Illustration: Absmeier Angelees

Das Umsetzen von Datensicherheitsvorgaben ist in Unternehmen manchmal ein langwieriger, umständlicher Prozess. Die Einführung neuer Technologien zur Verbesserung des Datenschutzes verzögert sich häufig durch Diskussionen darüber, ob diese tatsächlich erforderlich sind. Erschwert wird dies oft durch vorgefasste Ansichten und falsche Annahmen auf verschiedenen Unternehmensebenen. Dies sind die häufigsten „Mythen“, die im Zusammenhang mit Datensicherheit unternehmensintern immer wieder auftauchen, im Realitätscheck:

1) Datensicherheit ist Angelegenheit der Abteilung für Informationssicherheit
Die Abteilung für Informationssicherheit spielt zwar eine wichtige Rolle bei der Durchsetzung von Datensicherheit, doch letztlich sind alle im Unternehmen für den ordnungsgemäßen Umgang mit Daten und deren Schutz verantwortlich. Bemühungen um Datensicherheit sind wenig effektiv, wenn sie lediglich von einer einzelnen Person oder Abteilung umgesetzt werden. Auch wenn jeder einzelne Mitarbeiter in der Abteilung für Informationssicherheit die Vorgaben gewissenhaft einhält, ist das Unternehmen dem Risiko von Datenschutzverstößen ausgesetzt, wenn andere Mitarbeiter und Abteilungen sich nicht ebenfalls an die Richtlinien halten. Um die Wirksamkeit eines Datensicherheitsprogramms zu gewährleisten, müssen sich alle Mitarbeiter darüber im Klaren sein, dass sie es mit sensiblen Daten zu tun haben, unabhängig davon, in welcher Abteilung sie tätig sind. Aufgabe des Teams für Informationssicherheit ist es, aufzuklären, ein Bewusstsein für Datensicherheit zu schaffen und bei Software- und Sicherheitsfragen zu helfen. Es ist nicht Sache dieses Teams, allen anderen Mitarbeitern und Abteilungen den von ihnen dazu leistenden Beitrag abzunehmen.

2) Datenverluste sind kein Risiko in KMUs
Unter kleinen und mittleren Unternehmen (KMUs) mag der Eindruck vorherrschen, dass aufgrund ihrer Größe niemand ein Interesse an ihren Daten hat. Doch dies entspricht nicht ganz der Wahrheit. Potenzielle Angreifer haben es oft nicht speziell auf bestimmte Unternehmen abgesehen, sondern suchen meist nach sensiblen Daten, auf die sie sich leicht Zugriff verschaffen können. Diese Angreifer wissen zudem, dass es kleineren Unternehmen möglicherweise an Datensicherheitsmaßnahmen und entsprechendem Personal fehlt, was KMUs zu einem viel leichteren Ziel macht als größere Unternehmen.
Abgesehen davon kann jedes Unternehmen Opfer von Insiderbedrohungen werden. In den meisten Fällen handelt es sich bei Datensicherheitsverletzungen, die durch Insider verursacht werden, um unbeabsichtigte Fehler. Zwar ereignen sich vorsätzliche, böswillige Insiderangriffe, etwa durch verärgerte Mitarbeiter, die geistiges Eigentum zu einem neuen Arbeitgeber mitnehmen, überaus selten. Überaus häufig entstehen Bedrohungen durch Insider jedoch unbeabsichtigt, beispielsweise, wenn einem Mitarbeiter bei der Erledigung seiner Aufgaben versehentlich ein kritischer Fehler unterläuft. Solange es also Menschen in einem Unternehmen gibt, besteht auch immer das Risiko einer Insiderbedrohung.

3) Man bemerkt, ob man gehackt wurde oder es eine Datensicherheitsverletzung gab
Dies ist vielleicht einer der gefährlichsten Annahmen: Unternehmen glauben oft, dass es offensichtliche Anzeichen gibt, an denen sie erkennen können, wenn eine Datensicherheitsverletzung vorliegt. Tatsächlich können Datensicherheitsverletzungen und Cyberangriffe jedoch monatelang unentdeckt bleiben, insbesondere wenn sie von Insidern verursacht werden. Dass Unternehmen umso besser aufgestellt sind, je früher sie jegliche Art von ungewöhnlichen Aktivitäten im Zusammenhang mit ihren Daten erkennen, versteht sich von selbst.

