten kann, müssen Unternehmen wissen, wo die zu klassifizierenden Daten überhaupt liegen. Eine Untersuchung von Varonis zeigt, dass 62 Prozent der befragten Teilnehmer nicht wissen, wo die sensibelsten ihrer unstrukturierten Daten gespeichert sind bzw. wo sie liegen. Speicherorte für Unternehmensdaten können unterschiedliche Endgeräte wie der lokale Desktop eines Mitarbeiters sein, das Netzwerk, die Cloud – nicht nur die Datenmengen wachsen, auch die Zahl der Speichermöglichkeiten nimmt zu. Viele Unternehmen wissen wenig über ihre Datenbestände, weder welchen Schutzbedarf welche ihrer Daten haben, noch wohin und über welche Kanäle sie weitergeleitet werden. Entsprechend fällt es ihnen schwer, sie angemessen zu schützen: Datenklassifizierung ohne zu wissen, wo die Daten gespeichert sind, ist ein Ding der Unmöglichkeit, und Datenschutz ohne Datenklassifizierung ebenfalls. Erst die Zuordnung der Daten zu einer Gruppe mit festgelegten unternehmensspezifischen Kriterien erlaubt die Regulierung von Zugriff, Weiterverarbeitung und Transfer.

„Data at Rest“, „Data in Motion“ und „Data in Use“ schützen

Daten, die zwischen Komponenten wie Endgeräten oder Speicherorten aller Art über Netzwerke hin und her bewegt werden (Daten in Übertragung oder in Bewegung; Data in Motion oder Data in Transit), müssen geschützt werden. Dabei sollten Datenbewegungen nur dann ermöglicht werden, wenn sie den DLP-Regeln entsprechen. Nicht vergessen werden sollte, dass ruhende Daten (Data at Rest) und Daten in Verwendung oder Gebrauch (Data in Use) ebenfalls geschützt werden müssen.

Data at Rest bezeichnet Daten in physischen Speichern wie Backup-Medien oder Containern, die nicht oder nur selten gelesen, bearbeitet oder verändert werden. Sie müssen vor unberechtigtem Zugriff, vor Manipulation oder Diebstahl, beispielsweise durch Hacker, geschützt werden. Auch lokale Daten auf den Festplatten der Mitarbeiter-Desktops zählen zu Data at Rest. Viele Unternehmen wissen nicht, dass auf den Desktops Daten liegen, denn sie wurden im Rahmen von Schatten-IT dort gespeichert. Hier geht es darum herauszufinden, ob auch sensible Daten von der lokalen Datenhaltung betroffen sind, und Maßnahmen wie Löschung oder Verschlüsselung umzusetzen. Bei Data in Use handelt es sich um Daten, die gerade gelesen oder bearbeitet werden und sich typischerweise in Arbeitsspeichern oder Caches befinden.

Wichtig für den Schutz dieser drei Datentypen sind unterschiedliche Lösungen und Verfahren, von der Datenklassifizierung und Verschlüsselung über Data Loss Prevention und Mobile Device Management bis zur sicheren Authentifizierung beim Zugriff sowie die Aufmerksamkeit und das Sicherheitsbewusstsein gut geschulter Mitarbeiter.

In diesem Artikel:

    DEMO ANFRAGEN
    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.