Wenn man Datenschutzverletzungen vorbeugen will, geht es nicht nur darum, juristische Konsequenzen zu vermeiden, sondern auch die geschäftliche Kontinuität zu wahren. Laut einer Untersuchung von IBM sind die durchschnittlichen Kosten einer Datenschutzverletzung um 2,6 % gestiegen, von 4,24 Millionen US-Dollar im Jahr 2021 auf 4,35 Millionen US-Dollar im Jahr 2022. Eine Datenschutzverletzung führt potenziell zum Verlust von Informationen, zu einem ramponierten Ruf sowie zu Ausfällen und Produktivitätsverlusten.Datenschutzverletzungen sind inzwischen unbestreitbar eine der größten Bedrohungen für moderne Unternehmen. Wir stellen Ihnen 10 der wichtigsten Best Practices vor, um Datenschutzverletzungen möglichst schon im Ansatz zu verhindern.

 

Wie Sie eine Sicherheitsstrategie für Ihre Daten erarbeiten  

Datenschutzverletzungen treten auf viele unterschiedliche Arten in Erscheinung. Daher ist ein ganzheitlicher Datensicherheitsansatz am erfolgversprechendsten. Denken Sie bei der Betrachtung von Best Practices daran, dass diese am besten funktionieren, wenn man sie miteinander kombiniert.

1. Daten und sensible Informationen inventarisieren  

Man kann nicht schützen, was man nicht kennt. Das heißt, Firmen sollten sämtliche Daten und sensible Informationen inventarisieren. Alle Informationen sollten katalogisiert und die Datenbank/en kontinuierlich aktualisiert werden. Nur so ist gewährleistet, dass Sie wissen, wo sich Ihre Daten befinden.

Die Inventarisierung sensibler Daten ist besonders wichtig für Unternehmen, die HIPAA, DSGVO und andere Vorschriften für den Umgang mit sensiblen Daten einhalten müssen. Wenn Sie wissen, wo sich Ihre Daten befinden, sind Sie besser in der Lage, diese zu schützen und Missbrauch zu verhindern

2. Zugriffskontrollen einrichten 

Ein weiterer wichtiger Aspekt ist es, die Angriffsfläche zu minimieren. Eine Möglichkeit, potenzielle Angriffe in ihrer Wirkung abzuschwächen, besteht darin, den Zugriff auf geschäftliche Daten zu beschränken. Bevor Sie zum Beispiel jemandem Zugriff auf sensible Daten gewähren, sollten Sie Rolle und tatsächliche Aufgaben überprüfen. Nur weil ein Manager eine komplette Abteilung leitet, heißt das nicht zwangsläufig, dass er Zugriff auf sensible Daten braucht. Legen Sie Richtlinien für höhere Zugriffs-Level fest, und überprüfen Sie diese regelmäßig. So sind Sie immer auf dem aktuellen Stand und können Mitarbeiterkonten löschen, wenn jemand kündigt, sich die Rolle ändert oder jemand befördert wird.

3. Halten Sie Ihre Software auf dem neuesten Stand 

Sicherheitslücken, wie z. B. Zero-Day-Schwachstellen, sind eine stetige Bedrohung für Ihre Daten. Das Patchen von Software und Netzwerken ist unumgänglich. Heutzutage verwenden Angreifer KI, neuronale Netzwerke und ausgeklügelte Mesh-Computertopologien, die selbstständig nach Schwachstellen suchen. Nicht gepatchte Software setzt Ihre Daten und die Daten Ihrer Stakeholder einem Risiko aus.

4. Sichern Sie den Netzwerkperimeter und Data Endpoints  

Eine der am weitesten ausgedehnten Angriffsflächen ist der Netzwerkperimeter. Stellen Sie sich Ihr Netzwerk wie eine Burgmauer vor. Jeder lose Stein ist ein potenzieller Einstiegspunkt für einen Angreifer. Durch den Einsatz von Firewalls, Zugriffskontrollen, Intrusion Detection und anderen Tools sichern Sie Ihren Perimeter und minimieren das Risiko für ein unbefugtes Eindringen. Eliminieren Sie den Zugriff von außen auf Ihr Netzwerk und nutzen Sie Ende-zu-Ende-Verschlüsselung.

