Die Zeiten, in denen Unternehmensdaten auf das Unternehmensnetzwerk beschränkt waren, sind längst vorbei. Heute befinden sie sich praktisch überall: im Web, in der Cloud und auf den verschiedensten Endgeräten – auch auf privaten. Wie lässt sich Datensicherheit in einer solchen Welt zuverlässig und effizient umsetzen?
Der Security-Spezialist Forcepoint nennt die fünf wichtigsten Schritte.
Damit ein Unternehmen funktioniert, müssen Mitarbeiter unkompliziert auf alle Daten zugreifen können, die sie im Arbeitsalltag benötigen – jederzeit, von jedem Ort aus und mit dem Gerät ihrer Wahl. Dadurch entstehen unzählige Datenflüsse, die sich nur schwer kontrollieren lassen. Unternehmen verlieren zunehmend den Überblick, welche Daten sie überhaupt besitzen, wo diese gespeichert sind und wer auf sie zugreift. Dadurch fällt es ihnen schwer, die Datenflüsse über alle Kanäle hinweg zu überwachen und Sicherheitsrichtlinien konsequent durchzusetzen. Möglich ist das allerdings schon – die fünf wichtigsten Schritte für einen Ansatz, der überall Datensicherheit bietet, sind nach Erfahrung von Forcepoint die folgenden:
1. Zentrale Richtlinien für Cloud und Endgeräte definieren:
Nahezu alle Unternehmen speichern zumindest einen Teil ihrer Daten in der Cloud, manche verfolgen sogar einen Cloud-First-Ansatz. Da Mitarbeiter mit Notebooks, Smartphones und Tablets auf diese Daten zugreifen und die Geräte nicht immer Firmengeräte sind, sondern auch Privatgeräte sein können, entstehen viele neue Wege für den Abfluss sensibler Daten. Der traditionelle Ansatz, die Sicherheitsrichtlinien auf Endgeräten und in der Cloud mit verschiedenen Lösungen durchzusetzen, die jeweils ihre eigenen Richtlinien verwalten, funktioniert daher nicht mehr zuverlässig. Die separaten Tools bieten nur wenig Transparenz, verursachen durch die parallele Pflege mehrerer Regelsätze einen hohen Aufwand – und die Richtlinien werden schnell inkonsistent, sodass Lücken im Schutz entstehen. Unternehmen benötigen deshalb Tools, die auf einen zentralen Satz an Richtlinien zugreifen, um Datenflüsse zu überwachen und das unerwünschte Kopieren oder Teilen sensibler Informationen zu verhindern.
2. Web- und DLP-Richtlinien vereinheitlichen:
Das Web ist für Mitarbeiter nicht mehr nur eine Informationsquelle, aus der Daten abgerufen werden. Viele Web-Anwendungen und SaaS-Dienste sorgen dafür, dass Daten in die andere Richtung fließen – aus dem Unternehmen ins Web. Deshalb reicht es nicht mehr, nur webbasierte Attacken abzuwehren, auch eine Kontrolle der firmeneigenen Daten im Web ist notwendig. Zumal es zahlreiche regulatorische Vorgaben gibt, wonach bestimmte Daten nicht außerhalb des Unternehmens oder außerhalb der EU gespeichert und verarbeitet werden dürfen. Bislang nutzen Unternehmen allerdings zumeist nur Secure Web Gateways (SWG), um den eingehenden Datenverkehr zu kontrollieren, und verzichten auf die Kontrolle des ausgehenden Traffics mittels Data Loss Prevention (DLP). Doch selbst dort, wo DLP-Lösungen zum Einsatz kommen, sind sie in der Regel unabhängig vom SWG – mit dem bekannten Problem inkonsistenter Richtlinien. Einen besseren Schutz bieten Plattformen, die Datensicherheit mit SSE-Technologien (Secure Service Edge) wie Secure Web Gateway, Cloud Access Security Broker (CASB) und Zero Trust Network Access (ZTNA) vereinen und dabei einen einheitlichen Satz von Richtlinien nutzen.
