In den letzten Jahren ist die Erkennung und Klassifizierung von Daten zu einem der wichtigsten Schritte für eine erfolgreiche Datensicherheitsstrategie geworden. Denn obwohl die Digitalisierung viele Vorteile mit sich bringt, ist ein problematischer Nebeneffekt die erhebliche Zunahme von sogenannten „Schattendaten“ – Daten, die ohne Aufsicht oder Kontrolle durch Sicherheitsteams erstellt, gespeichert oder weitergegeben werden.
Datenschutzverordnungen sind in den letzten Jahren nicht nur in Deutschland mit der DSGVO, sondern auch weltweit immer strenger geworden. Das führt dazu, dass Unternehmen das Problem solcher Schattendaten immer ernster nehmen müssen, um die Einhaltung solcher Verordnungen sicherzustellen. Das hat aber auch dazu geführt, dass viel mehr in bessere Erkennungs- und Klassifizierungslösungen investiert wurde und wird. Allzu oft tappen Unternehmen in die Falle, ihre Daten zu klassifizieren und zu ermitteln, welche Daten am gefährdetsten sind. Denn gleichzeitig vergessen sie die Restlichen Informationen überhaupt grundsätzlich zu schützen.
Welche Daten müssen geschützt werden?
Für die Datenklassifizierung gibt es verschiedene Methoden. Im Allgemeinen werden sie aber in drei Sensibilitätsstufen klassifiziert:
- Hochsensible Daten, wie Finanzunterlagen oder geistiges Eigentum, deren Kompromittierung oder Beschädigung im Rahmen einer unbefugten Transaktion, verheerende Auswirkungen haben würden.
- Medium sensible Daten, die nur für den internen Gebrauch bestimmt sind, wie E-Mails oder Dokumente, aber keine vertraulichen Informationen enthalten. Eine Gefährdung oder Beschädigung würde keine verheerenden Folgen haben.
- Gering sensible Daten, die für die Öffentlichkeit bestimmt sind, wie Marketingmaterial oder Website-Inhalte.
Sind die Daten erstmal kategorisiert, reicht es für viele Unternehmen aus, lediglich für jene mit einer hohen oder mittleren Sensibilität Schutzmaßnahmen zu ergreifen. Daten mit geringer Sensibilität werden ignoriert. Schließlich sind sie für den öffentlichen Gebrauch bestimmt oder das Unternehmen muss keine Strafe zahlen, wenn sie nach außen dringen.
Das ideale Einfallstor für Hacker
Diese Annahme ist jedoch nicht nur falsch, sondern auch gefährlich. Um dies zu veranschaulichen, dient ein Wohnhaus als gute Metapher. Nur weil beispielsweise der teure Laptop weggesperrt wird, wird die Haustür nicht rund um die Uhr offengelassen, weil es ja egal ist, ob jemand den Mülleimer oder andere weniger wertvolle Dinge stiehlt. Ob der Einbrecher unwichtige Dinge mitnimmt, ist zweitrangig. Es geht darum, dass er sich einen umfassenden Einblick darüber verschaffen konnte, wo und wie die hochwertigen Gegenstände aufbewahrt werden.
Mit Daten ist es genau dasselbe. Während Daten mit geringem Risiko an sich keine Gefahr darstellen, ist die Tatsache, dass Hacker unbemerkt eindringen und es sich „gemütlich“ machen können, eine erhebliche Gefahr. Sind sie erst einmal drin, können sich Kriminelle so viel Zeit nehmen, wie sie wollen und herauszufinden, wo sich die Kronjuwelen beziehungsweise die wichtigen Informationen befinden, wie die Sicherheitskontrollen aussehen und wer die Datenbankadministratoren (DBAs) sind.
Unwichtige Daten? Gibt es nicht!
Es steht also fest: Auch der Schutz von Daten mit geringem Risiko ist für Unternehmen unumgänglich. Gründe dafür gibt es gleich zwei. Erstens, wie bei jeder IT-Lösung, besteht die Möglichkeit, dass ein neues Datensicherheitstool Störungen und potenzielle Ausfälle verursacht. Sollte das der Fall sein, ist es weitaus besser, wenn das bei Daten mit geringem Risiko geschieht und nicht bei einem großen Datenspeicher, der das Unternehmen zum Stillstand bringen kann, wenn er unerwartet nicht verfügbar ist.
Der zweite (und wichtigere) Grund ist, dass Unternehmen, wenn die Sicherheit nur für Daten mit hohem Risiko gilt, zur richtigen Zeit am richtigen Ort sein müssen, um einen „Einbruch“ zu verhindern. Sind die Hacker erstmal bereit, sensible Daten zu stehlen, fackeln sie nicht lange. Sie dringen ein, holen sich die Daten und verschwinden wieder. Im Gegensatz dazu kann man bei der Überwachung von Daten mit geringem Risiko die Handlungsweisen der Hacker erkennen, wenn sie versuchen in ein System einzudringen.
Agieren, nicht reagieren – Hacker stoppen, bevor sie zuschlagen
Aufgrund der zunehmenden Regulierung im Bereich Datenschutz ist das Erkennen und Klassifizieren von Daten zu einem zentralen Faktor für die Einhaltung von Vorschriften weltweit geworden. Dies hat dazu beigetragen, einige der Probleme im Zusammenhang mit dem Thema Datensicherheit zu lösen. Es wäre jedoch ein Fehler, die Einhaltung von Vorschriften mit einer hohen Qualität der Datensicherheit zu verwechseln, wie die Art und Weise zeigt, wie mit “risikoarmen” Daten umgegangen wird. Eine gute Datensicherheit bedeutet, dass keine Daten ignoriert werden, auch wenn sie als risikoarm eingestuft wurden.
Fazit:
Daten mit geringem Risiko sind das Einfallstor für Hacker, um zu beobachten, zu lernen und auf den idealen Moment zu warten, um einen Gang höher zu schalten und die Kronjuwelen zu erbeuten. Unternehmen, die es mit der Datensicherheit ernst meinen, sollten nicht abwarten und versuchen, die Angreifer auf frischer Tat zu ertappen. Sie sollten sie identifizieren, bevor sie zum Zug kommen. Das geht am besten, indem Daten mit geringem Risiko genauso intensiv überwacht werden wie solche mit einem hohen Risiko.