Thought Leadership
Verstöße gegen den Datenschutz sind an der Tagesordnung und können auch weiterhin verheerende Auswirkungen für Organisationen haben. Die Bedrohung durch interne Akteure – ob böswillig oder versehentlich – wächst weiter an, während das Volumen und vor allem der Wert von Daten in Organisationen in einem atemberaubenden Tempo zunehmen.
Perimetersicherheit alleine reicht nicht aus, um steigende interne und externe Bedrohungen in den Griff zu bekommen.
Aktuelle Forschungsergebnisse von Verizon haben gezeigt, dass interne Akteure an 25 % der Datenschutzverletzungen beteiligt waren. Auch andere Umfragen belegen, dass die Bedrohung durch Insider zunimmt. So melden mehr als die Hälfte der Cybersicherheitsexperten im diesjährigen Bericht „Threat Monitoring, Detection and Response von Crowd Research Partners“ einen Anstieg der Insider-Bedrohungen.
Kein Wunder. Schließlich sammeln Unternehmen immer mehr Daten, um sie für ihre Business Intelligence zu nutzen. Auch die Menge der Daten, die Unternehmen mit Partnern, Lieferanten, Kunden und Cloud-Anbietern austauschen und über Anwendungen bereitstellen, wächst ständig weiter. Datenwachstum gehört zur Digitalisierung und zu einem expandierenden IoT-Ökosystem. Allerdings entstehen dabei zunehmend Gelegenheiten und Schnittstellen für immer komplexere Cyberattacken und Sicherheitslücken.
Aktuelle Technologien erfordern Umdenken
Bei einer Datenschutzverletzung eines Insiders befindet sich der Schuldige bereits innerhalb des Netzwerks. Egal ob diese böswillig oder unabsichtlich begangen worden ist, die Vorgehensweise, die Netzwerke in Zonen mit unterschiedlichem Sicherheitsbedarf (sogenannte Perimeter) unterteilt führt bei dieser Art von Bedrohung folglich nicht zum Ziel. Auch wenn sich Unternehmenssicherheit lange mit Perimetersicherung beschäftigt hat, sie ist auch nicht die beste Strategie gegen viele der externen Bedrohungen: Denn das Unternehmensnetzwerk endet nicht einfach am Grundstücksende. Unternehmen, die datenorientiert arbeiten wollen (und müssen heute) ihren externen Partnern, Lieferanten und Kunden sicheren Zugang zu ihren Datennetzwerken gewähren. Umso wichtiger ist es, Sicherheit auf der Datenebene zu implementieren, und diese nicht bloß innerhalb des Netzwerks sicherzustellen.
Dies ist heute insbesondere durch den Einsatz neuer Technologien verschärft notwendig. Cloud Computing, mobile Apps, Social Media und mehr…– um das Risiko von Bedrohungen durch Insider zu minimieren, müssen Unternehmen sich entsprechend auf drei Schwerpunktbereiche konzentrieren.
Chance 1: Die Daten
Vernetzte Unternehmen möchten vertrauenswürdigen Geschäftspartnern Zugang zu ihren Netzwerken geben, aber nicht jeder soll Zugriff auf alle Daten erhalten. Deshalb ermöglichen moderne Datenbanktechnologien eine flexible und granulare Zugriffssteuerung, die sicherstellt, dass Mitarbeiter nur die Berechtigungen besitzen, die sie zur Ausführung ihrer Aufgaben auch wirklich benötigen. So hat ein Mitarbeiter aus der Personalabteilung beispielsweise Zugriff auf die Gehaltsdaten, jedoch nicht auf die persönlichen Informationen, z. B. die Privatadresse, von anderen Mitarbeitern.
Es gibt weitere Sicherheitsmaßnahmen für Datenbanken, die direkt auf Datenebene angewendet werden können. Verschlüsselungstechnologien machen den Einsatz eines Entschlüsselungsschlüssels erforderlich, um auf Daten zugreifen zu können. Mithilfe von Datenschwärzung können Unternehmen vertrauliche Daten verbergen, während andere zugehörige Daten zugänglich bleiben. Im Rahmen einer klinischen Studie können so z. B. die Ergebnisse von Medikamententests für einen bestimmten Patienten freigegeben werden, während seine personenbezogenen Informationen weiterhin vertraulich bleiben.
