In den zehn Jahren seit dem ersten großen Datenschutzverstoß bei einem großen US-amerikanischen Einzelhändler, bei dem Daten von 70 Millionen Kunden entwendet wurden, kam es immer wieder zu größeren und verheerenderen Cyberangriffen, die Unternehmen und Einzelpersonen geschadet und zu einem Verlust von Ansehen, geistigem Eigentum und Privatsphäre geführt haben. Um den Schutz sensitiver Daten zu verbessern, wurden zahlreiche Gesetze verabschiedet, allen voran die DSGVO. Und auch bei Cyberversicherungen spielen die Daten eines Unternehmens und ihr Schutz eine immer größere Rolle. So müssen die Antragsteller mittlerweile auch die Menge der von ihnen gespeicherten regulierten Daten schätzen und angeben. Dabei fragen die Versicherer mittlerweile immer öfter nach, wie diese Schätzungen zustande gekommen sind bzw. wie die Maßnahmen aussehen, die Menge der verarbeiteten und gespeicherten regulierten Daten zu quantifizieren.

Wenn Datensicherheitsverantwortliche beginnen, die von ihnen gespeicherten sensitiven Daten zu identifizieren und zu quantifizieren, finden sie in der Regel mehr als sie erwarten – und oft an unerwarteten Orten. Wie können sie also sensitive und regulierte Daten am besten schützen? Und wie können sie diesen Schutz auf alle Anwendungsfälle ausweiten, einschließlich der internen und externen Verarbeitung durch Dritte?

Wenn man sensitive oder regulierte Daten findet, gibt es mehrere Möglichkeiten, die potenzielle Gefährdung zu beseitigen. Jede dieser Optionen ist mit technischen und organisatorischen Herausforderungen verbunden. Was aus technischer Sicht einfacher ist, kann aus organisatorischer Sicht eine größere Herausforderung darstellen und umgekehrt.

1. Daten löschen
   Das Löschen von Daten ist zwar (insbesondere bei strukturierten Daten) leicht zu automatisieren, allerdings ist die Erstellung von Aufbewahrungsrichtlinien oft eine Herausforderung. Zahlreiche Unternehmen geben diese Aufgabe an ein Records and Information Management (RIM)-Team ab, das aber nicht überall vorhanden ist. In der Regel müssen die Interessenvertreter der einzelnen Geschäftsbereiche, der Rechtsabteilung, der Compliance- und der IT-Abteilung in den Prozess eingebunden werden. Entsprechend brauchen Entscheidungen darüber, was wann gelöscht werden soll, viel Zeit.
   Da die Löschung unwiderruflich ist, fällt die Entscheidung verständlicherweise schwer. Hat man sich jedoch einmal auf eine Aufbewahrungsrichtlinie geeinigt, ist es wichtig, diese einzuhalten und nachzuweisen, dass sie umgesetzt wird. Damit eine Automatisierung erfolgreich sein kann, muss sie in der Lage sein, die richtigen Daten zu identifizieren, sie sicher zu löschen und den Fortschritt zu dokumentieren. Dies gilt sowohl für die lokale Verarbeitung als auch für die vertraglich vorgeschriebene Datenverarbeitung durch Dritte.
2. Daten verschieben
   Aus technischer Sicht können das Verschieben und die Quarantäne von Daten eine größere Herausforderung darstellen als das Löschen. Dennoch ist diese Entscheidung in der Regel leichter zu treffen, da nicht so viel auf dem Spiel steht wie beim Löschen: Die Daten können jederzeit wiederhergestellt werden. Hierfür setzen einige Unternehmen auf Vermerke mit Anweisungen und/oder einem Link zum neuen Standort der Daten. Sollen die Daten in einen Datenspeicher verschoben werden, der eine andere Client-Software oder -Konfiguration für den Zugriff erfordert oder für den andere Zugriffskontrollen konfiguriert werden müssen, bedeutet dies jedoch einen zusätzlichen Aufwand.
3. Zugriff begrenzen
   Die Begrenzung des Zugriffs erfordert eine hochentwickelte Automatisierung, ist aber aus organisatorischer Sicht am einfachsten zu realisieren. Es versteht sich von selbst, dass sensitive Daten nicht für alle zugänglich sein sollten und jeder Mitarbeitende nur Zugriff auf die Daten haben sollte, die für die Arbeit tatsächlich benötigt werden. Durch die zunehmende Verwendung von Collaboration-Tools werden die Einstellungen, Regeln und Anforderungen jedoch sehr komplex und ändern sich fortlaufend. Entsprechend führt an Automatisierung kein Weg vorbei. Mit den richtigen Lösungen ist die Begrenzung des Zugriffs jedoch die beste Option zur Reduzierung des Datenrisikos, da sie keine Löschung oder Änderung des Dateninhalts oder des Speicherorts erfordert. Zudem hat dies kaum Auswirkungen auf die Mitarbeitenden, ihre Produktivität und ihre Prozesse.
4. Dateibewegung überwachen
   Viele Unternehmen versuchen, die Bewegung sensitiver Daten einzuschränken, indem sie sie innerhalb eines logischen „Perimeters“ halten und dafür Data Loss Prevention (DLP)-Lösungen verwenden, welche die Daten in Bewegung blockieren, und/oder verschlüsseln. Dieser Ansatz begann mit Endpunkt- und Perimeter-Durchsetzungsmechanismen, hat sich aber zu einer kennzeichnungsbasierten Durchsetzung weiterentwickelt, bei der Dateien, die einer besonderen Behandlung bedürfen, mit einer Sensibilitätskennzeichnung versehen werden. DLP-Systeme schränken dann ein, welche Dateien gedruckt, auf einen USB-Stick kopiert oder per E-Mail verschickt werden können, und/oder verschlüsseln Dateien auf der Grundlage ihrer Kennzeichnung, sodass sie nur von autorisierten Systemen und Konten verwendet werden können. Dabei steht und fällt das Konzept mit der richtigen (und konsequenten) Kennzeichnung. Diese in die Hände der Mitarbeitenden zu legen, hat sich als nicht praktikabel erwiesen, sodass das Labeln automatisiert werden muss.
5. Obfuskation
   Einige Unternehmen setzen auf Verschleierung oder Tokenisierung sensitiver oder regulierter Komponenten in Datenbanken oder Dokumenten. Bei einer Obfuskationsstrategie bleibt der Großteil der Daten unverändert. Die sensitiven und regulierten Teile sind verborgen und nur für autorisierte Mitarbeitende zugänglich. Diese Option erfordert sowohl organisatorische Überlegungen als auch eine ausgeklügelte Automatisierung. Auch wenn der größte Teil des Dokuments lesbar bleibt und für bestehende Arbeitsabläufe zur Verfügung steht, müssen Unternehmen entscheiden, welche Teile verschleiert werden sollen und wer sie wann und wie einsehen darf. Um die Daten zu identifizieren, die verschleiert werden sollten, um sie zu verschleiern und um sie bei Bedarf den richtigen Personen auf sichere Weise zugänglich zu machen, ist eine Automatisierung unumgänglich. Darüber hinaus ist für die Entschleierung in der Regel ein zusätzlicher Client erforderlich.