Netzwerke sind heute komplexer als jemals zuvor. Inzwischen arbeiten ganze Belegschaften remote, und im Netzwerk gibt es möglicherweise zahlreiche Endpunkte, über die sich Angreifer Zugriff auf die Systeme verschaffen können. Sie sollten Endpunkte beispielsweise mit einer Software absichern, die Malware erkennt. Im Gegensatz zu einer traditionellen Büroumgebung, sind inzwischen unzählige Geräte mit dem Internet verbunden und werden von den Benutzern auch im Home-Office eingesetzt. Schulungen, Anti-Malware- und andere Sicherheitssoftware tragen dazu bei, einen unbefugten Datenzugriff zu verhindern.

5. Wissen, was die Benutzer tun – überall  

Covid-19 hat viele Facetten unserer Welt verändert und im positiven wie im negativen Sinne die Einführung von Remote-Working beschleunigt. Es gibt eine Reihe von Tools, die es Ihnen erlauben, nachzuvollziehen, was Mitarbeiter remote gerade tun und wie. Auch das kann dazu beitragen, einen unbefugten Zugriff zu verhindern und zu erkennen, wenn Mitarbeiter sensible Daten missbrauchen.

6. Schaffen Sie eine Zero-Trust-Umgebung und begrenzen Sie die Möglichkeiten des »Lateral Movement« 

Eine hervorragende Möglichkeit, Endpunkte, Netzwerk und Daten zu sichern, ist eine Zero-Trust-Umgebung. Zero-Trust-Sicherheitsmodelle sind mittlerweile Standard bei der Datensicherheit des 21. Jahrhunderts.

In einer Zero-Trust-Sicherheitsumgebung sind drei Grundprinzipien entscheidend:

• Explizit verifizieren
• Least Privilege-Zugriff verwenden (Prinzip der geringsten Rechtevergabe)
• Assume a Breach

Durch die explizite Verifizierung autorisieren und authentifizieren Sie den Zugriff auf der Grundlage aller verfügbaren Datenpunkte. Dies bedeutet, bestimmte IPs für den Zugriff, den geografischen Standort, die Geräte usw. zu verwenden. Diese und weitere mehr sollten zur Verifizierung der Authentizität herangezogen werden. Least-Privileged-Zugriff, also das Prinzip der minimalen Rechtevergabe, schreibt fest, dass Benutzer nur auf die Daten zugreifen dürfen, die ihrer jeweiligen Rolle entsprechen.

Und schließlich sieht das Assume-Breach-Konzept vor, eine Ende-zu-Ende-Verschlüsselung (wie z. B. sichern der E-Mails) zu implementieren und den Datenzugriff und die Netzwerkebenen zu analysieren. Diese Praktiken bilden zusammen einen sicheren Rahmen und beschränken die Möglichkeiten eines Angreifers, sich im Netzwerk zu bewegen.

Ein weiteres Beispiel für die Wichtigkeit der Ende-zu-Ende-Verschlüsselung ist der Schutz von Finanzdaten und Geschäftsvermögen. Bankkonten für die Aufbewahrung Ihres Geschäftsvermögens zu nutzen, ist selbstverständlich. Aber das Wissen um die Tatsache, dass Banken und Finanzdienstleister ständig neuen Sicherheitsbedrohungen ausgesetzt sind, sollte Sie auch andere als die üblichen Sicherheitsvorkehrungen in Betracht ziehen lassen.

Eine Option ist es, bestimmte Unternehmensgelder in Kryptowährungen zu investieren. Auch wenn der Krypto-Markt hoch volatil ist, erlaubt die Blockchain-Technologie die Verschlüsselung von Krypto-Vermögenswerten durch kryptografisches Hashing. Darüber hinaus bieten Krypto-Wallets dank privater Schlüssel einen höheres Sicherheitslevel, indem sie unbefugten Zugriff verweigern. Nicht umsonst werden Krypto-Wallets mittlerweile von über 70 Millionen Menschen weltweit genutzt.