All diese Verfahren verbessern die Sicherheit auf Datenebene. Damit Unternehmen jedoch geschäftlich nutzbare Erkenntnisse aus ihren Daten ziehen können, müssen diese vertrauenswürdig sein. Hierfür ist eine effektive Data Governance erforderlich: zu wissen, woher die Daten stammen, wann, wie und ob sie verändert wurden und vom wem. Denn greifen Sicherheitsmaßnahmen auf der Ebene der Daten selbst, müssen interne Akteure eine weitere Hürde überwinden.
Chance 2: Sensibilisierungsmaßnahmen
Die Nachlässigkeit von Mitarbeitern ist nach wie vor die häufigste Ursache interner Sicherheitsverletzungen, so lautet die Schlussfolgerung der von der CSO 2017 durchgeführten Umfrage U.S. State of Cybercrime. 28 % der internen Sicherheitsvorfälle geschahen unabsichtlich oder zufällig, 18 % vorsätzlich und 8 % in Folge des Diebstahls von internen Anmeldedaten, so die Studie. Der mit 100 leitenden Mitarbeitern aus dem Gesundheitswesen durchgeführte 2017 KPMG Cyber Healthcare & Life Sciences Survey kam zu dem Ergebnis, dass in nicht weniger als 55 % der Unternehmen Mitarbeiter auf Phishing-Scams hereinfallen. Und eine aktuelle Studie von Trend Micro zeigt, dass 65 Prozent der Unternehmen ihre Mitarbeiter noch nicht für das Thema Datenschutz sensibilisiert haben. All dies macht deutlich, wie wichtig eine bessere Aufklärung über die Risiken ist.
Es gibt deutliche Unterschiede in der Art und Weise und Häufigkeit, mit der Unternehmen ihre Mitarbeiter weiterbilden. Sinnvoll ist das ganze jedoch nur, wenn Mitarbeiter auch wirklich anerkennen, dass Sicherheit wichtig ist. Mitarbeiter sind aufzuklären und zwar über – den Wert von Unternehmensdaten, welche unterschiedlichen Datentypen es gibt, was weitergegeben werden darf und was nicht und warum Zugriffskontrollen so wichtig sind. Mitarbeiter sollten wissen, dass Netzwerkausfälle und Datenverluste den geschäftlichen Ruf schädigen und so möglicherweise in Zukunft geschäftliche Chancen gefährden. Jeder kann sich die Mühen und Kosten, die durch einen Identitätsdiebstahl entstehen, plastisch vorstellen. Auch ein Unternehmen ist in dieser Beziehung anfällig.
Chance 3: Management als gutes Beispiel voran
Das Führungspersonal gibt bei der Frage, wie wichtig etwas wirklich für ein Unternehmen ist, den Ton an. Setzen sich leitende Mitarbeiter wirklich für Sicherheit und Schulungen ein? Ist Sicherheit im Gespräch mit Mitarbeitern und Vorstandsmitgliedern ein Thema? Trotz der Bedeutung, die der Datensicherheit z.B. im Gesundheitswesen zukommt, förderte eine KMPG-Studie zutage, dass gut ein Drittel der Unternehmen aus der Gesundheitsbranche noch nicht mal einen Chief Information Security Officer CISO haben und dass 6 von 10 Vorständen Cyberrisiken als IT-spezifisches Problem und nicht als Anliegen von allgemeiner Tragweite sehen. Die IDC Studie zur Datenschutzgrundverordnung widerum fand heraus, dass lediglich 17 Prozent der Unternehmen einen Datenschutzbeauftragten bestellt haben.
Chance 4: Die Verheißungen von Big Data
Bisher war die Sicherheitserkennung auf das Aufspüren von Mustern in netzwerkzentrierten Daten beschränkt. Mittlerweile werden Daten auf Servern und in Datenbanken gehalten, die allesamt überwacht und geprüft werden und so weitere Erkennungsmöglichkeiten bieten. Metadaten – also Daten über Daten, z. B. über deren Herkunft, Qualität, Eigentümer und Geolokalisierung – bieten neue Möglichkeiten zur Erkennung von Sicherheitsanomalien. In Kombination mit Rechenleistung, die zur Big Data-Analyse geeignet ist, ergeben sich daraus neuartige Möglichkeiten, Sicherheitsverletzungen zu erkennen, oder, besser noch, zu verhindern, bevor sie entstehen.
Daten gehören heute zu einem der wichtigsten Geschäftsfaktoren und müssen vor Angriffen von Außen und Innen geschützt werden. Datensicherheit sollte deshalb nicht zuletzt aufgrund des rasant wachsenden Datenvolumens immer auf der Agenda stehen. Nur so kann man der drohenden Gefahr trotzen.
Autor: Stefano Marmonti, DACH Director bei MarkLogic
