Datensicherheit: Nur wer seine Daten kennt, kann sie schützen

"Einen Sack Flöhe hüten" ist eine traditionelle Redewendung, wenn man von einer nicht zu bewältigenden Aufgabe spricht. Immer mehr Verantwortliche in Unternehmen fühlen sich daran erinnert, wenn sie an das Management und die Absicherung ihrer Unternehmensdaten denken. Denn ebenso wie winzige Flöhe jede Lücke nutzen, um zu entkommen, tendieren Daten ebenfalls dazu, durch winzige Lücken diverser Sicherheitsmechanismen zu diffundieren und in falsche Hände zu gelangen.

Dass leider oftmals Mitarbeiter am Verlust von Daten beteiligt sind, verkompliziert die Sache weiter. Sie handeln in der Regel in bester Absicht und wollen schlicht effektiver mit den Daten arbeiten. Wenn aber Daten in Anwendungen und dazugehörigen Datenbanken, auf Notebooks und Smartphones, in Cloud-Speichern, in Ordnern auf Netzlaufwerken, in Shares und Spezialanwendungen in der Cloud liegen, wird eine zentrale Kontrolle und Absicherung mit herkömmlichen Kontrollmechanismen sehr schwer.

Daten immer schwerer zu fassen

Die Ergebnisse des diesjährigen Enterprise Cloud Index (ECI), einer Marktforschung von Vanson Bourne im Auftrag von Nutanix, zeigen, dass es in Zukunft nicht einfacher wird. Danach nutzen 60 Prozent der Organisationen schon heute eine gemischte IT-Infrastruktur. In den kommenden drei Jahren planen dies 74 Prozent zu tun. Die Infrastrukturentscheidungen der Befragten richten sich überwiegend nach den zu verarbeitenden Daten.

Sie legen dabei zwar Wert auf Datensicherheit, Datenschutz und die Möglichkeit der Datenwiederherstellung, haben aber die Bedeutung von Datentransparenz noch nicht verinnerlicht: Nur 40 Prozent gaben an, dass sie genau bezeichnen können, wo sich ihre Daten befinden und auf Nachfrage, zum Beispiel im Rahmen von Prüfungen oder Auditierungen, die benötigten Nachweise erbringen können.

Die eigenen Daten, die damit verbundenen rechtlichen Anforderungen und den Speicherort zu kennen, ist allerdings die Grundvoraussetzung, sie auch angemessen schützen zu können. Der grundsätzliche Wille zum Schutz der Daten ist überwiegend vorhanden und die Kritikalität bekannt. Wie eine Umfrage von Microsoft im Februar 2022 unter US-Firmen zeigt, haben 80 Prozent der Entscheider in mehrere (zum Großteil mehr als drei) Produkte investiert, um die vielfältigen Anforderungen an Compliance und Datensicherheit zu erfüllen.

Allerdings erhöht die Verwaltung einer aus mehreren unabhängigen Produkten bestehenden Umgebung die Komplexität und den Aufwand der Umsetzung entsprechender Maßnahmen enorm. Wenn Daten nicht einheitlich klassifiziert und geschützt sind, ist es schwer, Informationen aus mehreren Lösungen zu ihrem Schutz zusammenzuführen, richtig zu interpretieren und im Falle eines akuten Problems die richtigen Maßnahmen zu ergreifen. Selbst wenn das gelingt: Wie kann man sicher sein, alle Daten geschützt zu haben, wenn schon im Vorfeld nicht genau bekannt war, welche Daten das Unternehmen überhaupt besitzt?

Wie Daten sich verselbständigen

Ansätze, die sich auf den Schutz einzelner Datenbanken, individueller, archivierten Dokumente oder Daten innerhalb einer Anwendung beschränken, greifen ohnehin zu kurz. Das lässt sich an einem Beispiel veranschaulichen:

Die Mitarbeiterin einer Baufirma - nennen wir sie Monika Müller - bekommt ihr Angebot von einem Kunden mit einigen Fragen und Anmerkungen versehen per E-Mail zurück. Sie möchte die offenen Punkte mit ihren Kollegen klären und lädt das Dokument in einen Microsoft Teams Chat. Dort wird gemeinsam entschieden, dass einige Positionen im Angebot angepasst werden müssen. Also überträgt Monika die Datei in SharePoint, damit Kollegen aus anderen Abteilungen sie einsehen, kommentieren und Anmerkungen einfügen können.

