Was ist Datensicherheit? 

Unter Datensicherheit versteht man den Schutz von Unternehmens- oder Privatdaten, die in digitaler Form vorliegen und über das Internet abgerufen werden können – ob rechtmäßig oder nicht. Aus Unternehmenssicht gibt es viele Gründe, Daten rigoros zu schützen: Geschäftsgeheimnisse, Einhaltung der Gesetze zum Schutz von Kunden- oder Patientendaten und Wahrung eines guten Rufs in der Öffentlichkeit.

Unternehmen können kritische Daten schützen, indem sie ein leistungsfähiges Cybersecurity-Programm aufbauen, das sowohl offensive als auch defensive Maßnahmen umfasst, um potenzielle Angreifer und/oder bösartige Akteure abzuwehren.

Datensicherheit vs. Datenschutz

Es gibt einige wichtige Unterschiede zwischen diesen Konzepten. Sie mögen auf den ersten Blick ähnlich erscheinen, aber die Sicherung von Daten ist nicht immer dasselbe wie die Wahrung des Datenschutzes. Möglicherweise gibt es einige Daten, deren Sicherung wichtig ist, die jedoch teilweise im öffentlichen Internet verfügbar sind.

Der wichtigste Unterschied besteht darin, dass die Datensicherheit digitale Informationen schützt, während Datenschutz die Fähigkeit des Eigentümers der digitalen Informationen ist, zu kontrollieren, wohin diese gelangen und wer darauf zugreifen kann.

Allerdings können diese beiden Konzepte regelmäßig miteinander verwechselt werden, insbesondere im Falle einer Datenpanne. Bei einer Datenpanne wurde die Sicherheit der Daten einer Organisation verletzt, was bedeutet, dass Kunden, die zuvor private Daten an das betroffene Unternehmen übermittelt hatten, die Kontrolle über ihre privaten Daten verloren haben. Die beiden Konzepte sind stark miteinander verflochten und betreffen sowohl das Unternehmen als auch Kunden/Patienten/Benutzer.

Warum ist Datensicherheit wichtig? 

Datensicherheit ist wichtig, da sie, wie oben erwähnt, sowohl ein Unternehmen als auch die Personen betrifft, die mit diesem Unternehmen interagieren, z. B. Kunden, Patienten, Benutzer, Auftragnehmer, Partner usw. Wenn eine Person ihre personenbezogenen Daten an eine Organisation oder ein Unternehmen übermittelt, gibt es bestimmte Erwartungen seitens der Person, dass das Unternehmen sein Bestes zum Schutz dieser Daten tut.

Bestimmte Szenarien können für den Ruf eines Unternehmens katastrophal sein. Dazu könnte die verspätete Mitteilung an die Betroffenen gehören, dass ihre personenbezogenen Daten Teil eines Sicherheitsverstoßes sind, oder die Verwendung fehlerhafter Sicherheitsprodukte, die von böswilligen Akteuren ausgenutzt wurden.

Was sind die Vorteile der Datensicherheit? 

Die Vorteile der Datensicherheit sind zahlreich und können nicht hoch genug eingeschätzt werden. Beginnen wir damit, wie sich die Datensicherheit auf ein Unternehmen auswirkt. Die Einhaltung regulatorischer Standards – sowohl interner als auch externer – ist für die Geschäftskontinuität von entscheidender Bedeutung. Die Aufrechterhaltung einer angemessenen Datensicherheit bedeutet, dass ein Unternehmen sowohl bei staatlichen als auch bei internen Compliance-Prüfern in Bezug auf bestimmte Standards wie HIPAA, PCI DSS oder DSGVO einen guten Ruf genießt.

Bei Cloud Service Providern (CSPs) ist es Standard, dass die Daten eines Kundenunternehmens bei Übertragung in und aus der Cloud durch verschiedene Protokolle geschützt werden. Datenverschlüsselungsebenen werden verwendet, um die Sicherheit von Daten während der Übertragung zu gewährleisten. Dies gibt Unternehmen, die in der Cloud arbeiten, Sicherheit.

In Bezug auf die Reputation stellt der European Union's Data Protection Guide for Small Business fest, dass „ein Unternehmen, das für seinen sorgfältigen Umgang mit dem Datenschutz bekannt ist, mit größerer Wahrscheinlichkeit Nutzer oder Kunden an sich binden wird“.

Für Kunden liegt der Hauptvorteil klar auf der Hand: Ihre personenbezogenen Daten sind geschützt und sie müssen sich keine Sorgen machen, dass sie in die Hände von Bedrohungsakteuren gelangen, die gestohlene Daten verkaufen oder für andere schändliche Zwecke verwenden wollen.

