DLP: Datenschutzrisiken besser kalkulieren

Illustration: Absmeier Geralt

Daten sind für jedes moderne Unternehmen von zentraler Bedeutung, und Firmen haben inzwischen erkannt, dass sie ihre Entscheidungen auf Daten stützen müssen. Daten sind das wertvollste geistige Eigentum eines Unternehmens und machen inzwischen etwa 90 Prozent des Unternehmenswertes aus, während Sachwerte nur noch mit etwa 10 Prozent beziffert werden.

 

Demgegenüber verfügen allerdings längst nicht alle Unternehmen über die geeigneten Mittel und die Expertise, diese Daten wirksam zu schützen. Geschweige denn eine effiziente, ganzheitliche Sicherheitsstrategie zu entwickeln. Zudem werden die rechtlichen und regulatorischen Aspekte im Umgang mit Daten zum Teil immer noch unterschätzt. Für Unternehmen und Organisationen, die zur kritischen Infrastruktur zählen, kommen weitere spezifische Anforderungen hinzu. Der Weg zum datengesteuerten Unternehmen ist also mit einigen Stolpersteinen gepflastert. Hindernisse, die ohne einen umfassenden Ansatz und eine einheitliche Strategie bei der Datensicherheit kaum zu bewältigen sind.

Data Loss Prevention (DLP) ist bei Weitem eines der effektivsten Instrumente, um den Datenbestand zu schützen, die betreffende Umgebung umfassend zu scannen und Benutzer daran zu hindern, wichtige Dateien oder vertrauliche Informationen zu versenden. Bevor man allerdings eine geeignete DLP-Lösung auswählen und einsetzen kann, sollte man die Daten korrekt klassifizieren und den individuellen Level der Risikoexposition bestimmen. Auf dieser Basis erst lässt sich eine holistische Sicherheitsstrategie entwerfen. Sie trägt im besten Falle dazu bei, Schäden bereits im Vorfeld zu verhindern oder doch wenigstens das Ausmaß in Grenzen zu halten.

 

Herausforderungen bei der Datensicherheit

Die Industrie wird sich des Wertes ihrer Daten mehr und mehr bewusst. Die gemeinsame Nutzung von Informationen und Daten hilft Firmen dabei, ihre Zielgruppen und Kunden besser zu verstehen. Das macht diese Daten so wertvoll. Nicht zuletzt, weil sie helfen, Produkte und Dienstleistungen zu verbessern, weiterzuentwickeln und dadurch einen Wettbewerbsvorteil zu erlangen. Daten kommt heute ein ähnlicher Wert zu wie anderen Zahlungsmitteln, denn auch sie dienen der Bezahlung von Dienstleistungen. Eine kostenlose Website sammelt und nutzt höchstwahrscheinlich die Daten der Nutzer, die dort navigieren. Ein prominentes Beispiel ist Google. Der Konzern trägt Daten über alle Suchbewegungen der Nutzer im Internet zusammen, um relevante Ergebnisse zu generieren. Kurz gesagt, wir alle sind das Produkt. Die Tatsache, dass die komplette Identität einer Person online gespeichert werden kann, erschwert einen umfassenden Ansatz für Datensicherheit und Datenschutz.

Für Unternehmen bedeutet das deutlich mehr Verantwortung zu übernehmen. Denn sie sind in der Pflicht, sensible Informationen sicher aufzubewahren und Datenschutzgesetze und -vorschriften einzuhalten. Auch die Aufgabenstellung eines CISO ist dadurch wesentlich komplexer geworden. Er muss dafür Sorge tragen, diese Daten und die eigenen internen Vermögenswerte abzusichern. Unter erschwerten Bedingungen.

 

Implementierung einer DLP-Lösung

Bevor ein Unternehmen eine DLP-Lösung implementieren kann, sollten sämtliche Daten in allen Systemen klassifiziert werden. Das ist keine geringe Herausforderung. Aber es ist ein effektiver Weg, alle Arbeitsabläufe und Prozesse innerhalb einer Organisation abzubilden und zu verstehen.