An dem Projekt ist auch ein externer Dienstleister beteiligt, der von Wolfgang betreut wird. Er lädt die bearbeitete Datei in einen Filesharing-Dienst, über den er seit Jahren mit dem Dienstleister zusammenarbeitet, und bittet um kurzfristige Stellungnahme.

Michael, Wolfgangs Ansprechpartner beim Dienstleister, muss noch sein Kind vom Sport abholen. Damit er die knappe Antwortzeit einhalten kann, druckt er die Datei aus, um sie sie später durchzusehen. Allerdings hat sich sein Kind beim Sport verletzt und in der Aufregung lässt Michael die Mappe mit dem Ausdruck im Vereinsheim liegen.

Dort findet sie Werner. Der ist nicht nur Trainer einer anderen Jugendmannschaft, sondern auch stellvertretender Geschäftsführer bei einer Baufirma im Nachbarort - und freut sich, dass er gleich morgen Monikas Kunden ein Angebot schicken kann, mit dem er seinen Konkurrenten aussticht.

Fünf wichtige Fragen zur Datensicherheit

Das fiktive, einfache Beispiel zeigt, wie harmlos erscheinende Arbeitsschritte, bei denen die beteiligten Personen jeweils nur bestmöglich ihre Arbeit tun wollen, zu einem gravierenden Datenverlust führen können. Selbst wenn es kein böses Ende gibt und die Daten nicht Unbefugten in die Hände geraten, bergen solche Prozesse erhebliche Compliance-Risiken. Das Beispiel ist zudem stark vereinfacht. Die meisten Prozesse in Firmen sind wesentlich vielschichtiger, komplexer, unberechenbarer, erstrecken sich über noch mehr Anwendungen und involvieren deutlich mehr Personen.

Nicht immer verstehen die Beschäftigten zudem, wie kritisch die Daten sind, mit denen sie täglich arbeiten. Selbst wenn sie ein Bewusstsein dafür haben, siegt oft die Bequemlichkeit oder der Wunsch, Aufgaben "einfacher" oder auf dem "kleinen Dienstweg" zu erledigen. Hinzu kommt das Risiko durch externe Angreifer oder böswillige Mitarbeiter - etwa, bevor sie das Unternehmen verlassen.

Als Verantwortlicher sollten Sie sich deshalb fragen:

Wie viele und welche vertraulichen und personenbezogenen Daten habe ich im Unternehmen?
Wie gut sind diese Daten im Unternehmen geschützt?
Wie werden Daten im Unternehmen klassifiziert?
Wie kann ich Transparenz darüber herstellen, wer auf vertrauliche Daten zugreift, sie verarbeitet oder weiterleitet?
Wie kann ich Firmendaten schützen, ohne die Produktivität einzuschränken?

Eine Frage der Inneren Sicherheit

Unternehmen haben in der Regel auf alle diese Fragen zumindest einige Antworten. Schließlich sind Data Governance, Compliance und Risikomanagement keine neuen Anforderungen. Deshalb sind Rechte- und Benutzer-Management-Lösungen oder Tools für Data-Loss-Prevention (DLP) Teil ihrer Security-Strategie. Bei objektiver Betrachtung wird sich aber zeigen, dass sich in solch einer Infrastruktur nicht alle Fragen umfassend und endgültig beantworten lassen. Oft gibt es mehrere Teil- oder Insellösungen, die sich einerseits überschneiden, andererseits aber weiße Flecken lassen.

Datenschutz und Datensicherheit kann nur dann umfänglich gewährleistet werden, wenn Daten überall dort geschützt werden, wo sie verarbeitet werden und der Schutz übergreifend gesteuert wird. Die unter dem Dach der Produktfamilie Microsoft Purview zusammengefassten Lösungen ergänzen Microsofts Security-Angebot (Grafik: Microsoft)
Foto: Microsoft

Außerdem wird solch ein internes Audit zeigen, dass sich der Schutz von Daten bisher überwiegend auf den unbefugten Zugriff von außen konzentriert hat. Anti-Malware-Lösungen, Identity- und Access-Management, Netzwerksicherheit und viele weiter Maßnahmen gehen davon aus, dass den Daten von außen Gefahren drohen. Dass sie, wie im oben ausgeführten Beispiel, im Arbeitsalltag auch durch unvorsichtige Aktionen oder aus Versehen in falsche Hände geraten, wird in den meisten Konzepten nicht oder nur unzureichend berücksichtigt.