Datensicherheitstypen

Das Konzept der Datensicherheit ist sehr klar und deutlich: Jede Person oder Organisation muss es heute ernst nehmen, wenn sie nicht zum Opfer werden will. Es stellt sich die Frage, wie ein Sicherheitsunternehmen seine Daten auf umfassende Weise schützen kann, um Angreifer effektiver abzuwehren.

Datenverschlüsselung 

Die Datenverschlüsselung wandelt das ursprüngliche Format der Daten in etwas Unlesbares um. Nach Angaben der Centers for Disease Control and Prevention sehen verschlüsselte Daten in der Regel wie eine lange Folge von zufälligen Buchstaben und Zahlen aus, wobei der beabsichtigte Empfänger in der Regel im Besitz eines Schlüssels ist, der die verschlüsselten Daten in lesbaren Text entschlüsseln kann.

Maskierung von Daten 

Wenn ein Bedrohungsakteur Daten maskiert, versucht er, die Zeichen und Zahlen zu ändern, aus denen die ursprüngliche Konfiguration der Daten besteht. Diese Änderungen sollen ein Gefühl des Vertrauens bei den Benutzern schaffen, da die Daten weiterhin echt aussehen sollen. Natürlich kann die Datenmaskierung auch dazu beitragen, Codeentwicklungsprozesse abzusichern und Risiken zu mindern.

Datenlöschung 

Dieser Prozess soll sicherstellen, dass Daten nicht in falsche Hände geraten, weil sie – nachdem sie ihre Nützlichkeit erfüllt haben – aus dem Internet gelöscht werden. Natürlich besteht immer das Risiko, dass eine Kopie sensibler Daten (wie personenbezogene Informationen) irgendwo im Internet oder auf Servern von Bedrohungsakteuren verbleibt.

Datenstabilität 

Angriffe sind zwar nicht zu 100 % unvermeidlich, aber die Wahrscheinlichkeit ist groß, dass jeder, der jemals Daten über das Internet übermittelt oder eine Transaktion abgeschlossen hat, eines Tages von einem Sicherheitsverstoß betroffen sein wird. Und wenn ein solcher Sicherheitsverstoß die Abwehrkräfte des Unternehmens in extremem Maße beeinträchtigt hat, stellt sich die Frage nach der Ausfallsicherheit der Daten: Wie schnell kann das Unternehmen oder die Organisation seinen Betrieb wieder normalisieren?

Datensicherheitsrisiken

Bei dem Versuch, Daten zu schützen und Kunden so viel Vertrauen wie möglich zu vermitteln, sind Anbieter immer mit Risiken konfrontiert. Bedrohungsakteure sind sehr gut darin, sich als vertrauenswürdige Personen auszugeben, wobei auch die Möglichkeit eines einfachen menschlichen Fehlers immer besteht. Wir wollen uns jedoch einige spezifische Risikoszenarien ansehen:

Versehentliche Offenlegung von Daten 

Niemand hat die Absicht, Daten preiszugeben und sie für Bedrohungsakteure angreifbar zu machen. Manchmal geschieht dies aber rein zufällig oder durch wiederkehrende Verhaltensweisen (wie die Wiederverwendung von Passwörtern), hinter denen keine böse Absicht steht. Stellen Sie sich das so vor: Die versehentliche Offenlegung von Daten ist dasselbe wie die versehentliche Gewährung des Zugriffs für Angreifer. Vor diesem Hintergrund ist eine gute Datensicherheitshygiene immer eine empfehlenswerte Praxis.

Phishing und Social Engineering 

Phishing-Angriffe wecken in der Regel das Interesse eines Nutzers durch eine Nachricht, die eine bestimmte Reaktion wie das Klicken auf einen Link in einer E-Mail oder Textnachricht bewirken soll. Am Anschluss daran könnte unwissentlich Malware auf ein Mobiltelefon oder einen Endpunkt heruntergeladen werden. Wenn dieser Endpunkt Teil eines größeren Unternehmensnetzwerks ist, könnte ein solches Vorkommnis das gesamte Unternehmen anfällig machen.

Bedrohungen durch Insider

Insider-Bedrohungen können von Mitarbeitern, Auftragnehmern, der Führungsetage oder anderen Personen ausgehen, die eine Verbindung zum jeweiligen Unternehmen haben. Eine einzelne Person kann – absichtlich oder unabsichtlich – ein Netzwerk nicht nur für Sicherheitsverletzungen oder Angriffe anfällig machen, sondern auch zu deren Verbreitung beitragen.

Malware

Ein Malware-Angriff führt in der Regel nicht autorisierte Aktionen auf dem System eines Benutzers aus. Die bösartige Software kann in Form von Ransomware, Spyware und vielem mehr auftreten. Theoretisch kann eine Cybersecurity-Team ausreichend geschult und erfahren genug sein, um einen Malware-Angriff einzudämmen, bevor er ein ganzes Netzwerk befallen kann.

