Die Daten Ihres Unternehmens vor Angreifern zu schützen und gleichzeitig die Datenschutzgesetze einzuhalten, ist eine große Herausforderung für jeden CISO. Es fühlt sich oft so an, als ob man gleichzeitig Teller jonglieren und einen Boxkampf gewinnen müsste. Das Problem, mit dem alle Unternehmen konfrontiert sind, besteht darin, dass der traditionelle Ansatz zur Informationssicherheit unzureichend und nicht mehr zeitgemäß ist. CISOs verbringen häufig ihre ganze Zeit mit Endpunkten, Perimetern und Firewalls, während die Datensicherheit in den Hintergrund gerät. Bis es zu einem Datenvorfall kommt. Herkömmliche Sicherheitsmaßnahmen sorgen zwar dafür, dass Sicherheitsverantwortliche die Vorschriften einhalten und das Management beruhigen, aber sie verdecken die Probleme, bis ein Sicherheitsvorfall auftritt oder Datensicherheitsvorschriften wie die DSGVO sie zwingen, den Fokus zu verlagern. In diesem Moment erscheint die Datensicherheit als eine enorme, kaum zu bewältigende Aufgabe, bei der man oft nicht weiß, wo man anfangen sollte.

Die Zeiten ändern sich

Bei der Planung und Festlegung ihres Cybersecurity-Playbooks neigen die meisten Unternehmen dazu, einem üblichen Ansatz zu folgen. Dieses Konzept geht die Sicherheit von außen nach innen an, konzentriert sich auf externe Geräte und versucht, diese vom Zugriff auf ihre Daten abzuhalten. Dies umfasst beispielsweise den Schutz von Endpunkten, SIEM, Data Loss Prevention und Firewalls. Dieser Ansatz war durchaus eine lange Zeit sehr effektiv – solange die Mitarbeitenden alle Dateien und Daten auf eigenen Rechnern, lokal verwalteten Servern oder in eigenen Rechenzentren speicherten. Doch die Art und Weise, wie Unternehmen Daten erstellen, speichern und darauf zugreifen, hat sich in den letzten Jahren erheblich verändert. Heutzutage werden Daten an verschiedenen Orten, in Cloud-Speichern und SaaS-Anwendungen gespeichert. Aus diesem Grund ist dieser immer noch weit verbreitete Ansatz kein effektiver Weg mehr, um wertvolle Unternehmensdaten adäquat zu schützen. Effektive Datensicherheit kann nicht umgesetzt werden, wenn CISOs beispielsweise nicht wissen, wenn Mitarbeitende aus der Buchhaltung ihr Team bei einer weiteren nicht offiziell bereitgestellten SaaS-Anwendung angemeldet haben. Diese Form der Collaboration macht die Daten angreifbar, ohne dass der traditionelle Sicherheitsansatz hierbei etwas ausrichten kann.

Die Mitarbeitenden eines Unternehmens sind Menschen mit eigenen Prioritäten, Verantwortlichkeiten und Schwächen. Sie treffen Entscheidungen, die ihrer Arbeitsweise und den Zielen entsprechen, die sie erreichen wollen. Aus diesem Grund darf die Datensicherheit nicht nur als rein technisches Problem betrachtet werden. Wenn wir über Cybersicherheit sprechen, konzentrieren wir uns zumeist auf Anwendungen, Datenbanken und APIs. Das ist zwar ein wichtiger Teil des Problems, zeigt aber nicht das ganze Bild. Die Menschen im Unternehmen spielen eine ebenso große Rolle und können oft ein noch größeres Risiko darstellen als die Technik. Interne Sicherheitsrichtlinien sind ein gutes Beispiel dafür. Jedes Unternehmen weiß, dass es Sicherheitsrichtlinien haben sollte, und die meisten brauchen sie, um Standards und Vorschriften einzuhalten. Aber das Ziel ist oftmals die bloße Erstellung von Dokumenten und nicht die tatsächliche Umsetzung wirksamer Richtlinien. Und wie jeder CISO weiß, bedeutet die Tatsache, dass man jemanden ein Dokument unterschreiben lässt, noch lange nicht, dass er sich auch tatsächlich an die Richtlinie halten wird.

