Data Governance

Unternehmensdaten:Vom IT-Risiko zur sicheren Festung

Schloss-Sicherheit

Unternehmen stehen heute vor großen Herausforderungen, wenn es um die Verwaltung, Kontrolle und Sicherung ihrer Daten geht. Diese sind durchweg in Bewegung, werden ständig verändert und öfter geteilt, als uns vielleicht bewusst ist.

Durch die Verwendung von Large Language Models (LLMs), die gemeinsame Nutzung mit Drittanbietern oder – schlimmstenfalls – die Veröffentlichung im Dark Web entstehen blinde Flecken, die Sicherheits- und IT-Teams den Überblick darüber nehmen, wo sich Daten befinden und wie und von wem auf sie zugegriffen wird. Ohne diesen entscheidenden Einblick wird eine effektive und sichere Verwaltung des Datenzugriffs nahezu unmöglich. Unabhängig davon, ob Daten an ein LLM „gefüttert“ oder mit einem Anbieter geteilt werden, waren sie noch nie so vielen Risiken ausgesetzt.

Anzeige

An diesem Punkt sollte das Thema „Data Governance“ ins Spiel kommen. Zu Data Governance-Praktiken gehören Verfahren und Konzepte wie Klassifizierung, Mapping und Zugriffskontrollen. Die werden aber durch Technologien und Anwendungen, auf die sich Unternehmen heute verlassen, wie Data Lakes, APIs und Cloud-Speicherung, in ihrer Durchführung zusätzlich erschwert. Das sorgt für eine höhere betriebliche Komplexität, die von zunehmender gesetzlicher Regulation eher angereichert als vermindert wird. Und das bedeutet auch: Im Falle eines Vergehens werden die Unternehmen für ihren Umgang mit Daten entweder von Auditoren gelobt oder vom Gesetzgeber zur Rechenschaft gezogen.

Der Datenpanne zuvorkommen

Viele Sicherheitsverantwortliche fangen erst nach einem IT-Vorfall an, über Datentransparenz nachzudenken. Erst eine Sicherheitsverletzung macht ihnen bewusst, dass in Drittanwendungen Datenmissbrauch stattgefunden haben muss. Fängt man erst bei der Benachrichtigung über eine Sicherheitsverletzung an, über die Dienstleistungsvereinbarungen mit Lieferanten oder Partnern nachzudenken, die kein angemessenes Sicherheitskonzept für den Umgang mit Daten aufweisen, ist es bereits zu spät.

Tritt eine Datenpanne auf, ist zudem oft nicht klar, woher die Daten stammen oder welche Anwendung, welcher Anbieter oder welche Quelle die Ursache war. Ohne zu wissen, wie und warum die eigenen Daten ihren Weg ins Dark Web gefunden haben, gibt es keine Möglichkeit, eine angemessene Reaktion zu bestimmen. „Alles dichtmachen“ ist eine schlechte Erstreaktion, wenn man nicht weiß, welche Eingänge überhaupt geschlossen werden sollen. Durch eine strengere Kontrolle des Datenzugriffs lässt sich jedoch leichter feststellen, wer Zugang zu den gestohlenen Informationen hatte. Dazu empfiehlt sich die Anwendung bewährter Prinzipien wie „least privilege“, „need-to-know“ und „Aufgabentrennung“. Die Verwendung von digitalen Wasserzeichen hilft zudem dabei, nachzuverfolgen, wie sensible Daten abhandenkamen.

Anzeige
Bildschirm­foto 2024 10 15 um 09.42.37

Bedrohung aus dem Dark Web

CIOs und CISOs müssen nach einem Ransomware-Angriff den Zugriff auf Unternehmensdaten wiederherstellen und die Systeme schnellstmöglich wieder online bringen. In vielen Fällen führt diese Eile bei der Wiederherstellung der Geschäftsfunktionalität dazu, dass die Beseitigung des Bedrohungsakteurs und die Untersuchung der wahren Ursache des Angriffs vernachlässigt wird. Dies zieht oft erneute Erpressungsversuche nach sich, da der Netzwerkzugang oder die exfiltrierten Unternehmensdaten in skrupellosen Kreisen im Dark Web verkauft und gehandelt werden. Wie diese Daten kompromittiert wurden, wird aufgrund unvollständiger Ermittlungsverfahren oft nie vollständig aufgeklärt.