7. Verbessern Sie die Passwortsicherheit 

Zumindest sollte Ihr Unternehmen moderne Passwortrichtlinien einführen. Passwortrichtlinien sollten die folgenden Leitsätze abbilden:

• Das Passwort muss eine Mindestlänge haben
• Mitarbeiter sollten Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen verwenden
• Das Passwort muss regelmäßige geändert werden (alle 60 bis 90 Tage)
• Multi-Faktor-Authentifizierung ist zwingend erforderlich
• Sperren Sie Benutzer nach einer Mindestanzahl von Fehlversuchen bei der Passworteingabe

8. Sicherheitsexperten einbeziehen 

Es klingt vielleicht überraschend, aber manchmal ist es sichererer Sicherheit auszulagern. Etliche Unternehmen sind aus finanziellen und/oder organisatorischen Gründen nicht in der Lage, ein eigenes Sicherheitsteam aufzubauen. In diesen Fällen sind freiberufliche, externe Sicherheitsteams eine gute Alternative. Wenn Sie die Sicherheit Ihres Backends verbessern wollen, kann es sich durchaus rechnen, IT-Sicherheitsaufgaben auszulagern. Die Investitionen liegen unter Umständen deutlich unter den Summen, die Sie für einen internen Mitarbeiter auf Gehaltsbasis veranschlagen müssten.

9. Mehr Sicherheit dank fortschrittlicher Monitoring Tools  

Ein weiterer wichtiger Baustein für den Datenschutz sind fortschrittliche Sicherheitstools, um die Infrastruktur zu überwachen. Netzwerke und Informationstechnologie sind weitaus ausgefeilter als je zuvor, und selbst ein gut ausgebildeter Sicherheitsexperte ist ohne die entsprechende Software nicht gegen Hacker gefeit. Heutzutage nutzen IT-Experten KI und Überwachungstools, die Netzwerklasten auf Abweichungen hin überwachen, Eindringversuche erkennen und Sicherheitsexperten benachrichtigen, wenn Abweichungen auftreten.

10. Beziehen Sie Stakeholder in Ihr Schulungskonzept mit ein 

Schließlich sollten Schulungen immer ein Teil Ihrer Cybersicherheitsstrategie sein und alle Beteiligten einbeziehen. Lieferanten, Mitarbeiter oder andere Personen, die möglicherweise mit sensiblen Daten zu tun haben. Vorfälle im Bereich Cybersicherheit lassen sich vielfach reduzieren, in dem man unbeabsichtigte Fehler vermeidet. Eine geeignete Schulung sollte Richtlinien zur Datennutzung, Passwortrichtlinien und die Sensibilisierung der Stakeholder für häufig auftretenden Bedrohungen umfassen. Das gilt insbesondere für Social Engineering, Phishing und andere Arten von typischen Angriffen. Erwägen Sie den Einsatz spezieller Software, um zu kontrollieren, welche mobilen Geräte auf Unternehmensressourcen zugreifen können. Stakeholder sind oft die vorderste Verteidigungslinie, wenn es darum geht, Cybersicherheitsbedrohungen abzuwehren.

Fazit 

Datenschutzverletzungen treffen potenziell jeden. Behalten Sie im Blick, dass es bei Cybersicherheit nicht nur darum geht, Best Practices umzusetzen. Ein gut implementierter Cybersicherheitsplan sollte all diese Richtlinien (und weitere mehr) nutzen, um einen wirksamen Schutz vor Hackern zu gewährleisten.

Sam Bocetta 

Sam Bocetta ist freiberuflicher Journalist, der sich u.a. auf Technologietrends in den Bereichen Cyberkriegführung, Cyberverteidigung und Kryptografie spezialisiert hat. Diesen Beitrag hat er für GlobalSign verfasst.