Welcher Ansatz ist der passende?

Jeder der fünf Ansätze ist für Unternehmen nur dann eine Option, wenn sie ihn technisch umsetzen können und die Verantwortlichen und Mitarbeitenden davon überzeugt werden können. Darüber hinaus haben die Einhaltung von Vorschriften und gesetzlichen Bestimmungen einen großen Einfluss auf die Datensicherheitsstrategie.

Als erster Schritt sollte in jedem Fall überprüft werden, wie viel Einblick die Sicherheits- und IT-Teams in den Datenbestand haben. Wie präzise kennen sie den Bestand an sensitiven und regulierten Daten? Wissen sie, wer sie erstellt, wer Zugang zu ihnen hat und wer sie nutzt? Können diese an sich recht einfachen Fragen nicht beantwortet werden, empfiehlt sich die Durchführung einer Datenrisikobewertung, um Antworten und Einblicke zu erhalten. Ein solches Risk Assessment deckt auch die relevanten technischen Möglichkeiten des Unternehmens auf: Wie gut können die Verantwortlichen regulierte Daten und solche, die exponiert, veraltet oder an den falschen Stellen gespeichert sind, identifizieren? Sind sie in der Lage, Änderungen an Zugriffskontrollen oder Kennzeichnungen zu automatisieren oder Daten zu verschlüsseln, zu verschieben oder zu löschen? Idealerweise erhalten die Sicherheitsverantwortlichen einen Bericht mit kritischen Ergebnissen, der auf die Anforderungen, Vorschriften und Konfigurationen des Unternehmens genau zugeschnitten ist.

Als Nächstes sollte eine Bestandsaufnahme der Richtlinien gemacht werden, die das Unternehmen bereits erstellt hat. Verfügt das Unternehmen über eine Richtlinie zur Aufbewahrung von Daten, eine Richtlinie zur Zugriffskontrolle und/oder eine Richtlinie zur Datentaxonomie und -verarbeitung? Selbst wenn es keine formellen Richtlinien gibt, lassen sich vielleicht „einfache“ Richtlinien finden, die durchgesetzt werden können, wie z. B. „Regulierte Daten sollten nicht öffentlich zugänglich oder für das gesamte Unternehmen zugänglich sein“.

Der Druck auf Sicherheitsverantwortliche steigt: Die Bedrohungslandschaft verschärft sich kontinuierlich, während gleichzeitig neue Vorschriften und immer strengere Anforderungen der Cyber-Versicherer erfüllt werden müssen. Zusätzlich nimmt die Datenmenge kontinuierlich zu. All dies ist durch manuelle Maßnahmen nicht mehr zu bewerkstelligen, deshalb kommt einer intelligenten Automatisierung die Schlüsselrolle bei der Reduzierung des Datenrisikos zu. Grundlegend ist dabei ein tiefes Verständnis der Datennutzung: Man möchte weder sensitive Daten löschen, die aktiv genutzt werden, noch denjenigen den Zugang zu Daten verwehren, die sie für ihre Arbeit benötigen. Gleichzeitig kann aber die Überwachung der Datennutzung auch die Erkennung von Cyberangriffen und böswilligem Verhalten vereinfachen. So wie ein Kreditkartenunternehmen eine Aufzeichnung von Transaktionen verwendet, um ein Profil des normalen Abbuchungsverhaltens zu erstellen, kann die Erfassung von Datentransaktionen helfen, ein Profil zu erstellen und das normale Datenverhalten zu bestimmen. Auf diese Weise werden abnormale Aktivitäten erkannt und können automatisch gestoppt werden, um so die Dekade der Datenvorfälle zu beenden.