Commvault: Top Ten für Datenschutz und -sicherheit
Der Europäische Datenschutztag ist ein guter Anlass, wenn es denn eines Anlasses bedarf, sich mit Datenschutz und -sicherheit in der eigenen Organisation zu befassen. »Cyberkriminelle werden jeden Tag raffinierter und die Cyber-Angriffe nehmen weiter zu«, kommentiert Elke Steinegger, Area Vice President and General Manager Germany bei Commvault. »Die durchschnittliche Zahl der wöchentlichen Cyberangriffe liegt weltweit bei rund 1.200. Es ist nicht mehr die Frage, ob ein Angreifer illegalen Zugriff auf die IT-Infrastruktur einer Organisation erhält, sondern vielmehr, wann es passiert und welche Folgen die Attacke nach sich zieht. Zum Glück sind Organisationen den Cyberattacken nicht schutzlos ausgeliefert. So etabliert sich gerade mit Cyber Deception eine neue Form der Verteidigung, die Unternehmen beim Schutz ihrer Daten vor Angreifern einen Schritt weiterbringt. Sie werden selbst zum Manipulator und schlagen den Angreifern ein Schnippchen, indem sie diese auf vermeintlich attraktive Fake-Ziele lenken, anstatt ihnen die eigenen Daten preiszugeben. Natürlich sollten Unternehmen auch grundlegende Maßnahmen gegen Cyberkriminelle ergreifen. Leider hapert es bei vielen Organisationen noch am nötigsten.
Top Ten für Datenschutz und -sicherheit
1. Strategie für Datenschutz und -sicherheit
Eine Strategie für Datenschutz und -sicherheit ist eine Selbstverständlichkeit, die in der Praxis oft fehlt. Eine solche Strategie muss neben Maßnahmen für Datenschutz und -sicherheit auch konkrete Pläne für den Katastrophenfall und eine schnelle und zuverlässige Wiederherstellung verlorener oder kompromittierter Daten beinhalten. Spezielle Aufmerksamkeit verdienen sensible Daten von Kunden und Partnern.
2. Verschlüsselung
Verschlüsselung ist die wichtigste Einzelmaßnahme zum Schutz von Daten. Sie trägt der Tatsache Rechnung, dass sich ein illegaler Zugriff auf Daten nicht mit hundertprozentiger Sicherheit verhindern lässt. Zwar können auch verschlüsselte Daten Cyberkriminellen in die Hände fallen. Sie sind für diese aber absolut wertlos. Sensible Daten sollten während ihrer gesamten Lebensdauer verschlüsselt sein, im Ruhezustand ebenso wie bei der Übertragung. Überspitzt gesagt: Verschlüsseln Sie Ihre Daten, bevor es ein Ransomware-Krimineller tut!
3. Multi-Personen-Authentifizierung
Die Nützlichkeit von Multi-Faktor-Authentifizierung (MFA) hat sich inzwischen herumgesprochen. Multi-Personen-Authentifizierung (MPA) geht einen Schritt weiter, indem kritische Aufgaben die Genehmigung mehrerer Befugter benötigen. Dies ist eine der einfachsten Möglichkeiten, Datenexfiltration oder -löschung zu verhindern. Warum sollten Ihre Daten auch nicht so sicherer sein, wie die Atomraketen der Großmächte?
4. Unveränderliche Datenspeicherung
Bei unveränderlicher Speicherung können bestimmte Daten geschrieben, aber nicht verändert oder gelöscht werden. In Kombination mit MPA kreiert die unveränderliche Speicherung eine hochsichere Datenspeicherebene, die sich perfekt für die Speicherung vertraulicher Daten eignet. Entsprechend entwickelt sich unveränderliche Speicherung schnell zu einem Standardbestandteil von Data-Governance-Vorschriften wie GDPR und HIPAA.
