Production Perig - stock.adobe.c
Datensicherheit: Ein umfassender Compliance-Ansatz ist nötig
Veraltete Daten können die Angriffsfläche eines Unternehmens vergrößern. In Sachen Sichtbarkeit und Zugriffsverwaltung ist es bei derlei Daten häufig nicht zum Besten bestellt.
In der Geschäftswelt werden Daten oft als Schlüssel zum Erfolg angesehen. Richtig eingesetzt, ermöglichen sie Unternehmen einen entscheidenden Vorteil gegenüber der Konkurrenz. „Je mehr Daten, desto besser“ – So schien es jedenfalls. Diese Denkweise hat zu einer „kalorienhaltigen“ Ernährung für viele Firmenserver geführt – mit Informationen über Kunden, Partner und Klienten, die sich über Jahre und Jahre angesammelt haben.
Für sich allein gesehen sind Daten jedoch ziemlich nutzlos. Nur mit ausgeklügelten Datenanalyse-Tools können diese in nützliche Informationen umgewandelt werden, die für ein Unternehmen von echtem Wert sein können.
Mit Vorschriften wie der DSGVO (EU-Datenschutz-Grundverordnung) können es sich Unternehmen nicht leisten, das Speichern und Bearbeiten von Informationen nicht als verantwortungsvolle Aufgabe zu sehen. Grundsätzlich gilt: Nur Daten, die notwendig sind, sollten gesammelt und aufbewahrt werden (Artikel 25), und Unternehmen müssen eine klare Löschungspolitik nachweisen, wenn sie aufgefordert werden, einen Antrag auf Zugang zu den Daten auszustellen.
Aber bei der Masse an alten Informationen, die in vielen Betrieben gespeichert sind, ist es keine Überraschung, dass viele Unternehmen immer noch nicht in der Lage sind, den Anforderungen der DSGVO in vollem Umfang nachzukommen. Kurz gesagt, es muss mehr getan werden, um eine gefräßige Datenernährung zu bekämpfen, die die allgemeine Gesundheit von Unternehmen gefährdet.
Alte Daten sind keine Ausnahme
Es gibt eine weit verbreitete Fehleinschätzung unter Führungskräften, dass alte Informationen, ihre Eigentümerschaft und ihr Inhalt fast unmöglich zu identifizieren sind. Dieses falsche Sicherheitsgefühl setzt Unternehmen ernsthaften Risiken aus. Hacker sind immer auf der Suche nach Möglichkeiten, sich alte und neue Unternehmensdaten zu beschaffen. Je mehr Informationen Betriebe an einer Vielzahl von Orten aufbewahren, desto mehr Vektoren entstehen für die Hacker, die sie ausnutzen können.
Hacker sind nicht wählerisch, welche Daten sie stehlen. Große Mengen „veralteter“ Daten können die Angriffsfläche einer Firma vergrößern. Und dies birgt für Angreifer sogar ein noch größeres Potenzial, denn: Es ist noch unwahrscheinlicher, dass Unternehmen gute Sichtbarkeit oder Zugriffsüberwachungsfunktionen für alte Daten eingerichtet haben. Dadurch können Hacker noch einfacher Lücken ausnutzen. Infolgedessen kann es viel länger dauern, bis IT-Teams Schwachstellen oder eine nicht konforme Datenverwaltung erkennen.
Verstöße stellen eine enorme Belastung für die Compliance dar. Im Zuge der DSGVO kann die EU enorme Strafen gegen Unternehmen verhängen, die gegen die Vorschriften verstoßen. Dem Berliner Immobilienkonzern Deutsche Wohnen wurde im Jahr 2019 eine Geldstrafe von mehr als 14 Millionen Euro auferlegt, weil es sich nicht an den Grundsatz des Privacy by Design gehalten hat. Das Bußgeld war das höchste in der deutschen Geschichte. Das Unternehmen verwendete ein Archivsystem, das nicht in der Lage war, überflüssige oder veraltete Daten, die nicht mehr benötigt wurden, zu entfernen.
Viele IT-Teams sind überlastet und verfügen nicht über die Kapazitäten, um eine ordnungsgemäße Durchsetzung der Richtlinien für Sicherheit und Datenverwaltung durchzusetzen. Viele sind daher darauf angewiesen, dass die Endbenutzer ihre Dateien korrekt verwalten.
Die Realität sieht jedoch so aus, dass die meisten Benutzer keine Zeit mit dem Sortieren oder Verwalten ihrer Daten verbringen möchten und Dokumente oder Daten oft „nur für den Fall“ aufbewahren, dass sie zu einem späteren Zeitpunkt nützlich sein könnten. Verschärft wird dieses Problem, wenn ein Mitarbeiter seine Rolle wechselt und niemand mehr seine Daten verwaltet.