Im 2020 vorgelegten Bitkom-Studienbericht "Wirtschaftsschutz in der vernetzten Welt" berichtet Michael Niemeier, der damalige Vizepräsident des Bundesamtes für Verfassungsschutz (BfV), dass ein Drittel der von Wirtschaftsspionage betroffenen Firmen von früheren Mitarbeitern vorsätzlich geschädigt wurde. Ein knappes Viertel hat ehemalige Beschäftigte als Verantwortliche ausgemacht, ohne ihnen jedoch ein absichtliches Fehlverhalten zu unterstellen oder nachweisen zu können.

Zu ähnlichen Ergebnissen kam die Personalberatung Rochus Mummert in einer Umfrage. Dabei schätzten 60 Prozent der Teilnehmer mögliches Fehlverhalten der Mitarbeiter als hohes bis sehr hohes Risiko ein. "Unaufmerksame Mitarbeiter" nennen 71 Prozent der Befragten als größtes Hindernis für bessere IT-Sicherheit.

Data Governance und Datenschutz sind untrennbar miteinander verbunden und müssen sie ganzheitlich behandelt werden. Microsoft hat zu diesem Zweck Data-Governance-Funktionen sowie Lösungen für Compliance und Risikomanagement unter dem Namen Microsoft Purview zusammengeführt.

Bewältigen lässt sich die daraus abzuleitende Aufgabe für einen effektiven Data-Governance-Plan, indem verschiedene ineinandergreifende Kontrollmechanismen implementiert werden, die unter anderem den unbefugten Zugriff auf Daten über verschiedene Arbeits- und Prozessabschnitte hinweg verhindern und damit vertrauliche Daten während ihres gesamten Lebenszyklus schützen. Von entscheidender Bedeutung ist dafür das Verständnis für den Zusammenhang zwischen den Benutzeraktivitäten und den Daten - wobei stets zwischen Datensicherheit und Anforderungen an die Zusammenarbeit oder Produktivität abgewogen werden muss.

Alltäglich genutzte Produktivitätsanwendungen, in denen Daten erstellt, geteilt und verarbeitet werden sind der beste Ansatzpunkt um Datenschutzerfordernisse in eine übergeordnete, durchgängige Security-Strategie zu integrieren.

In diesem Blogbeitrag erfahren Sie, wie Sie mit "Adaptive Protection" Ihre Daten automatisch vor den wichtigsten Risiken schützen können.

Blogeintrag lesen

Alle Artikel im Überblick

Drei innovative Szenarien für Azure-Datenbanken

Mit Azure Daten-Services die IT modernisieren

Kein SOC ohne Teamarbeit und Automatisierung

Nur wer seine Daten kennt, kann sie schützen

Vor Ort oder digital – Hauptsache emotional verbunden

Erfolgsfaktoren in der Softwareentwicklung

Mit Cloud-Services intelligente Applikationen erstellen

So gelingt die Doppeltransformation

Keine Nachhaltigkeit ohne fundierte Datenbasis

So stellen sich Firmen in Krisenzeiten zukunftsfähig auf

Damit ein IT-Notfall nicht zur Katastrophe wird

Wie Tools die Wertschöpfung mit Mitarbeitenden fördern

Wie Lieferketten-Management zum Wettbewerbsvorteil wird

KI und Kamera machen den Roboter zum Qualitätsprüfer

So verändern sich Meetings durch hybride Arbeitsmodelle

Neue Vielfalt in der Arbeitsplatzkultur

Wie KMU den Weg zum digitalen Unternehmen finden

Nachhaltigkeit plus Prozessoptimierung plus Kosteneinsparungen

Battery Associates will die Energiewende voranbringen

Vorteile eines digitalen All-in-One-Servicecenter

Microsofts Sustainability Manager schafft Überblick

Das Managed SOC – eine Leitstelle für IT-Sicherheit?

