Im Zentrum des digitalen Wandels stehen die Daten. Unternehmen speichern immer mehr Daten an immer mehr Orten. Mitarbeiter greifen nicht mehr nur über Unternehmens-Desktops auf sie zu, sondern auch per Smartphone, Tablet und Laptop. Diese ständig vernetzten Endgeräte dienen als Zugang zu großen, zentralisierten Beständen an sensiblen Informationen, die im eigenen Rechenzentrum und in der Cloud gespeichert sind. Auf diese Weise hat die digitale Transformation die traditionelle Sicherheit, die sich auf Perimeter und Endpunkte konzentrierte, auf den Kopf gestellt. Mit Cloud- und Work-from-anywhere-Infrastrukturen ist ein Perimeter schwer zu definieren und noch schwerer zu überwachen. Die Endpunkte sind austauschbar und verlieren so an Bedeutung, zumal nur noch sehr wenige Daten auf diesen Geräten „leben“. Dieser Wandel erfordert, dass Datensicherheit neu gedacht werden muss. Anstelle des Perimeters rücken nun die Daten ins Zentrum der Sicherheitsstrategie.

Das Datensicherheits-Paradoxon: Datensicherheit ist intuitiv einfach, aber ungeheuer komplex

Warum ist Datensicherheit im Kern eine einfache Angelegenheit? Im Grunde geht es um drei Fragen. Kann man diese (und zwar alle davon) mit „Ja“ beantworten, sind die Daten sicher:

• Wissen Sie, wo Ihre wichtigen Daten gespeichert sind?
• Haben nur die richtigen Personen Zugang zu den Daten?
• Ist gewährleistet, dass die Daten korrekt verwendet werden?

Drei einfache Fragen, die jedoch von den meisten Unternehmen erschreckenderweise nicht mit „Ja“ beantwortet werden können. Gleichzeitig zeigen diese drei Fragen die drei Dimensionen der Datensicherheit: Wichtigkeit, Zugänglichkeit und Nutzung. Und sie unterstreichen, warum das Ganze nicht nur größer als die Summe seiner Teile ist: Die einzelnen Teile sind ohne das Ganze wirkungslos.

Wenn man lediglich weiß, welche Daten wichtig sind, hat man damit noch keinen Überblick darüber, welche Daten exponiert ist, ohne die entsprechenden Zugriffsrechte zu kennen. Ohne Überwachung der Nutzung weiß man nicht, wer Zugang benötigt und wie man eventuelle Offenlegungen sicher beheben kann. Ohne Überwachung der Nutzung lässt sich auch nicht feststellen, ob wichtige Daten gestohlen oder bei einem Ransomware-Angriff verschlüsselt werden.

Welches dieser Felder sollte man als erstes angehen? Wenn man beispielsweise mit der Nutzung beginnt, kann man zwar erkennen, welche Daten bei einem Angriff gestohlen wurden oder sogar vor ungewöhnlichen Zugriffsmustern warnen. Man weiß jedoch nicht, ob diese Daten besonders wertvoll oder sensibel waren und wer sonst noch (auch zukünftig) darauf zugreifen und sie entwenden kann. Ganz gleich, mit welcher Dimension man beginnt: Man wird schnell feststellen, dass man auch die beiden anderen braucht.

Viele Unternehmen verfolgen einen eindimensionalen Ansatz und versuchen, wichtige Daten zu identifizieren, indem die Mitarbeiter die Daten manuell klassifizieren oder durch Automatisierung, die wichtige regulierte oder sensible Daten erkennt. Häufig gibt es hier auch eine Kombination aus beiden Modellen. Gleichwohl bleibt die Frage: Und was dann? Wenn man eine Liste aller wichtigen, sensiblen Dateien und Aufzeichnungen hat, was macht man damit? Eine solche Liste ist sicher interessant und für viele ist es sicher auch überraschend, wie viele wichtige, besonders schützenswerte Dateien eigentlich vorhanden sind. Ohne einen klaren Plan, was die beiden anderen Dimensionen – Zugänglichkeit und Nutzung – anbelangt, ist sie jedoch letztlich nahezu wertlos. Um sinnvolle Entscheidungen zu treffen oder das Risiko zu reduzieren, müssen Sicherheitsverantwortliche sehen, wo wichtige Daten konzentriert und exponiert bzw. gefährdet sind und wer sie wie verwendet (bzw. da sie veraltet sind, nicht mehr verwendet). Deshalb endet die Datensicherheit nicht mit der Klassifizierung, sondern beginnt erst dort.