Ransomware

Bedrohungsakteure setzen bösartigen Code ein, um den Betrieb eines Unternehmens zu stören, indem sie Daten in Geiselhaft nehmen, bis ein Lösegeld gezahlt wird. Die Angreifer hoffen, dass der Wunsch des Unternehmens, zum normalen Geschäftsbetrieb zurückzukehren, so stark sein wird, dass sie einfach das Lösegeld zahlen, um der ganzen Situation ein Ende zu setzen.

Speicherung von Cloud-Daten

Wenn Daten über ein Cloud-Netzwerk übertragen werden, besteht ein höheres Risiko für ein Abfangen und den Diebstahl der Daten, als wenn ein Unternehmen nur lokale Rechenzentren betreibt. In der heutigen Welt wird die reine On-Premise-Lösung jedoch zu einer zunehmend einschränkenden Option. Cloud-Anbieter ermöglichen schnell skalierbare, kostensparende und für Unternehmen konzipierte Abläufe. Daher müssen sowohl Anbieter von Cloud-Diensten als auch deren Kunden nach dem Modell der geteilten Verantwortung zusammenarbeiten, um die Cloud und die darin enthaltenen Daten zu sichern.

Komponenten einer Datensicherheitslösung

Die folgende Liste der Komponenten, die ein Unternehmen für eine wirksame Datensicherheitslösung benötigt, ist nicht vollständig, aber entscheidend für die Grundlage. 

Authentifizierung und Autorisierung 

Wie oben erwähnt, tragen Anmeldemethoden wie IAM und MFA dazu bei, sicherzustellen, dass nur die richtigen Personen Zugriff auf ein System, Netzwerk oder eine Anwendung haben.

Cloud-Sicherheit

Cloud-Datensicherheit ist das Prinzip des Schutzes von Informationen und Anwendungen auf öffentlichen und privaten Cloud-Plattformen. Dies wird durch die Anwendung von Cybersicherheit auf Cloud-Infrastrukturen erreicht, wobei die daraus resultierenden Grundlagen für den Erfolg der Cloud-Sicherheit in diesen eher flüchtigen Umgebungen geschaffen werden. 

Data Loss Prevention (DLP)

Tools zur Verhinderung von Datenverlust können dabei helfen, Informationen zu erkennen, die nach einer Sicherheitsverletzung aktiv exfiltriert werden. Sie tun dies, indem sie Netzwerkendgeräte überwachen und den Datenverkehr und die Interaktionen auf verdächtige Aktivitäten analysieren. Die Einführung von Anmeldeinformationen und erweiterten Identitätsprüfungen für Personen und Endgeräte kann dazu beitragen, das Risiko zu mindern.

E-Mail-Sicherheit

Die Sicherung von Unternehmens-E-Mails gegen nicht autorisierte Benutzer klingt wie eine Herausforderung, die schon vor Jahren hätte gelöst werden können. Aber angesichts der weiten Verbreitung von Phishing-Angriffen und Datenschutzverletzungen sind E-Mails immer noch ein Hauptbetätigungsfeld für Bedrohungsakteure.

Governance, Risk, and Compliance (GRC)

Es ist von entscheidender Bedeutung, dass Sicherheitslösungen den regulatorischen Standards entsprechen, die von nationalen, staatlichen oder lokalen Verwaltungsbehörden festgelegt werden. Die Vorschriften in puncto Compliance ändern sich ständig. Dementsprechend wichtig ist die Erstellung eines Plans, der die sich ständig ändernden Vorschriften berücksichtigt.

Schlüsselverwaltung

Durch die Schlüsselverwaltung liegt die Verschlüsselungskontrolle in den Händen des Benutzers. Die KMS-Funktion von Google ermöglicht beispielsweise die Verwaltung von kryptografischen Schlüsseln in einem zentralen Cloud-Dienst und bietet die Flexibilität, Daten entweder mit einem symmetrischen oder asymmetrischen Schlüssel zu verschlüsseln, den der Nutzer kontrolliert.

Netzwerkzugriffskontrolle 

Einfach ausgedrückt, geht es bei Network Access Control darum, wer auf ein Unternehmensnetzwerk oder -system zugreifen kann und wer nicht. Hier kommen Identity- und Access-Management-Checks (IAM) ins Spiel, damit Benutzer ordnungsgemäß authentifiziert werden können.

Passwort-Hygiene

Auf diese Weise wird sichergestellt, dass Passwörter und Autorisierungsdaten optimiert werden, um sensible Daten bestmöglich zu schützen. Dazu gehören Sicherheitsprotokolle wie die Multi-Faktor-Authentifizierung (MFA), das regelmäßige Ändern von Passwörtern und das proaktive Bereinigen schwacher Anmeldedaten im gesamten Unternehmen.

