2020 hatte es in sich, und das nicht nur in Sachen Cybersicherheit. Die Pandemie hat Firmen gezwungen, ganze Belegschaften in den Remote-Working-Modus zu versetzen. Das hat IT-Teams allerorten vor große operative Herausforderungen gestellt. Diese Herausforderungen haben sich durch »Schrems II« und letztendlich durch das EU-Handelsabkommen und seine Auswirkungen auf die Datenschutzbestimmungen im Europäischen Wirtschaftsraum (EWR) weiter verschärft.

Der Grad an Unsicherheit ist erheblich, trotzdem ist er aus Sicht des Datenmanagements überschaubar – ein wenig Planung vorausgesetzt. Es ist ein bisschen als wollte man einen bestimmten Muskel trainieren. in diesem Fall einen Muskel, der in der Lage ist, die Datenschutzbestimmungen im gesamten Unternehmen zu verbessern. Auch wenn wir heute davon sprechen, dass im Grunde jedes Unternehmen ein Softwareunternehmen sind, Daten sind dennoch die eigentliche Triebfeder.

Operationen mit Daten

Eine der herausragenden Prioritäten muss es folglich sein, Risiken zu senken oder zu beheben, die Operationen mit Daten betreffen.

Der erste Schritt besteht in einer präzisen Bestandsaufnahme der Datenelemente, die im Rahmen geschäftlicher Prozesse gesammelt und verwendet werden. Dabei sind hier nicht Daten im Sinne personenbezogener Daten gemäß der Definition in Artikel 4 der DSGVO gemeint. Vielmehr sollte man alle Attribute der Informationen betrachten, die Teil des Geschäftsbetriebs sind. Das ist keine ganz unwichtige Unterscheidung. Denn obwohl wir die DSGVO möglicherweise als statische Vorschrift begreifen, muss man nur einen Blick auf die Diskussionen im Zusammenhang mit dem Brexit werfen, und man wird schnell feststellen, dass die betreffenden Vorschriften nicht ganz so statisch sind wie man sie sich wünschen würde.

Unzureichend geschützte Daten enthalten vielleicht genau die Art von Informationen, die für einen Angreifer besonders wertvoll sind, um an sein Ziel zu gelangen. Wenn man dabei ist, seine Daten komplett zu inventarisieren, ist es gleichermaßen wichtig, die Punkte zu identifizieren, an denen Daten erstellt, geändert und verbraucht werden. Diese Punkte können Personen oder Prozesse sein, und aller Wahrscheinlichkeit nach zählen dazu auch Systeme von Drittanbietern. Spätestens an diesem Punkt beginnen Sicherheitsteams in Bedrohungsmodellen und Risikoprofilen zu denken. Aber das greift dem Prozess ein wenig vor. In diesem Stadium ist das Ziel einfach, den Informationsfluss im Unternehmen zu verstehen und zu begreifen wie er verwaltet wird.

Anschließend gibt das Datenmanagement die nächsten Fragen vor. Eine häufig gestellte Frage ist beispielsweise, wer einen Kundendatensatz einsehen kann und welche Informationen angezeigt werden. Die deutlich interessantere Frage ist allerdings, warum eine bestimmte Person in einer bestimmten Rolle genau die Daten sehen kann, die sie sieht – und darüber hinaus, ob sie berechtigt ist, diese Daten zu ändern.

Solche geschäftlichen Regelungen rund um Datenoperationen gehen oft auf Entscheidungen zurück, die Jahre zuvor getroffen wurden, nicht selten unter völlig anderen geschäftlichen Annahmen und Voraussetzungen als den aktuellen. Dennoch sind diese Annahmen Fixpunkte. Parallel dazu entwickelt sich das Geschäftsklima dynamisch weiter. Wenn man geschäftliche Risiken senken will, dann braucht man ein grundlegendes Verständnis dafür, wie genau sich zurückliegende Entscheidungen auf die Erwartungen an aktuelle Prozesse und Software auswirken.