Ein weiteres Problem besteht darin, dass in allen Unternehmen jeden Tag riesige Datenmengen erzeugt werden. Der Versuch, den Überblick darüber zu behalten, was jeder Einzelne erstellt, speichert, worauf er zugreift usw., wird so nahezu unmöglich. Sind Sicherheitsverantwortliche in der Lage, jederzeit festzustellen, wer auf eine Datei mit sensitiven Daten zugreifen kann? Am Tag der Erstellung eines Dokuments ist es vielleicht nur eine Person, die Zugriff hat, und sämtliche Richtlinien und Vorschriften werden somit eingehalten. Aber dann teilt sie das Dokument mit einem Kollegen in einem anderen Team. Dann wird es mit einer größeren Gruppe geteilt, ohne dass die Mitglieder sich bewusst sind, dass es sensitive Daten enthält. Dann verwendet jemand in dieser Gruppe einen Teil des Inhalts für eine Verkaufspräsentation – und plötzlich ist man nicht mehr konform und hat sich einem großen Risiko ausgesetzt. Das mag wie eine Übertreibung klingen, ist es aber leider nicht, wie wir in der Praxis immer wieder sehen. Situationen wie diese entstehen so leicht und so häufig, dass es unmöglich erscheint, sie zu verhindern.

Der erste Schritt zur Lösung dieses Problems ist die Einsicht, dass es keine Patentlösung gibt, so sehr wir uns das auch wünschten. Die Realität sieht so aus, dass Unternehmen weiterhin neue Daten erstellen, neue Mitarbeitende hinzufügen und leider auch Mitarbeitende aus dem Team entfernen werden. Anstatt sich an das alte Schema zu halten und zu hoffen, dass alles gut geht, müssen CISOs die Taktik ändern und einen datenorientierten Ansatz verfolgen. Bereits gefährdete Daten müssen identifiziert sowie Frameworks und Tools zum automatisierten Schutz der Daten implementieret werden.

Die Datensicherheits-Roadmap

Wie wir gesehen haben, funktionieren traditionelle Sicherheitsansätze im Cloud-Zeitalter nicht mehr. Die Antwort auf die gegenwärtigen Herausforderungen liegt in einer Datensicherheits-Roadmap, die speziell auf den Schutz von Unternehmensdaten und die Einhaltung aller wichtigen Vorschriften wie DSGVO, HIPAA und SOX abgestimmt ist.

Schritt 1: Echtzeit-Transparenz erhalten

Zu allererst müssen sich Sicherheitsverantwortliche ein klares Bild davon machen, wie viele der Daten gefährdet sind. Hierfür müssen alle Daten automatisch bewertet und die Ergebnisse in einem Bericht zusammengestellt werden. Dabei wird analysiert, wo sich die Daten befinden, wie die Umgebung aussieht und wie alles konfiguriert wurde. Darüber hinaus werden der Zugriff und die Berechtigungen für die Daten in den verschiedenen Cloud-Speichern, SaaS-Anwendungen usw. untersucht. Es muss analysiert werden, wer auf welche Daten zugreift, wie die Daten genutzt werden und welche Verhaltenstrends zugrunde liegen. Anhand dieser Informationen werden potenzielle Probleme und Risiken identifiziert und priorisiert. Dieser Prozess ist von entscheidender Bedeutung, da das Ausmaß und die möglichen Auswirkungen sehr unterschiedlich sein können. So kann beispielsweise erkannt werden, wenn Passwörter in OneDrive gespeichert werden und ein öffentlicher Link zu der entsprechenden Datei weitergegeben wurde, der im schlimmsten Fall sogar von Google indexiert wurde. Oder dass ein Mitarbeitender Zugang zu einer sensitiven Datei hat und täglich darauf zugreift, obwohl er bereits vor Monaten das Unternehmen verlassen hat. All diese Fälle haben sich tatsächlich in der Praxis ereignet.

Grundsätzlich gilt: Wenn der Zugriff auf eine kleine Anzahl interner Personen beschränkt ist, ist das Risiko geringer, wenn eine Datei jedoch extern zugänglich ist, besteht ein wesentlich höheres Risiko. Es ist von größter Bedeutung, sich einen Überblick über die Lage zu verschaffen und Risiken von Anfang an zu erkennen. Auf diese Weise erhalten CISOs bereits am ersten Tag einen echten Sicherheitsgewinn (Day 1 Value), da sie ihre Daten gleich von Anfang an schützen.