5. Datensouveränität
Allzu häufig verstoßen Organisationen gegen Vorschriften, die den Ort der Verarbeitung und Speicherung ihrer Daten festlegen. Jeder Ort, an dem sich private Daten befinden, auch wenn sie dort nur vorübergehend gespeichert sind, muss sich gemäß den gesetzlichen Bestimmungen in einer bestimmten Region befinden. Bei Missachtung riskieren Organisationen einen Image-Schaden, und empfindliche finanzielle Strafzahlungen. Gegebenenfalls hat eine Geschäftsführerin oder ein Geschäftsführer auch persönlich für etwaige Verstöße zu haften.
6. Data Governance & Kontrolle
Eine kürzlich durchgeführte Studie fand heraus, dass knapp ein Viertel der deutschen Unternehmen keinen genauen Überblick hat, wo seine sensibelsten Daten gespeichert sind. Um ihre Daten effizient schützen zu können, müssen Organisationen aber zunächst einmal wissen, welche Daten sie haben, wo sie sich befinden und welche Daten gefährdet sind. Man kann nicht schützen, was man nicht kennt!
7. Klassifizierung von Daten
Zu wissen, welche Daten vorhanden sind und wo sie sich befinden, ist nur ein Teil der Lösung. Organisationen müssen überlegen, welche Daten sensible Kundendaten, geschäftskritische Daten usw. sind und welche Bedeutung sie für die Organisation und ihre Kunden haben. Wenn ein Unternehmen nur Daten vor Ort schützt, entgehen ihm möglicherweise einige wichtige Kundendaten, die in seiner SaaS-basierten CRM-Lösung gespeichert sind. Apropos, Sie können sich nicht nur auf Ihren SaaS-Anbieter oder Ihren IaaS-Cloud-Provider verlassen, wenn es um den Datenschutz für Ihre Daten geht. Die Verantwortlichkeit für Ihre Daten liegt letztlich immer bei Ihnen, auch im Falle sogenannter »shared responsibility«.
8. Aufbewahrungsdauer
Es ist von entscheidender Bedeutung zu wissen, welche Daten vorhanden sind und wie wichtig sie sind, aber auch, wie lange sie relevant bleiben? Diese Frage ist für die meisten Organisationen schwer zu beantworten und findet seinen Niederschlag im Kauf immer größerer Speichersysteme. Die Möglichkeit, Daten eine voraussichtliche Lebensdauer zuzuordnen, kann sich erheblich auf die Bilanz eines Unternehmens auswirken und die privaten Daten der Kunden schützen. Systeme zum automatischen Auffinden, Klassifizieren und Festlegen von Aufbewahrungsfristen verringern das ungebremste Wachstum der Datenmenge, verkürzen die Zeit für die Wiederherstellung ungenutzter Daten und senken die Kosten.
9. Testen und aktualisieren
Das Testen und Aktualisieren von Resilienzplänen, oft auch als Runbooks bezeichnet, ist ein regelmäßig übersehener Aspekt einer Datenschutzstrategie. Die Zusammenarbeit mit Lösungsanbietern oder strategischen Datenschutzunternehmen, die Erfahrung mit der Erstellung eines Plans haben, kann den Zeitaufwand für die Aktualisierung erheblich verringern. Manche mögen Runbooks für überholt halten. Im Fall der Fälle erweisen sie sich aber immer wieder als zentrale Ressource, um alle Maßnahmen und Beteiligten zu koordinieren.
10. Risikobewertung
Wie erwähnt sollten Organisationen mit strategischen Partnern zusammenarbeiten, um halbjährlich oder jährlich eine Risikobewertung durchzuführen. Regelmäßige Assessments können dazu beitragen, das Muskelgedächtnis für eine solide Datensicherheit und eine solide Einstellung zum Datenschutz aufzubauen. Der Vorteil der Zusammenarbeit mit etablierten Anbietern für Datenschutz und -sicherheit besteht u.a. darin, dass sie über die neuesten Bedrohungen und Strategien zur Risikominderung auf dem Laufenden sind