Thought Leadership
Die Cloud ist heute eine der wichtigsten Voraussetzungen für Unternehmen, die auf globaler Ebene erfolgreich sein wollen. Die damit verbundene Abkehr von lokalen Anwendungen und Infrastrukturen hat die Rolle der IT in Bezug auf die Sicherheit der Daten verändert.
Unternehmen geben jedes Jahr einen großen Teil ihres IT-Budgets für eine Vielzahl von Sicherheitslösungen aus, um Datenverluste zu verhindern. Die große Herausforderung besteht darin, dass durch die Cloudifizierung die Daten in einem strukturierten oder unstrukturierten Format und in verschiedenen Dateitypen über eine Vielzahl von verschiedenen Orten verstreut sind. Unternehmen müssen sicherstellen, dass sie alle Arten von Kanälen kontrollieren, über die Daten versehentlich oder absichtlich verloren gehen können, wie zum Beispiel über E-Mails, mobile Endgeräte, die Cloud und sogar USB-Sticks.
IT-Teams sehen sich bei der Kontrolle dieser unterschiedlichen Kanäle jedoch mit einer Reihe von Hürden konfrontiert, wie die übermäßige Abhängigkeit von manuellen Vorgängen, der Überlastung durch Warnmeldungen und Sicherheitslücken in Multi-Cloud-Umgebungen. Den Kern des Dilemmas bilden verschiedene Sicherheitsprodukte, die bei der Überwachung und Verhinderung von Datenverlusten in abgekapselten Silos ohne Korrelation untereinander arbeiten und zufällige Warnungen auslösen. Diese Hürden potenzieren in Kombination mit Legacy-Infrastrukturen, komplexen Technologie-Stacks und mangelnder Transparenz durch eine fehlende, einheitliche Verwaltungsoberfläche die Gefahr, dass das fragile Kartenhaus der Datensicherheit ins Wanken gerät.
Zwar ist die Zahl der Bedrohungsakteure, die es auf Daten in der Cloud abgesehen haben, um 288 Prozent gestiegen, aber eine aktuelle Studie der Stanford University zeigt, dass etwa 88 Prozent aller Datenschutzverletzungen durch Fehler der Mitarbeitenden verursacht werden. Die Aufgabe für Unternehmen besteht darin, eine zunehmend mobile Belegschaft abzusichern, egal ob sie zu Hause, unterwegs mit mobilen Geräten oder im Büro arbeitet. Bis zum Jahr 2025 wird die Zahl der in der Cloud gespeicherten Daten von 33 Zettabyte (ZB) auf 175 ansteigen. 95 Prozent der Workloads werden in der Cloud ausgeführt. Die Sicherheit von Daten in der Cloud wird für Unternehmen zu einem unverzichtbaren Faktor.
Im Folgenden werden die fünf häufigsten Möglichkeiten beschrieben, wie ein Unternehmen sensible Daten verlieren kann und wie Sicherheitsteams diese Probleme so effizient wie möglich entschärfen können.
1. Versehentlicher und fahrlässiger Datenverlust
Für die Mitarbeitenden besteht schnell die Gefahr, dass sich ein fahrlässiger Umgang mit Daten einschleicht. In den meisten Fällen sind Datenverluste nicht auf böswilliges Verhalten zurückzuführen, sondern auf Bequemlichkeit. Fehler werden gemacht beim Versuch produktiver zu arbeiten, oder die Belegschaft hat nicht das richtige Bewusstsein für die Datensicherheitsrichtlinien des Unternehmens. Ein User lädt Daten in eine nicht genehmigte Cloud-Anwendung hoch oder kopiert Daten in einen persönlichen Cloud-Speicher, anstatt die genehmigten Unternehmensverfahren zu befolgen. Eine Sensibilisierung der Mitarbeitenden für Daten erhöht das Sicherheitsniveau von vornherein.
Der Schlüssel zur Lösung dieses Problems liegt in einer Praxis, die im Wesentlichen den User durch Tools zur Workflow-Automatisierung in das Datenschutzprogramm einbezieht. Diese Tools ermöglichen dem Sicherheitsteam eine ständige Konversation mit dem User. Der eigentliche Mehrwert liegt in der Möglichkeit ihres Coachings. Ein Programm zum Verhindern von Datenverlusten (Data Loss Prevention, DLP) ermöglicht es den IT-Teams, Muster zu erkennen und die Mitarbeitenden darin zu schulen, aus ihren Fehlern zu lernen. In der Folge können die gleichen User bewusstere Entscheidungen im Umgang mit Daten treffen. Darüber hinaus ist es für Unternehmen wichtig, ihre Daten nach Kritikalität und Sensibilität zu klassifizieren und darauf aufbauend Präventionsstrategien gegen diese Arten des versehentlichen Datenverlusts zu entwickeln.