Wenn eine Anfrage im Rahmen der DSGVO eingereicht wird, antworten viele Unternehmen daher mit alten Daten, in der Hoffnung, dass unstrukturierte Dateien niemals offengelegt werden. Es handelt sich hierbei kaum um einen umfassenden Ansatz zur Pflege von Partner- und Kundendaten.
Ein identitätszentrierter Ansatz zur Einhaltung der Vorschriften
Eine gute „Ernährung“ im Sinne der Datenspeicherung kann viele Vorteile für die allgemeine Gesundheit eines Unternehmens mit sich bringen – zum Beispiel die Gewährleistung guter Geschäftspraktiken und die Verbesserung der Compliance. Dies ist jedoch leichter gesagt als getan. Woher wissen Firmen, wem die Informationen gehören? Wann wurde das letzte Mal auf die Daten zugegriffen? Gibt es irgendwelche „Schätze“ unter den Informationen, die dem Unternehmen zugutekommen können?
Ein bedeutender Anteil des Datenzugriffs und -besitzes in Betrieben dreht sich heute um persönliche Referenzen und digitale Profile. Hier ist ein zu berücksichtigender Ansatz ein identitätszentriertes Sicherheitsmodell. Dies kann bei der Festlegung der Art und Weise, wie eine Organisation Daten sammelt, von entscheidender Bedeutung sein. Nicht nur dies, sondern es kann auch die Art der Daten, die es sammelt, und die Aufbewahrungszeit jeglicher Informationen definieren. Der Betrieb braucht auch Kontrollen, damit das IT-Team überwachen kann, ob die Richtlinie ordnungsgemäß umgesetzt wurde.
Es ist von entscheidender Bedeutung, über Werkzeuge zu verfügen, die diesen Ansatz unterstützen. Eine Firma muss unbedingt in der Lage sein, verschiedene Arten von Daten automatisch und präzise zu verorten. Dies ist insbesondere dann der Fall, wenn es sich um persönlich identifizierbare oder sensible Daten oder um ein Duplikat handelt. Organisationen müssen in der Lage sein, sie entsprechend den gesetzlichen Anforderungen zu verwalten oder zu löschen.
„Überschüssige Daten können nicht unter den Teppich gekehrt werden. Unabhängig davon, ob es sich um alte, unnötige oder duplizierte Informationen handelt, müssen sich Betriebe der Tatsache stellen, dass sie möglicherweise bereits gegen die Vorschriften verstoßen.“
Ben Bulpett, SailPoint
Nach über zwei Jahren DSGVO ist ein identitätsbasiertes Programm zur Verwaltung von Daten, die in Anwendungen und Dateien oder Ordnern gespeichert sind, von entscheidender Bedeutung. Nur mit einem umfassenden Ansatz in Sachen Identity wird eine Organisation in der Lage sein, festzustellen, welche Daten in den Dateien und Ordnern gespeichert sind, wer auf diese Dateien zugreift, was die Personen mit diesen tun, wer der rechtmäßige Eigentümer ist und wann zuletzt auf sie zugegriffen wurde.
Diese erhöhte Sichtbarkeit und Nachvollziehbarkeit bedeutet, dass Anfragen in Bezug auf alle Daten innerhalb eines Unternehmens geprüft werden können – unabhängig davon, ob sie strukturiert oder unstrukturiert sind. Durch die Rückverfolgbarkeit der Daten kann die Aufgabe in weniger als 20 Minuten erledigt werden, wodurch eine vollständige Compliance mit der DSGVO erreicht wird.
Die kalorienreduzierte Datendiät
Überschüssige Daten können nicht unter den Teppich gekehrt werden. Unabhängig davon, ob es sich um alte, unnötige oder duplizierte Informationen handelt, müssen sich Betriebe der Tatsache stellen, dass sie möglicherweise bereits gegen die Vorschriften verstoßen. Und hier könnte ein hohes Bußgeld drohen, wenn nichts unternommen wird.
Um unnötige Datenkalorien in Zukunft fernzuhalten, ist eine strenge Diät notwendig. Ein effektiver Identitätsansatz für die Verwaltung dieser Informationen ist entscheidend, um Firmen – unabhängig von ihrer Größe – auf Kurs zu halten. Alle Unternehmen, von kleinen und mittleren Unternehmen bis hin zu multinationalen Konzernen, müssen sicherstellen, dass sie alle ihre Daten so gründlich wie möglich verwalten und dass nichts durch die Lücken rutscht.
Über den Autor:
Ben Bulpett ist EMEA Marketing Direktor bei SailPoint.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
