"Einen Sack Flöhe hüten" ist eine traditionelle Redewendung, wenn man von einer nicht zu bewältigenden Aufgabe spricht. Immer mehr Verantwortliche in Unternehmen fühlen sich daran erinnert, wenn sie an das Management und die Absicherung ihrer Unternehmensdaten denken. Denn ebenso wie winzige Flöhe jede Lücke nutzen, um zu entkommen, tendieren Daten ebenfalls dazu, durch winzige Lücken diverser Sicherheitsmechanismen zu diffundieren und in falsche Hände zu gelangen.
Dass leider oftmals Mitarbeiter am Verlust von Daten beteiligt sind, verkompliziert die Sache weiter. Sie handeln in der Regel in bester Absicht und wollen schlicht effektiver mit den Daten arbeiten. Wenn aber Daten in Anwendungen und dazugehörigen Datenbanken, auf Notebooks und Smartphones, in Cloud-Speichern, in Ordnern auf Netzlaufwerken, in Shares und Spezialanwendungen in der Cloud liegen, wird eine zentrale Kontrolle und Absicherung mit herkömmlichen Kontrollmechanismen sehr schwer.
Daten immer schwerer zu fassen
Die Ergebnisse des diesjährigen Enterprise Cloud Index (ECI), einer Marktforschung von Vanson Bourne im Auftrag von Nutanix, zeigen, dass es in Zukunft nicht einfacher wird. Danach nutzen 60 Prozent der Organisationen schon heute eine gemischte IT-Infrastruktur. In den kommenden drei Jahren planen dies 74 Prozent zu tun. Die Infrastrukturentscheidungen der Befragten richten sich überwiegend nach den zu verarbeitenden Daten.
Sie legen dabei zwar Wert auf Datensicherheit, Datenschutz und die Möglichkeit der Datenwiederherstellung, haben aber die Bedeutung von Datentransparenz noch nicht verinnerlicht: Nur 40 Prozent gaben an, dass sie genau bezeichnen können, wo sich ihre Daten befinden und auf Nachfrage, zum Beispiel im Rahmen von Prüfungen oder Auditierungen, die benötigten Nachweise erbringen können.
Die eigenen Daten, die damit verbundenen rechtlichen Anforderungen und den Speicherort zu kennen, ist allerdings die Grundvoraussetzung, sie auch angemessen schützen zu können. Der grundsätzliche Wille zum Schutz der Daten ist überwiegend vorhanden und die Kritikalität bekannt. Wie eine Umfrage von Microsoft im Februar 2022 unter US-Firmen zeigt, haben 80 Prozent der Entscheider in mehrere (zum Großteil mehr als drei) Produkte investiert, um die vielfältigen Anforderungen an Compliance und Datensicherheit zu erfüllen.
Allerdings erhöht die Verwaltung einer aus mehreren unabhängigen Produkten bestehenden Umgebung die Komplexität und den Aufwand der Umsetzung entsprechender Maßnahmen enorm. Wenn Daten nicht einheitlich klassifiziert und geschützt sind, ist es schwer, Informationen aus mehreren Lösungen zu ihrem Schutz zusammenzuführen, richtig zu interpretieren und im Falle eines akuten Problems die richtigen Maßnahmen zu ergreifen. Selbst wenn das gelingt: Wie kann man sicher sein, alle Daten geschützt zu haben, wenn schon im Vorfeld nicht genau bekannt war, welche Daten das Unternehmen überhaupt besitzt?
Wie Daten sich verselbständigen
Ansätze, die sich auf den Schutz einzelner Datenbanken, individueller, archivierten Dokumente oder Daten innerhalb einer Anwendung beschränken, greifen ohnehin zu kurz. Das lässt sich an einem Beispiel veranschaulichen:
Die Mitarbeiterin einer Baufirma - nennen wir sie Monika Müller - bekommt ihr Angebot von einem Kunden mit einigen Fragen und Anmerkungen versehen per E-Mail zurück. Sie möchte die offenen Punkte mit ihren Kollegen klären und lädt das Dokument in einen Microsoft Teams Chat. Dort wird gemeinsam entschieden, dass einige Positionen im Angebot angepasst werden müssen. Also überträgt Monika die Datei in SharePoint, damit Kollegen aus anderen Abteilungen sie einsehen, kommentieren und Anmerkungen einfügen können.
An dem Projekt ist auch ein externer Dienstleister beteiligt, der von Wolfgang betreut wird. Er lädt die bearbeitete Datei in einen Filesharing-Dienst, über den er seit Jahren mit dem Dienstleister zusammenarbeitet, und bittet um kurzfristige Stellungnahme.
Michael, Wolfgangs Ansprechpartner beim Dienstleister, muss noch sein Kind vom Sport abholen. Damit er die knappe Antwortzeit einhalten kann, druckt er die Datei aus, um sie sie später durchzusehen. Allerdings hat sich sein Kind beim Sport verletzt und in der Aufregung lässt Michael die Mappe mit dem Ausdruck im Vereinsheim liegen.
Dort findet sie Werner. Der ist nicht nur Trainer einer anderen Jugendmannschaft, sondern auch stellvertretender Geschäftsführer bei einer Baufirma im Nachbarort - und freut sich, dass er gleich morgen Monikas Kunden ein Angebot schicken kann, mit dem er seinen Konkurrenten aussticht.