Zero Trust 

In einem Zero-Trust-Sicherheitsmodell werden alle Menschen, Endpunkte, Mobilgeräte, Server, Netzwerkkomponenten, Netzwerkverbindungen, Anwendungs-Workloads, Geschäftsprozesse und Datenflüsse von Natur aus als nicht vertrauenswürdig betrachtet und müssen einen Authentifizierungsprozess durchlaufen, um Zugriff zu erhalten.

Datensicherheitsstandards

Werfen wir nun einen Blick auf einige der vielen Standards zur Einhaltung von Vorschriften, die dem Schutz von Daten in verschiedenen Branchen und Gebieten auf der ganzen Welt dienen. 

  • Datenschutz-Grundverordnung (DSGVO): Die DSGVO der Europäischen Union verlangt den Schutz der personenbezogenen Daten von EU-Bürgern, unabhängig vom geografischen Standort der Organisation oder der Daten. Dazu gehören auch technische und organisatorische Sicherheitsmaßnahmen, die zum Zweck der Risikominderung regelmäßig aktualisiert werden.
  • ISO/IEC 27001: ISO/IEC 27001 ist ein Sicherheitsmanagementstandard, der gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht wird und allgemeine Best Practices und Kontrollen für das Sicherheitsmanagement angibt.
  • California Consumer Protection Act (CCPA): Dieser Standard gibt Verbrauchern mehr Kontrolle über die personenbezogenen Daten, die Unternehmen über sie erfassen, und bietet Leitlinien zur Umsetzung des Gesetzes.
  • Health Insurance Portability and Accountability Act (HIPAA): Dies ist ein US-amerikanischer Standard für das Gesundheitswesen, bei dem Patientendaten und andere geschützte Gesundheitsdaten (Protected Health Information, PHI) vor Sicherheitsverletzungen geschützt werden müssen.
  • Sarbanes-Oxley Act (SOX): Das US-amerikanische Gesetz SOX verlangt von börsennotierten Unternehmen, sicherzustellen, dass ihre internen Geschäftsprozesse ordnungsgemäß überwacht und verwaltet werden, da die Prozesse der Finanzberichterstattung durch IT-Systeme gesteuert werden, die sicher konfiguriert und ordnungsgemäß gewartet werden müssen.
  • Payment Card Industry Data Security Standard (PCI DSS): Diese Compliance-Maßnahme verpflichtet Einzelhandelsunternehmen dazu, die Daten von Kreditkarteninhabern durch strenge Sicherheitsmaßnahmen zu schützen.

Best Practices für Datensicherheit

Natürlich gibt es immer Best Practices, die man zum Schutz von Daten befolgen sollte. Werfen wir einen Blick darauf, wie Unternehmen im Namen ihrer Kunden (und ihres Rufs) für die Sicherheit ihrer Daten sorgen können:

  • Erweiterte und konsolidierte Sichtbarkeit: Den meisten Unternehmen fehlt der Überblick über alle Cloud- und Container-Umgebungen, die ihre Teams in jedem Schritt ihrer digitalen Lieferkette verwenden. Die Implementierung eines Systems zur kontinuierlichen Überwachung aller Cloud- und Containerdienste bietet mehr Einblick in die damit verbundenen Risiken.
  • Frühzeitige Risikoabwehr: Durch den Einsatz von Vorlagen-Scans auf Basis von Infrastructure-as-Code (IaC) können Cybersecurity-Teams kontextgerechte Ergebnisse erhalten, um die Grundlagen der Datensicherheit zu stärken. Das Lösen von Problemen in der CI/CD-Pipeline verbessert die Effizienz, da Probleme einmal behoben werden, anstatt sie zur Laufzeit immer wieder zu beheben.
  • Einsatz künstlicher Intelligenz (KI): KI-gestützte Tools können einige der sich wiederholenden und zeitaufwändigen Aufgaben übernehmen, mit denen Sicherheitsexperten konfrontiert sind. So können Analysten differenziertere Datensicherheitsprobleme angehen und sich nur auf die Warnungen und Probleme konzentrieren, die am wichtigsten sind.
  • Nutzung von Integrationen und Automatisierung: Integrationen ermöglichen es den Teams, schnell und nahtlos Aktionen über mehrere Systeme hinweg zu koordinieren. Und das macht es wiederum einfacher, eine ganzheitliche Sicherheitsumgebung auf Basis einer Reihe von einheitlichen Kontrollen zu schaffen. Automatisierte Aktionen , oder sogar selbstständig agierende Bots, im Rahmen dieser Kontrollen ermöglichen effizientere Reaktionen auf verdächtige Aktivitäten.

Lesen Sie mehr über Datensicherheit 

Case Study: Exponent sichert die Daten seiner Kunden mit der Rapid7 InsightVM Plattform und dem Managed Detection and Response Service