Software-Patch-Management

Betrachten wir das Ganze in einem anderen Kontext, dann erkennt jede IT-Organisation, dass Software-Patch-Management ein grundlegender Bestandteil einer effektiven Cybersicherheitspraxis ist. Praktisch jede moderne Software enthält Open-Source-Komponenten. Es gilt ein Verständnis dafür zu entwickeln, wo im Unternehmen überall Open-Source-Software eingesetzt wird und diese dann innerhalb der Patch-Management-Strategie zu berücksichtigen. Daten sind im gleichen Maß Assets wie eine Software oder physische Assets – dementsprechend müssen die Daten verwaltet werden.

Genauso wenig wie Sie eine Software patchen können, von der sie nicht wissen, dass sie überhaupt benutzt wird, genauso wenig sind Sie in der Lage, Daten zu schützen, von denen Sie nicht einmal wissen, dass Sie sie verwenden. Moderne Geschäftspraktiken sind zunehmend von Drittanbietern und deren Services abhängig – in der ein oder anderen Form. Demzufolge haben Ausfälle bei einem Service Provider oft unverhältnismäßige Auswirkungen auf den laufenden Betrieb.

Der jüngste Ausfall von Slack ist ein perfektes Beispiel: ein für viele Unternehmen wichtiges Collaboration-Tool musste vom Netz gehen. Für die betroffenen Unternehmen sind die Datenströme über Slack optimierte Workflows. Für die brauchte man eine Backup-Implementierung, um Teams arbeitsfähig zu halten. Unabhängig davon, für welches Backup-Modell ein Unternehmen sich entschieden hat, ein sekundärer Workflow verändert das Risiko – ein Risiko, das quantifiziert und bei der Dateninventarisierung erfasst werden sollte.

Letztendlich besteht das Ziel darin, den Zugriff auf ein minimales Set von Datenattributen zu beschränken, nämlich genau die Attribute, die notwendig sind, um eine bestimmte Funktion zu erfüllen oder auszuführen.

Wir mögen unseren Mitarbeitern vertrauen, aber wir wissen aus unzähligen IT-Sicherheitstests, dass ein gewisser Prozentsatz der Belegschaft eine Phishing-E-Mail öffnen wird. Würde es sich bei einer testhalber verschickten Phishing-E-Mail um einen echten Angriff handeln (bei dem ein Benutzer kompromittiert würde), hätte ein Angreifer problemlos Zugriff auf alle Daten, auf die auch der oder die Betreffende zugreifen kann.

Data-Mapping-Modelle in Kombination mit Bedrohungsmodellen

Der Automatisierungsgrad in Entwicklungsteams und innerhalb der gesamten IT erhöht zusätzlich das Potenzial für zu weitreichend vergebene Zugriffe, was wiederrum das potenzielle Schadensausmaß bei einem Cybersicherheitsvorfall vergrößert. Mithilfe von Data-Mapping-Modellen in Kombination mit Bedrohungsmodellen sind Firmen aber deutlich besser in der Lage, ihre Cybersicherheitsanstrengungen und die damit verbundenen Investitionen auf die Bereiche zu fokussieren, bei denen die Auswirkungen eines Vorfalls voraussichtlich am schwerwiegendsten sind.

Florian Thurmann, Technical Director EMEA, Synopsys

3255 Artikel zu „Datenschutz“

NEWS | CLOUD COMPUTING | IT-SECURITY | TIPPS

Datenschutz im Home Office: So schützen Sie sich vor Gefahren

23. Januar 2021

Aktuell arbeiten mehr Menschen im Home Office als je zuvor. Viele Unternehmen haben sich an den Wechsel angepasst, doch dabei wird oft ein Aspekt vernachlässigt: Datenschutz. Denn im Home Office gelten besondere Bedingungen, die besondere Maßnahmen erfordern. Als im vergangenen Frühjahr Covid-19 Unternehmen weltweit zu Home Office gezwungen hat, war das für viele Betriebe…