Schritt 2: Lernen und optimieren

Sobald die Aktivierungsphase abgeschlossen ist, werden Sicherheitsverantwortliche von den meisten Cybersecurity-Tools sich selbst überlassen. Intelligente und nutzerfreundliche Lösungen hingegen werten Metadaten aus, die aus den Umgebungen abgeleitet wurden, und bauen ein Modell auf, mit dem die Daten kontinuierlich analysiert werden können. Ziel ist es, diese Verhaltensinformationen zu nutzen, um einen Kontext zu den Daten herzustellen, damit das Security-Team bessere und fundiertere Entscheidungen treffen kann. Hierbei kommt es auf drei Schlüsselkomponenten an:

• Sensitivität: Wo befinden sich die sensitiven Daten und um welche Art von Daten handelt es sich?
• Berechtigungen: Wer hat Zugriff auf welche Daten?
• Aktivität: Wie haben Personen mit den Daten interagiert?

Durch die intelligente Kombination von Verhaltensmodellen und Bedrohungserkennung können automatische Berichte und Warnungen eingerichtet werden. Idealerweise werden auch Sicherheitstechnologien wie SIEM, DLP und SOAR hierbei integriert. Nach der Feinabstimmung und Anpassung an die Unternehmensdaten verfügen CISOs nicht nur über eine Liste von Empfehlungen für Verbesserungen und Änderungen, sondern auch über den Kontext, den sie benötigen, um im nächsten Schritt fundierte Entscheidungen zu treffen.

Schritt 3: Risiken reduzieren

Als CISO reicht es nicht aus, die Risiken und Probleme nur zu identifizieren, sie müssen auch gelöst werden. Angesichts des stark steigenden Datenbestands, dem Fachkräftemangel und zunehmender Cyberbedrohungen führt hier kein Weg an Automation vorbei. Dabei sollten die Empfehlungen aus Schritt 2 umgesetzt werden, um so die Risiken in allen Umgebungen zu reduzieren. Dies geschieht mithilfe von DSPM (Data Security Posture Management)-Funktionen, die veraltete und redundante Berechtigungen entfernen und automatisch Richtlinien zur Datenaufbewahrung und Quarantäne erstellen. Auf diese Weise wird der potenzielle Explosionsradius so schnell und effizient wie möglich minimiert.

Wenn beispielsweise ein Mitarbeitender kürzlich die Abteilung gewechselt hat, verfügt er wahrscheinlich immer noch über die Berechtigung, auf die Systeme und Daten seiner vorherigen Rolle zuzugreifen. Eine intelligente Datensicherheitslösung weist nicht nur auf dieses Problem hin, sondern behebt es auch automatisch, so dass der Mitarbeitende nur auf das zugreifen kann, was er für seine neue Rolle benötigt.

Schritt 4: Sicherheitsniveau halten

Unternehmen verändern sich ständig. Neue Tools und Plattformen werden eingesetzt, neue Daten erstellt, Mitarbeitende kommen hinzu und verlassen das Unternehmen. Neue Risiken und Vorschriften tauchen auf. Auf all dies müssen CISOs vorbereitet sein. Deshalb geht es in der vierten Phase darum, mit allem Neuen Schritt zu halten und gleichzeitig das erarbeitete Sicherheitsniveau und die bestehenden Umgebungen aufrechtzuerhalten. Dabei sollten Sicherheitsverantwortliche durch die eingesetzten Lösungen unterstützt werden, die sich idealerweise an neue Herausforderungen anpassen und stets auf dem aktuellen Stand sind. Dies ist durch SaaS mittlerweile wesentlich einfacher als noch vor einigen Jahren mit lokal installierten Anwendungen. Im Wesentlichen müssen die vorangegangenen Phasen iterativ durchlaufen werden. Auf diese Weise ist dafür gesorgt, dass das Unternehmen stets sicher und konform ist.

Angesichts des zunehmenden Drucks durch Vorschriften und des hohen Risikos von Datenschutzverletzungen müssen CISOs die Datensicherheit als zentralen Pfeiler ihres Sicherheitsplans betrachten. Das bedeutet, dass sie sich von einer „von außen nach innen“-Strategie verabschieden und zu einem datenzentrierten Ansatz übergehen müssen. Angesichts der zunehmenden Datenerstellung und -speicherung in allen Branchen ist dies jedoch eine fast unmögliche Aufgabe ohne einen Plan und eine Plattform, die für den Zweck geeignet sind. Folgt man der Roadmap, lässt sich jedoch die Datensicherheit kurz- und langfristig deutlich verbessern.