Fünf wichtige Fragen zur Datensicherheit
Das fiktive, einfache Beispiel zeigt, wie harmlos erscheinende Arbeitsschritte, bei denen die beteiligten Personen jeweils nur bestmöglich ihre Arbeit tun wollen, zu einem gravierenden Datenverlust führen können. Selbst wenn es kein böses Ende gibt und die Daten nicht Unbefugten in die Hände geraten, bergen solche Prozesse erhebliche Compliance-Risiken. Das Beispiel ist zudem stark vereinfacht. Die meisten Prozesse in Firmen sind wesentlich vielschichtiger, komplexer, unberechenbarer, erstrecken sich über noch mehr Anwendungen und involvieren deutlich mehr Personen.
Nicht immer verstehen die Beschäftigten zudem, wie kritisch die Daten sind, mit denen sie täglich arbeiten. Selbst wenn sie ein Bewusstsein dafür haben, siegt oft die Bequemlichkeit oder der Wunsch, Aufgaben "einfacher" oder auf dem "kleinen Dienstweg" zu erledigen. Hinzu kommt das Risiko durch externe Angreifer oder böswillige Mitarbeiter - etwa, bevor sie das Unternehmen verlassen.
Als Verantwortlicher sollten Sie sich deshalb fragen:
Wie viele und welche vertraulichen und personenbezogenen Daten habe ich im Unternehmen?
Wie gut sind diese Daten im Unternehmen geschützt?
Wie werden Daten im Unternehmen klassifiziert?
Wie kann ich Transparenz darüber herstellen, wer auf vertrauliche Daten zugreift, sie verarbeitet oder weiterleitet?
Wie kann ich Firmendaten schützen, ohne die Produktivität einzuschränken?
Eine Frage der Inneren Sicherheit
Unternehmen haben in der Regel auf alle diese Fragen zumindest einige Antworten. Schließlich sind Data Governance, Compliance und Risikomanagement keine neuen Anforderungen. Deshalb sind Rechte- und Benutzer-Management-Lösungen oder Tools für Data-Loss-Prevention (DLP) Teil ihrer Security-Strategie. Bei objektiver Betrachtung wird sich aber zeigen, dass sich in solch einer Infrastruktur nicht alle Fragen umfassend und endgültig beantworten lassen. Oft gibt es mehrere Teil- oder Insellösungen, die sich einerseits überschneiden, andererseits aber weiße Flecken lassen.
Foto: Microsoft
Außerdem wird solch ein internes Audit zeigen, dass sich der Schutz von Daten bisher überwiegend auf den unbefugten Zugriff von außen konzentriert hat. Anti-Malware-Lösungen, Identity- und Access-Management, Netzwerksicherheit und viele weiter Maßnahmen gehen davon aus, dass den Daten von außen Gefahren drohen. Dass sie, wie im oben ausgeführten Beispiel, im Arbeitsalltag auch durch unvorsichtige Aktionen oder aus Versehen in falsche Hände geraten, wird in den meisten Konzepten nicht oder nur unzureichend berücksichtigt.
Im 2020 vorgelegten Bitkom-Studienbericht "Wirtschaftsschutz in der vernetzten Welt" berichtet Michael Niemeier, der damalige Vizepräsident des Bundesamtes für Verfassungsschutz (BfV), dass ein Drittel der von Wirtschaftsspionage betroffenen Firmen von früheren Mitarbeitern vorsätzlich geschädigt wurde. Ein knappes Viertel hat ehemalige Beschäftigte als Verantwortliche ausgemacht, ohne ihnen jedoch ein absichtliches Fehlverhalten zu unterstellen oder nachweisen zu können.
Zu ähnlichen Ergebnissen kam die Personalberatung Rochus Mummert in einer Umfrage. Dabei schätzten 60 Prozent der Teilnehmer mögliches Fehlverhalten der Mitarbeiter als hohes bis sehr hohes Risiko ein. "Unaufmerksame Mitarbeiter" nennen 71 Prozent der Befragten als größtes Hindernis für bessere IT-Sicherheit.
Data Governance und Datenschutz sind untrennbar miteinander verbunden und müssen sie ganzheitlich behandelt werden. Microsoft hat zu diesem Zweck Data-Governance-Funktionen sowie Lösungen für Compliance und Risikomanagement unter dem Namen Microsoft Purview zusammengeführt.
Whitepaper
Hybrides Arbeiten, Big Data und der Fachkräftemangel erschweren den Datenschutz. Mit diesen 4 Strategien schützen Sie Ihre Daten zuverlässig.
Bewältigen lässt sich die daraus abzuleitende Aufgabe für einen effektiven Data-Governance-Plan, indem verschiedene ineinandergreifende Kontrollmechanismen implementiert werden, die unter anderem den unbefugten Zugriff auf Daten über verschiedene Arbeits- und Prozessabschnitte hinweg verhindern und damit vertrauliche Daten während ihres gesamten Lebenszyklus schützen. Von entscheidender Bedeutung ist dafür das Verständnis für den Zusammenhang zwischen den Benutzeraktivitäten und den Daten - wobei stets zwischen Datensicherheit und Anforderungen an die Zusammenarbeit oder Produktivität abgewogen werden muss.
Alltäglich genutzte Produktivitätsanwendungen, in denen Daten erstellt, geteilt und verarbeitet werden sind der beste Ansatzpunkt um Datenschutzerfordernisse in eine übergeordnete, durchgängige Security-Strategie zu integrieren.
In diesem Blogbeitrag erfahren Sie, wie Sie mit "Adaptive Protection" Ihre Daten automatisch vor den wichtigsten Risiken schützen können.
Alle Artikel aus Sicherheit
Neue Risiken erfordern neue Antworten. Diese Technologien und Konzepte bringen Sie auf den neuesten Stand.