2. BYOD: Bring Your Own Device
In der modernen Arbeitswelt verwenden Auftragnehmer und Dritte immer öfter ihre eigenen Geräte für den Zugriff auf Unternehmensdaten. In der Vergangenheit hat die IT-Abteilung einem vorübergehenden Teammitglied möglicherweise ein Firmengerät zur Verfügung gestellt, damit sie die volle Zugriffskontrolle behält. Heute ist es viel einfacher und rationeller, den Mitarbeitenden zu erlauben, ihre eigenen Geräte für die Arbeit zu verwenden. Diese moderne Art des Arbeitens birgt jedoch auch Risiken. So könnte ein Auftragnehmer beispielsweise ein Dokument besonders interessant finden und es für einen späteren Zeitpunkt lokal abspeichern oder sogar eine riskante Webseite aufrufen. Es stellt sich also die Frage, wie die Produktivität beibehalten werden kann, ohne dass Unternehmensdaten auf dem Laptop des Auftragnehmers landen oder verbleiben, wenn die Zusammenarbeit beendet ist.
Hier kann Browser Isolation ein adäquater Lösungsansatz sein. Wenn beispielsweise ein Auftragnehmer auf Salesforce zugreifen muss, kann das IT-Team den Zugang über einen Cloud-Browser ermöglichen, anstatt direkt auf die Anwendung zuzugreifen. Auf diese Weise kann der Auftragnehmer über sein persönliches Gerät so auf die Daten zugreifen, wie es für die Arbeit benötigt wird. Trotzdem hat die IT-Abteilung die Kontrolle darüber, welche Datenim Browser verwendet werden und verschoben werden können.
Auf diese Weise wird der Auftragnehmer daran gehindert, Daten aus dem Browser auf eine Festplatte herunterzuladen oder es wird ihm der Zugriff auf Ausdrucke verweigert. So kann das Unternehmen die Verwendung von riskanten Anwendungen ermöglichen und den Teammitgliedern von Drittanbietern die Möglichkeit geben, ihre produktivsten Arbeitsmethoden beizubehalten, ohne dass für oder durch den User ein Risiko entsteht.
3. Gen KI Apps: Sichere Produktivität
Seitdem die Künstliche Intelligenz seit 2022 in den Vordergrund des geschäftlichen Interesses gerückt ist, experimentieren sowohl Unternehmen als auch ihre Mitarbeitenden mit den daraus resultierenden Anwendungen. Angesichts ihrer offensichtlichen produktivitätssteigernden Fähigkeiten werden sie von den Usern bevorzugt, um ihre Arbeit effizienter zu erledigen. Für IT-Abteilungen ist dies jedoch ein weiteres Beispiel für eine Schatten-IT-Anwendung, die zum Verlust sensibler Daten führen kann.
Generative KI kann als großes, übergeordnetes Gehirn in der Cloud betrachtet werden. Damit soll zum Ausdruck kommen, dass darin die Informationen vorgehalten bleiben, mit denen es einmal angefüttert wurde, allerdings ohne den Grad der Vertraulichkeit der Daten zu verstehen. Ein Beispiel: Ein Kommunikationsteam, das eine Pressemitteilung zu einer getätigten Übernahme vorbereitet, verwendet ein Gen KI-Tool zur Unterstützung. Sie riskieren dadurch, dass über das Tool diese Informationen an jemanden außerhalb des Unternehmens weitergegeben werden.
Denn wenn sie aufbauend auf der eigenen Nutzung das Tool zu den neuesten Nachrichten über das Unternehmen befragen, könnte es sensible und noch nicht zur Veröffentlichung freigegebene Informationen weitergeben, ohne das Wissen über die Vertraulichkeit zu berücksichtigen. Im Moment reagieren IT-Teams auf die Möglichkeiten der KI-Tools unterschiedlich. Einige Unternehmen blockieren Gen KI-Tools gänzlich, andere entwickeln ihre eigenen Anwendungen, und wieder andere wissen einfach nicht, wie sie mit diesen Tools umgehen sollen.
In der Realität lassen sich User nicht davon abhalten, die Vorteile dieser Anwendungen zu nutzen. Umso mehr sind Unternehmen gefordert, einen Plan zu entwickeln, um Datenverluste zu verhindern. Auch hier kann die Browser-Isolierung der Sicherheitsansatz der Wahl sein. Den Usern kann gestattet werden, mit der KI-Anwendung zu arbeiten, aber die IT-Abteilung des Unternehmens behält die Kontrolle über die Gen KI-Session. So kann verhindert werden, dass bestimmte Daten, die als sensibel eingestuft sind, von der Anwendung für die Öffentlichkeit gespeichert werden.