Woher kommt die Komplexität?

Um Datensicherheit zu gewährleisten, müssen wir also in der Lage sein, diese drei einfachen Fragen zu beantworten. Aber was macht diese Beantwortung so kompliziert – gerade im Hinblick auf Datenspeicher und Applikationen?

Die Identifizierung wichtiger Daten erscheint einfach. Wenn man weiß, wie man z. B. Adressen und Telefonnummern in Salesforce findet, kann man wahrscheinlich die gleichen Elemente in Microsoft 365 oder Google Drive identifizieren. Gleichwohl erfordert es eine Menge Raffinesse und Entwicklungsarbeit, um eine genaue Klassifizierung vorzunehmen, vorausgesetzt, man gelangt überhaupt an die Daten. Hierzu ist Automatisierung unabdingbar, um die richtigen Verbindungen herzustellen und die Millionen von Datensätzen und Dateien zu „lesen“ und präzise zu analysieren. Und da Daten stets in Bewegung sind und täglich neue hinzukommen, ist dies ein fortlaufender Prozess, der allerdings nicht die User Experience und die Performance beeinträchtigen darf.

Bei der Analyse der Zugänglichkeit ist vielen Unternehmen nicht bewusst, wie viele Ordner, Dateien und Datensätze sie analysieren müssen. Ein einziges Terabyte an Daten enthält in der Regel Zehntausende dieser Objekte mit spezifischen, eindeutigen Berechtigungen, die festlegen, welche Benutzer und Gruppen darauf zugreifen können. Und die meisten Unternehmen haben Tausende von Terabytes gespeichert. Zudem müssen auch sämtliche Beziehungen zwischen Benutzern und Gruppen analysiert werden. Erschwerend kommt hinzu, dass jede Anwendung die Berechtigungsmechanismen anders implementiert.

Auch die Überwachung der Nutzung ist nicht trivial. Einige Anwendungen und Systeme erfassen nicht einmal standardmäßig die Datennutzung. Andere erfassen diese zwar, allerdings oftmals unpräzise und unvollständig. Besonders gravierend ist jedoch, dass in den meisten Fällen der Kontext fehlt, wie wichtig die Daten sind oder wer auf sie zugreift. Ohne ein Verständnis für die normale Nutzung ist die Erkennung einer abnormalen Nutzung ein Ding der Unmöglichkeit.

Wir erkennen also, wie die Komplexität entsteht. Und sie wird besonders deutlich, wenn man gerade einem Ransomware-Angriff ausgesetzt ist oder sich Sorgen um einen potenziellen Schaden durch einen Insider macht. Wenn man nicht sofort sehen kann, was ein kompromittierter oder böswilliger Benutzer über Anwendungen oder von lokalen und Cloud-Speichern entwendet haben könnte oder gar entwendet hat, ist man bereits gefährlich im Hintertreffen.

Um die Datensicherheit zu verbessern, sollten Sicherheitsverantwortliche in der Lage sein, alle drei Fragen mit „Ja“ beantworten zu können – ganz gleich, wo die Daten gespeichert sind. Wenn sie die Wichtigkeit, die Zugänglichkeit und die Nutzung von Daten verstehen, können sie die Sicherheitsmaßnahmen so umgestalten, dass das Unternehmen in einer digitalisierten Welt erfolgreich sein kann.