Neue Leichtigkeit in der Anwendungsmodernisierung

Cloud-Sicherheit ist am besten in der Cloud aufgehoben

Neue Ziele für Hacker

Risiken aufspüren und analysieren mit Zero Trust

Daten liefern grüne Antworten

Es kommt auf jeden Einzelnen an

Modernes Arbeiten ist gekommen, um zu bleiben

3 Szenarien, an die Sie sicher noch nicht gedacht haben

Beim Rennen um Low-Code steht Microsoft auf der Pole Position

Mixed Reality wird fester Teil von Geschäftsprozessen

Ein Center of Excellence für die Low-Code-Entwicklung

Unterstützung für Innovationstreiber

Warum Quantencomputer keine Spielerei sind

Das Optimum aus Daten herausholen

Wachsam bleiben – Vorschriften wandeln sich beständig

Viel mehr als eine Cloud-Infrastruktur

Programmieren für die Umwelt

Brücken bauen in Sales und Marketing

Trust wird zur unternehmerischen Grundlage

Warum sich Unternehmen mit Microsoft Azure beschäftigen sollten

Von der lästigen Pflicht zum Innovationstreiber

Wie Unternehmen von der Umstellung auf Remote Development profitieren

Low Code erfordert neue Arbeitskultur

Das Datenverständnis ist bei Machine Learning der Schlüssel zum Erfolg

Wie Cloud Computing die Karten in der Sicherheitsindustrie neu mischt

Citizen Developer mit KI-Anschluss – weniger programmieren, mehr erreichen

So erlangen Sie spielerisch Cloud-Know-how

Wie Microsoft und eine CTO-Community das Eis zwischen den Generationen gebrochen haben

Wie digitales Know-how Generationen und Branchen zusammenbringt

Wertvolle Hilfe beim Schöpfen von Cloud-Mehrwert

Eine Workplace-Infrastruktur für das Cloud-Zeitalter. Macht jeden Wandel mit.

Home-Office mit Familie organisieren – nutzt auch dem Unternehmen

Digitalisierung braucht eine Datenkultur, Use Cases und ein Vorgehensmodell.

Digitaler Smalltalk hält Kunden. Und kann sogar die Vertriebseffizienz steigern.

99,99 Prozent Verfügbarkeit ermöglichen neue Anwendungen.

KI-Services aus der Cloud mit eingebautem Datenschutz. Kann das funktionieren?

Ein neues Verfahren könnte eine der größten Hürden beim KI-Einsatz niederreißen.

Wie CIOs den Weg zur digitalen Transformation ebnen. Ein How-to in 4 Steps

Jetzt testen: Online-Meetings bieten neue Potenziale für Gruppendynamik.

Trifft sich ein Team online, ist die Zeit kostbar. Sorgen Sie für den Fokus

Strategie, Kultur und Verantwortung – die AI Business School unterstützt alle Branchen.

Die Cloud lockt mit Flexibilität, doch ihr wahrer Mehrwert liegt tiefer

Daten, Systeme und Personen – so orchestrieren Sie all diese Player

Wie Monitoring und Kompetenz-Teams im Kampf gegen Verschwendung helfen

Brücke schlagen zwischen Hybrid- und Multi-Cloud-Welt

Zero Trust ist die Basis des New Normal

DSGVO-konforme Nutzung der Microsoft Cloud-Dienste

Wer alles am freien Informationsaustausch mitarbeitet

Was CIOs tun müssen, um Entwickler zu halten und Talente zu gewinnen

Wegbereiter für ein agiles Business: Cloud Native richtig nutzen.

Inner Source ermöglicht Technologiesprung in der Softwareentwicklung

Cloud, Container, Open Source – Knackpunkt bleibt das Plattform-Management

DevSecOps ermöglicht eine sichere Entwicklung - Auch mit Open Source

Heute arbeiten Entwickler bei Microsoft viel autonomer und effizienter

Wie ein radikaler Change den Entwicklern mehr Autonomie bescherte

Big Data vs. Big Brother: Wie Sie ihre digitale Privatsphäre wahren

Datensilos eliminieren für effiziente Analysen mit Microsoft Azure