Darüber hinaus können DLP-Tools durch ihre automatisierten Richtlinien einen echten Mehrwert bieten. Dadurch lässt sich erkennen, ob beispielsweise Quellcode an eine Gen KI-Anwendung weitergeleitet wird und entsprechend bei Bedarf blockieren. Bei der Auswahl eines DLP-Tools für Gen KI-Apps empfiehlt es sich nach einem Tool zu suchen, das über viele vordefinierte Wörterbücher verfügt. Solche Tools verfügen über eine Vielzahl von Regeln, die die Bandbreite potenzieller Datenverluste in Gen KI-Apps regeln, wie beispielsweise Quellcode, Zahlungsinformationen, Kundendaten, Gesundheitsinformationen oder jegliche persönliche Informationen. Diese können dann den verschiedenen Kanälen wie Web, E-Mail und Apps wie ChatGPT zugewiesen werden, um Datenverluste zu verhindern.
4. USB und mobile Speicher
Es gibt nach wie vor Situationen, in denen sich das Speichern von Daten auf ein USB-Laufwerk anbietet. User können zu einem anderen Unternehmen wechseln und versuchen, Informationen mitzunehmen oder einen USB-Stick auf einer Messe erhalten. Diese Beispiele verdeutlichen die Wichtigkeit der Kontrolle derjenigen Kanäle, die sich zur Weitergabe von Informationen anbieten, sei es ein USB-Stick, die Netzwerkfreigabe oder Anwendungen zur Dateifreigabe wie Dropbox oder Google Drive. Auch wenn ein solches Vorgehen zum Datenaustausch effizient erscheinen mag, kann auf diese Weise eine klaffende Lücke im Netzwerk entstehen, und auch Hacker werden eine Freude daran haben, diese Anwendungen für ihre Zwecke zu nutzen.
Hier kann ein Endpoint DLP-Tool seinen Wert unter Beweis stellen, indem es physische Kontrollen für DLP umsetzt. Durch die Kontrolle über gängige Kanäle wie USB, Netzwerkfreigaben oder persönliche Speicher können sensible Daten vor Verlust geschützt werden.
5. Das Stoppen von böswilligen, internen Akteuren
Unternehmensspionage und externe Angriffe, bei denen Daten nach außen dringen oder Lösegeld erpresst wird, sind die eine Seite der Medaille. Wesentlich häufiger treten Fälle auf, in denen jemand an einen neuen Arbeitsplatz wechselt und versucht, Daten mitzunehmen. Dabei kann es sich um Lebensläufe für Bewerbungen, Marketing-Datenbanken oder auch nur um Dokumente handeln, die Informationen über bewährte Verfahren und Prozesse enthalten. In jedem Fall handelt es sich dabei um den Diebstahl von Daten.
Um dies zu verhindern, müssen Sicherheitsteams in der Lage sein, verdächtige interne Verhaltensweisen, die als Indikatoren für potenziellen Datenverlust fungieren, zu verstehen und darauf aufbauend Datenabfluss rechtzeitig zu stoppen. Ein User and Entity Behaviour Analytics (UEBA)-Tool stellt eine Möglichkeit dar, um riskantes oder ungewöhnliches Benutzerverhalten zu verfolgen, da es mithilfe von KI abnormale Aktivitäten erkennt und das Team informiert. Wenn beispielsweise ein User um drei Uhr morgens eine 6 GB große Datei herunterlädt, was für diesen Mitarbeitenden untypisch ist, informiert UEBA die IT-Abteilung, dass dieser Vorfall weitere Untersuchungen erfordert. Durch dieses Frühwarnsystem wird das IT-Team besser vor potenziellen Risiken gewarnt und kann diese ausschalten, bevor sie sich zu Datenverlusten auswachsen.
Weiterführender Schutz vor Datenverlusten
Ein komplexes Sicherheitssystem mit einer Vielzahl unterschiedlicher Produkte, die nicht harmonisch zusammenarbeiten, kann langfristig zum Verlust von Daten in vielen Unternehmen beitragen. IT-Teams müssen neue Wege gehen, um die Handhabung zum Verhindern von unerwünschtem Datenabfluss zu vereinfachen. Alle Aspekte der Unternehmens-IT sollten durch eine einzige Verwaltungsumgebung sichtbar gemacht werden. Die Entscheidung für eine Cloud Security Plattform-Lösung ermöglicht es Unternehmen, strukturierte und unstrukturierte Daten über alle Kanäle hinweg zu überwachen und so die Sicherheit in ihrem Unternehmen zu erhöhen und Datenverluste einzudämmen.
Autor: Steve Grossenbacher, Director of Product Marketing bei Zscaler