In einem ersten Schritt zur Identifizierung und Qualifizierung von Daten wendet man sich am besten an die Personalabteilung. Sie ist für das Einstellen und Speichern personenbezogener Mitarbeiterdaten zuständig. Deshalb ist sie ein guter Ausgangspunkt, um herauszufinden, welche Daten über die Mitarbeiter gesammelt und wie genau sie verwendet werden. Erst mit diesem Wissen ist ein Unternehmen in der Lage, Daten mit einer DLP-Lösung zu schützen. Mithilfe eines Datenklassifizierungssystems können Firmen ihre Daten leichter auffinden und abrufen sowie gleichzeitig festlegen, welche Kategorien in Zukunft für die Zuordnung der Daten verwendet werden sollen.

 

Wie risikobereit sind Sie?

Der Wandel hin zum datengesteuerten Unternehmen hat dazu geführt, dass Organisationen insgesamt und insbesondere deren CISOs die mit der Speicherung und Nutzung von Daten verbundenen Risiken stärker berücksichtigen müssen. Entscheidend ist zum einen das »wie« bei der Datensicherheit und zum anderen das Risiko beim Speichern und Nutzen der Daten. Bei der Kalkulation dieses Risikos spielt man hypothetische Situationen durch und untersucht, wie sie sich potenziell auf das Unternehmen auswirken, respektive wer welchen Verantwortungsbereich abdeckt. Wer ist bei einem Datenleck haftbar? Welche Folgen hat es, wenn die Daten online weitergegeben werden? Sobald ein Unternehmen Klarheit darüber hat, wie es seine Daten einstuft und welche möglichen Schäden bei einem Zwischenfall zu erwarten sind, lassen sich die entsprechenden Budgets zuweisen und der tolerierte Risiko-Level definieren. In der Regel bedeutet das, stärker in den Schutz sensibler Daten zu investieren als bislang.

 

Eine ganzheitliche Sicherheitsstrategie aufbauen

DLP sollte Bestandteil der übergreifenden Sicherheitsstrategie eines Unternehmens sein. Dass diese lediglich regelmäßig »aufgefrischt« werden müsse, ist leider ein ebenso trügerischer wie weit verbreiteter Irrglaube. Die Denkweise ist auch generell nicht unproblematisch, weil sie auf eine reaktive Grundhaltung beim Thema Sicherheit hindeutet. Angesichts des Wertes ihrer Daten sollten Firmen eine vorausschauende Einstellung beherzigen. Das gilt für die Unternehmensführung und ganz besonders für eine/n CISO. So sollte man nicht nur hinsichtlich der aktuellen Bedrohungslandschaft auf dem neuesten Stand sein. Vielmehr sollte ein CISO die Unternehmensziele wirklich durchdrungen haben. Nur so lässt sich eine Sicherheitsstrategie entwickeln, die geeignet ist, diese Ziele optimal zu unterstützen. Wenn Sicherheitsexperten die bestehenden Geschäftsprozesse abbilden und die grundlegenden Ziele verstanden haben, sind sie sehr viel besser in der Lage, Schwachstellen ausfindig zu machen und zu beheben. Mit diesen Informationen ist es zudem einfacher, geeignete Sicherheitslösungen zu finden und die Kosten genauer zu beziffern.

Letztendlich sollten Sicherheits- und Geschäftsprozesse harmonisch ineinandergreifen. Dies ist eine wesentliche Voraussetzung, das Unternehmensganze, Mitarbeitende und Kunden besser vor Datenschutzrisiken zu schützen. Das funktioniert allerdings nur dann, wenn die beschriebenen Prozesse einschließlich der Datenklassifizierung vollständig abgeschlossen sind. Daten zu klassifizieren und zuzuordnen ist ganz entscheidend, um zu verstehen, wo die Schwachstellen in einem Unternehmen wirklich liegen. Eine unabdingbare Voraussetzung für Führungskräfte und Sicherheitsabteilungen, wenn der Datenschutz im Einklang mit den gesetzlichen Anforderungen stehen soll.

Amit Spitzer, Chief Security Officer, Cato Networks