4) Datensicherheitslösungen sind teuer
Datensicherheit stellt zwar eine Investition dar, aber im Verhältnis zum potenziellen Schaden, der durch Datensicherheitsverletzungen entstehen kann, einschließlich Geldbußen für die Nichteinhaltung von Vorschriften, Rechtsstreitigkeiten und Rufschädigung, fällt diese vergleichsweise gering aus. Die Investition in Datensicherheitslösungen ist vergleichbar mit dem Abschluss einer Kfz-Versicherung: Man schließt sie ab, um sich für den Fall abzusichern, in einen Unfall verwickelt zu werden, und nicht, weil man vorhat, in einen Unfall zu geraten. Und so wie ein Autounfall nicht zwangsläufig selbst verschuldet sein muss, verhält es sich auch mit offengelegten Daten. Auch wenn man sich selbst korrekt verhalten hat, ist möglicherweise jemand anderem unbedacht ein Fehler unterlaufen, der zu einem Unfall führte. Durch geeignete Vorsichtsmaßnahmen wie Datenklassifizierung, Data Loss Prevention (DLP)- und Digital Rights Management (DRM)-Lösungen bleiben Daten geschützt, unabhängig davon, wo sie sich befinden, womit sich die Wahrscheinlichkeit einer Offenlegung drastisch verringert. Und wenn Daten aus irgendeinem Grund doch einmal offengelegt werden sollten, zieht dies weitaus geringere Geldbußen und Konsequenzen nach sich.

5) Das Datensicherheitsprogramm ist vollständig
Auch nach der Implementierung eines Datensicherheitsprogramms bleibt der Schutz von Daten ein fortlaufender Prozess, der niemals abgeschlossen ist. Eine Datensicherheitsstrategie muss sich wechselnden Geschäftsanforderungen, Zielen, Technologien und -Prozessen anpassen können.

Datensicherheit ist ein fortlaufender Prozess
Anstatt sich mit derartig falschen Annahmen zufrieden zu geben, ist eine kontinuierliche Auseinandersetzung mit dem Thema Datensicherheit erforderlich, um eine fundierte Datensicherheitsstrategie entwickeln zu können. Um diese wirksam und effizient umsetzen zu können, sollte sie flankiert werden durch Lösungen für Datenklassifizierung, Data Loss Prevention (DLP) und Digital Rights Management. Einmal eingerichtet, sollten Unternehmen ihre Anforderungen regelmäßig neu bewerten und prüfen, welche Verbesserungen sie vornehmen können. Dieser Prozess wird als „Reifung“ der Datensicherheitslösung bezeichnet. Möglicherweise hat ein Unternehmen mit grundlegenden Datenklassifizierungsebenen begonnen, möchte aber zusätzliche Ebenen hinzufügen oder sie abteilungsspezifischer gestalten. Oder vielleicht hat es ursprünglich nur Netzwerk-DLP implementiert, muss jedoch angesichts der wachsenden Zahl hybrider Arbeitsumgebungen auch Endpunkt-DLP einführen. Eventuell stellen sie auch fest, dass immer mehr Daten außerhalb ihrer Unternehmensumgebung ausgetauscht werden, und möchten prüfen, ob die derzeit verwendeten Zugriffskontrollen noch effektiv sind. Dieses Zusammenspiel aus strategischer Zielsetzung und leistungsfähigen Softwarelösungen versetzt Unternehmen in die Lage, stets das erforderliche Maß an Sicherheit aufrecht zu erhalten. Die Mission besteht also darin, Datensicherheitsmaßnahmen stets weiterzuentwickeln, anstatt sie ein für alle Mal für ausreichend zu erklären.

Michael Kretschmer, Vice President DACH, Fortra