Anzeige

Anzeige

VERANSTALTUNGEN

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

Anzeige

Anzeige

Dieb Top Secret

Mit der wachsenden Zahl immer ausgefeilterer Cyberattacken stellt sich nicht mehr die Frage, ob, sondern eher wann ein Unternehmen Opfer eines Angriffs wird. Viele Organisationen konzentrieren ihre Sicherheitsbemühungen immer noch auf Techniken zur Absicherung von Perimetern und investieren große Summen in den Versuch, Angreifer von ihren Netzwerken, Servern und Anwendungen fernzuhalten. 

Doch sollte der Sicherheitsfokus heutzutage auch auf den sensiblen Unternehmensdaten liegen und nicht nur auf den immer anfälligeren Schutzmauern, die sie umgeben – denn auf lukrative Daten haben es Angreifer zumeist abgesehen. Deshalb verlagern immer mehr Unternehmen ihre Security-Strategie hin zu einer optimierten Identifizierung, Kontrolle und Absicherung ihrer sensiblen Datenbestände. Im Folgenden vier grundlegende Schritte für einen datenzentrierten Sicherheitsansatz:

1. Schritt: Wissen, was geschützt werden muss

Für Unternehmen, die eine datenzentrierte Sicherheitsstrategie verfolgen möchten, ist der beste Ausgangspunkt eine umfassende Datentaxonomie. Schließlich ist es unmöglich, wirksame Sicherheitsmaßnahmen zu ergreifen, wenn man nicht weiß, was es zu schützen gilt. Die Klassifizierung und Strukturierung der eigenen Daten hilft Unternehmen, den vollen Umfang ihrer Sicherheitsanforderungen zu verstehen.

2. Schritt: Wissen, wo sich die sensibelsten Daten befinden

Sobald die Datentaxonomie fertiggestellt ist, müssen die Daten entsprechend ihrer Sensibilität und ihrem Speicherort eingestuft werden. Dies kann nach Belieben der Organisation erfolgen, aber die gebräuchlichsten Kategorien sind Öffentlich, Privat, Eingeschränkt und Vertraulich. Die auf diese Weise durchgeführte Datenabstufung hilft Unternehmen dabei, festzustellen, wo ihr Sicherheitsfokus liegen sollte sowie zu entscheiden, welche Art von Sicherheitsvorkehrungen für jede Stufe getroffen werden müssen.

Wie viele Daten in jeder Kategorie vorhanden sind, wird in der Regel stark von der Branche beeinflusst, in der das Unternehmen tätig ist. Beispielsweise speichern Finanzinstitute und Regierungsorganisationen meist mehr vertraulichere Informationen als andere Sektoren. Ebenso arbeiten Händler, die Kreditkartenzahlungen akzeptieren, mit einer Vielzahl vertraulicher Kundeninformationen, die einen strengen Schutz erfordern.

3. Schritt: Kontrolle, wer Zugriff auf sensible Daten hat

Sobald die Daten entsprechend klassifiziert und eingestuft sind, besteht der nächste Schritt darin, den Zugriff auf diejenigen Nutzer zu beschränken, die ihn tatsächlich benötigen. In diesem Stadium ist es wichtig, sich daran zu erinnern, dass nicht alle Datenschutzverletzungen bösartig sind. Viele sind das Ergebnis unbeabsichtigter Nachlässigkeit von Mitarbeitern wie verlorene Memory-Sticks oder Laptops. Die Einführung einer Zugangskontrolle für sensible oder vertrauliche Daten macht es nicht nur böswilligen Insidern und externen Angreifern deutlich schwieriger, Daten zu stehlen, sondern ist auch eine der schnellsten Möglichkeiten, unbeabsichtigte Sicherheitsverstöße zu verhindern. Schließlich können Mitarbeiter nichts verlieren, was sie gar nicht haben.

Dieser Ansatz gewährleistet auch die Sicherheit der Daten, unabhängig davon, ob sie sich im Ruhezustand, in Übertragung oder in Bearbeitung befinden. In Kombination mit Sicherheits-Best-Practices wie Data-Awareness-Schulungen kann dieser Ansatz weitaus mehr Sicherheit bieten, als sich allein auf Firewalls und Antivirensoftware zu verlassen.

4. Einsatz datenzentrierter Technologien zur weiteren Stärkung der Sicherheit

Als weitere Sicherheitsschicht gibt es zahlreiche datenzentrische Sicherheitstechnologien, die speziell für den Schutz sensibler Daten entwickelt wurden. Data Loss Prevention (DLP), Cloud Access Controls, Verschlüsselungs- und Datentransparenzstrategien können ein erfolgreiches Programm ergänzen und bieten noch robusteren Schutz in der heutigen anspruchsvollen Online-Umgebung.

Trotz des alarmierenden Anstiegs der Cyber-Angriffe in den letzten Jahren ist es wichtig, sich daran zu erinnern, dass ein Sicherheitsverstoß nicht automatisch zu Datenverlust führt. Die Wahl eines datenzentrierten Ansatzes, anstatt ausschließlicher Verteidigung des Perimeters, kann im Falle eines Verstoßes Datenlecks verhindern. Ein grundlegender datenzentrierter Schutz muss nicht kompliziert sein. Wenn man sich nur die Zeit nimmt, um zu ermitteln, welche sensiblen Daten im Unternehmen existieren, wo sie sich befinden und wer Zugang zu ihnen haben sollte, kann dies die Verteidigung der Unternehmen erheblich stärken.

Christoph M. Kumpa
Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

https://digitalguardian.com/

 

GRID LIST
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…
Tb W190 H80 Crop Int Bb8485f1c597c774a4cc7876b0d0f3ff

Inkrafttreten der KRITIS-Verordnung im Gesundheitsbereich

Am 30. Juni dieses Jahres ist es soweit: Zahlreiche deutsche Kliniken müssen die…
Mann mit Lupe

Schwachstellen‑Hypes: Security‑Teams und die richtige Kommunikation

Einige Schwachstellen des vergangenen Jahres schafften es bis in die Schlagzeilen der…
Schach

Ein Antiphishing-Konzept für die letzte Verteidigungslinie

Social Engineering ist mit Abstand die Bedrohung Nummer eins, gefolgt von ungepatchter…
ICS Security

Proof of Concept für industrielle IT-Security-Lösungen

Es gibt viele gute Gründe für einen Proof of Concept (PoC), bevor man neue Technologien…