Dadurch wird deutlich: CIOs und CISOs müssen deutlich früher in den Data Governance-Lebenszyklus eingebunden werden. Insbesondere sollten beide Rollen Datenklassifizierungen, Datenflüsse und -schnittstellen sowie geeignete Kontrollen aus Unternehmenssicht verstehen. Ihr Wissen ist unverzichtbar dafür, das Risiko für Unternehmensdaten zu verringern – sei es durch internen Datenmissbrauch oder wegen Datenkompromittierung durch einen Bedrohungsakteur.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Datenverlust durch Mitarbeiter oder LLMs

Eine versehentliche Datenschutzverletzung durch Mitarbeiter kann ebenso schwerwiegende Folgen haben wie die Exfiltration von Daten durch einen Bedrohungsakteur. Ein Beispiel hierfür sind Large Language Models (LLMs): Mitarbeiter nutzen kostenlose und kostengünstige LLMs für Recherchen und Analysen, indem sie in ihre Anfragen an die Modelle Unternehmensdaten eingeben. Diese Werkzeuge selbst sind nicht das Problem, sondern die Art und Weise, wie sie genutzt werden. CIOs und CISOs können so viele Memos über den sicheren Umgang mit Daten schreiben, wie sie wollen – wenn am Ende Data Governance und Sicherheit stets der Bequemlichkeit weichen müssen, war der Aufwand vergebens.

LLMs nehmen bei Nutzeranfragen Unternehmensdaten auf und teilen diese möglicherweise mit anderen Benutzern, wenn sie ihnen Antworten liefern. Dabei darf man nicht vergessen, dass einige KI-basierte Chatbots in ihren Nutzungsbedingungen Klauseln darüber enthalten, dass geistige Eigentumsrechte an Inhalten, die in diese Systeme hochgeladen werden, verloren gehen. Doch nicht nur das: Die Unternehmen hinter den LLMs – die von der Sammlung und dem Verkauf der Daten profitieren – haben ebenfalls Zugriff auf diese Informationen.

Missbrauch von Daten durch Dritte

Zuletzt gibt es noch ein weiteres Szenario: den Datenverlust durch Dritte. Die meisten Unternehmen verlassen sich bei der Erfassung, Verarbeitung und Speicherung ihrer Daten auf Dienstleistungen Dritter. Aber selbst wenn Drittanbieter strenge Sicherheits- und Datenverwaltungskontrollen einhalten, besteht immer das Risiko, dass auch der Dienstleister kompromittiert werden kann. Solche Vorfälle sind keine Einzelfälle, sondern werden immer alltäglicher. Datenschutzverletzungen treten dieser Tage immer häufiger auf und machen deutlich, wie bedeutsam und folgenschwer Vorfälle bei Dritten sein können.

CISOs und CIOs können dieses Problem direkt angehen, indem sie sicherstellen, dass ihre Anbieter, Lieferanten und Partner über angemessene Sicherheitsprogramme verfügen, die ihr Unternehmen vor Sicherheitsvorfällen und Datenlecks schützen. Die Verträge sollten entsprechend die firmeneigenen Anforderungen an Sicherheit, Datenschutz und Risikomanagement enthalten.

Datensicherheit ist unternehmensweite Notwendigkeit

Data Governance ist ein Mannschaftssport, und IT- und Sicherheitsteams können nicht allein agieren, sondern müssen mit den wichtigsten Stakeholdern im gesamten Unternehmen zusammenarbeiten. Mit ihren unterschiedlichen Perspektiven verstehen diese Stakeholder den Kontext der Beziehungen zu Dritten, die Art und den Umfang der vom Unternehmen verwendeten Daten und die potenziellen Auswirkungen auf das Unternehmen, wenn diese Daten kompromittiert werden. Es ist von entscheidender Bedeutung, dass die Kluft zwischen DevOps und Sicherheit, die eine effektive Data Governance erschwert, beseitigt wird. Angesichts der Vielzahl von Systemen, Technologien, Diensten und regulatorischen Anforderungen, mit denen Unternehmen konfrontiert sind, sollte Zusammenarbeit nicht als „nice to have“, sondern als betriebliche Notwendigkeit betrachtet werden.

CISOs und CIOs sind in einer einzigartigen Position, um diese Zusammenarbeit voranzutreiben. Eine wirkungsvolle Option ist die Einrichtung eines Data Governance-Ausschusses, der sich aus wichtigen Stakeholdern aus den Bereichen Sicherheit, Recht, Compliance, Investor Relations, Beschaffung, IT, Risikomanagement und Finanzen zusammensetzt. Darüber hinaus sollten die Rollen und Verantwortlichkeiten während des gesamten Lebenszyklus der Daten im Unternehmen festgelegt werden, einschließlich der Frage, wer befugt ist, Risikoentscheidungen in Bezug auf bestimmte hochwertige Datensätze zu treffen. Außerdem sollte ein Risikoregister verwendet werden, um die identifizierten Risikofaktoren und die empfohlenen Minderungsmaßnahmen zu erfassen. Unternehmen, die Data Governance ernst nehmen und konsequent angehen, werden unweigerlich widerstandsfähiger sein, wenn es um Risiken für die Unternehmensdaten geht.

Autor: Harold Butzbach, Director Sales for Central Europe, Sysdig Germany GmbH

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.