3. Daten in E-Mails schützen:
E-Mail ist der Kanal, über den sensible Firmendaten am häufigsten abfließen – nicht immer absichtlich, denn viele Verletzungen der Datensicherheit geschehen versehentlich, wenn Mitarbeiter im hektischen Arbeitsalltag beispielsweise ein Dokument an den falschen Empfänger verschicken. Da E-Mail nach wie vor eines der wichtigsten Werkzeuge im Arbeitsalltag ist, müssen sich Unternehmen dringend um dieses Problem kümmern. Die eingesetzte Lösung sollte dieselben Richtlinien nutzen wie die Sicherheitslösungen, die über die anderen Kanäle wachen. Sie sollte aber auch unabhängig davon funktionieren, ob Unternehmen einen eigenen Mail-Server oder Cloud-basierte Mail-Dienste wie Exchange Online oder Gmail for Business nutzen, und unabhängig davon, ob Mitarbeiter mit Firmen- oder Privatgeräten auf ihre Mails zugreifen. Endpoint-basierte Lösungen sind daher ungeeignet, vielmehr müssen die Lösungen die Daten auf der Netzwerkebene kontrollieren. Im Idealfall bieten sie zudem erweiterte Funktionen für Verschlüsselung und Freigabeprozesse.
4. Angepasst und in Echtzeit auf Risiken reagieren:
Konsistente Richtlinien sind wichtig, reichen aber noch nicht, denn sie müssen auch automatisch zur Situation passend angewendet werden, um Mitarbeiter nicht durch zu strenges Blockieren bei der Arbeit zu behindern oder Sicherheitsteams durch zu viele manuelle Freigaben zu überlasten. Sicherheitslösungen, die Richtlinien risikobasiert anwenden, schaffen Abhilfe: Sie identifizieren riskantes Nutzerverhalten wie den Upload vertraulicher Informationen in die Cloud und berechnen abhängig von den konkreten Daten, dem Cloud-Dienst und anderen Kontextinformationen einen Risikowert, der bestimmte Schutzmaßnahmen auslöst – etwa einen Hinweis, die Daten zu verschlüsseln, eine Freigabeanforderung oder eine Sperre des Uploads. Das Monitoring der Aktivitäten und die Durchsetzung der passenden Richtlinien erfolgen in Echtzeit, sodass alle Risiken schnell und effizient minimiert werden.
5. Dark Data klassifizieren, bereinigen und schützen:
Bis zu 80 Prozent der Daten von Unternehmen sind Dark Data, also unbekannte oder ungenutzte Daten. Die Wahrscheinlichkeit, dass sich in dieser Datenflut schützenswerte Daten verbergen, die sich jeglicher Kontrolle entziehen, ist groß. Bislang war eine Klassifizierung mit einem großen manuellen Aufwand verbunden, doch moderne Lösungen nutzen KI und Machine Learning um Daten an den unterschiedlichsten Speicherorten aufzuspüren und weitgehend automatisiert zu klassifizieren. Anschließend können Unternehmen nicht nur die sensiblen Daten zuverlässig schützen, sondern auch den üblicherweise großen Bestand an ROT Data bereinigen – also all die redundanten, obsoleten und trivialen Informationen, die die Angriffsfläche unnötig vergrößern.
„Den Wert von zentralen Richtlinien für alle Sicherheitslösungen kann man gar nicht hoch genug einschätzen. Wenn Security-Teams nur einen einzigen Regelsatz pflegen müssen, spart das Zeit und Kosten und reduziert die Risiken, die mit inkonsistenten Richtlinien einhergehen, auf null“, betont Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint. „Ein solcher zentraler Richtliniensatz für Cloud-Anwendungen und Endgeräte ist nach unserer Erfahrung ein sinnvoller erster Schritt auf dem Weg zu ‚Data Security Everywhere‘, doch im Grunde können Unternehmen auch mit anderen Schritten starten und die Reihenfolge variieren. Wichtig ist, dass sie letztlich alle Schritte umsetzen, um wirklich alle sensiblen Daten aufzuspüren, zu klassifizieren und über sämtliche Kanäle – Cloud, Web, E-Mail, Unternehmensanwendungen, Fileserver und Endgeräte hinweg – zu schützen.“
(pd/Forcepoint)