Weniger Aufwand, mehr Datensicherheit

Study: One third of German employees put the company's IT security at risk

Kudelski Security propagiert den Wechsel auf eine “werteorientierte” Datensicherheit. Wie Unternehmen damit bares Geld sparen können, erklärt der Sicherheitsspezialist in einem Sechs-Punkte-Papier.

In der Datensicherheit vertrauen viele Unternehmen auf das sogenannte Discovery-First-Modell. Hierzu sind jedoch aufwändige Analysen notwendig: Welche Daten sind an welchem Ort gespeichert? Wem gehören sie? Und wer kann darauf zugreifen? Darüber hinaus müssen Unternehmen Datenflüsse sowie Lebenszyklen abbilden und auch bestimmen, welche Vorschriften für sie gelten. Das kostet wertvolle Zeit und Ressourcen. Kudelski Security zeigt, warum eine “werteorientierte” Datensicherheit eine Alternative bietet:

Sechs Prinzipien der werteorientierten Datensicherheit

Grundsätzlich sollten sich Unternehmen auf praktische Kontrollen zur Behebung von Datenschwachstellen und Bedrohungen konzentrieren. Dabei unterstützen sie folgende Grundsätze:

1. Produkte definieren

Eine erste Vorgehensweise lässt sich aus der industriellen Produktion lernen. Dort führten in der Vergangenheit lange Planungsprozesse und übermäßige Lagerhaltung zu ineffizienten Prozessen. Um diesen Problemen entgegenzuwirken, entstanden neue Methoden – beispielsweise die agile Fertigung oder der Lean-Construction-Ansatz. Beide definieren bereits zu Beginn ihr Produkt und ermitteln, wie es geliefert wird. Und dadurch lässt sich die Wertschöpfungskette optimieren. Ein ähnliches Vorgehen empfiehlt sich bei der Datensicherheit. Dort ist die Datensicherheit das Produkt. Doch diese technischen Maßnahmen allein reichen nicht. Auch der Mensch sollte mit einbezogen und nicht nur als Sicherheitslücke gesehen werden. Er kann als zusätzlicher Abwehrschirm gegen Cyber-Angriffe helfen.

2. Effizienter aufdecken

Die Kenntnis über den Speicherort bestimmter Daten ist zwar wichtig, sollte aber nicht im Mittelpunkt stehen. Stattdessen empfehlen sich am Anfang eher umfassende Kontrollen von offensichtlichen Sicherheitsrisiken. Dazu gehören beispielsweise Wechseldatenträger und Übertragungen auf persönliche Cloud-Speicher oder E-Mail-Konten. Aber auch die automatische Bereinigung von öffentlichen Ordnern oder die Quarantäne stark veralteter Daten sollte beachtet werden. Idealerweise liegt der Fokus stets auf Aufgaben, die den Betrieb nicht stören.

3. Zuerst Dienste aufbauen

Erfolgreiche Kontrollen sollten mit den Unternehmenszielen vereinbar sein – etwa in Bezug auf Benutzerfreundlichkeit und Kommunikation, aber auch Prozesse für Ausnahmen sollten nicht vergessen werden. Es empfiehlt sich, die Mitarbeitenden so früh wie möglich über mögliche Risiken oder wichtige Maßnahmen zu informieren. Hierfür eignen sich beispielsweise Pop-up-Fenster mit einem Hinweis zur sicheren Zusammenarbeit. Auch lassen sich Metriken einbinden, um Führungskräften eine bessere Übersicht zum Nutzerverhalten ihrer Mitarbeitenden zu liefern.

4. Automatisierte Abläufe

Effektive Sicherheitsdienste nutzen Informationen aus der Datenerkennung oder -klassifizierung, um die Ergebnisse zu operationalisieren. Beispielsweise könnte das System mithilfe eines DLP-Dienstes bei Uploads auf persönliche Webmails warnen. Auch eine vollständige Sperrung anstelle einer einfachen Warnung lässt sich bei Bedarf auslösen.

5. Metriken bewusst einsetzen

Mithilfe genauer Analysen lassen sich Sicherheitskontrollen verbessern und Dienste bewerten. Wichtig sind dabei intern ausgerichtete Metriken. Sie zeigen etwa, wie lang der Dienst für eine typische Kontrolle benötigt. Zusätzlich gibt es externe Metriken, mit denen sich der grundsätzliche Erfolg erkennen lässt – beispielsweise die Menge gelöschter Altdaten oder die Anzahl blockierter Uploads. Außerdem lassen sich mit einigen extern ausgerichteten Parametern die Schwächen des Dienstes identifizieren. So zeigt die Reaktionszeit bei der Eskalation an, ob etwa eine Neuverteilung von Verantwortlichkeiten notwendig ist.

6. Insider-Risikomanagement

Es wird immer wichtiger, interne Sicherheitsrisiken zu minimieren. Derzeit reagieren Unternehmen oftmals erst, nachdem eine Schwachstelle erkannt wurde. Doch ein solches Vorgehen hat Schwierigkeiten bei großen, komplexen und hybriden Betriebsumgebungen. Das sogenannte Insider Risk Management (IRM) nutzt hingegen einen ganzheitlichen Ansatz. Es versucht grundsätzlich zu verstehen, warum gegen bestimmte Richtlinien verstoßen wird. Aus den Ergebnissen dieser Untersuchungen lassen sich dann die Sicherheitskontrollen und die Kompetenz der Mitarbeitenden verbessern. Schulungen helfen außerdem bei der Mitarbeiterbindung und -zufriedenheit. Im Kern des IRM geht es also um Menschen, Prozesse und deren Interaktionen. Je besser diese Maßnahmen greifen und akzeptiert werden, desto eher kann auch in weitere Technologien investiert werden, um die Transparenz zu erhöhen und sie in bestehende Prozesse zu integrieren.