Information Governance: Bessere Sichtbarkeit von Informationen

Unternehmen müssen wissen, welche Daten geschäftskritisch sind, wo sie gespeichert wurden, wer Zugriff darauf hat und wie sie geschützt sind.

Die Notwendigkeit für Unternehmen, ihre elektronischen Daten besser zu verstehen und zu verwalten, nimmt ständig zu. Auf nationaler wie auch auf Branchenebene werden immer neue Rechtsvorschriften eingeführt, sowohl im Hinblick auf den Schutz von Daten und noch wichtiger, zum Schutz der Menschen, zu denen diese Daten gehören. 

Ausgehend von Kreditkarten-, Bank- und Finanzdaten, weitete sich das Schutzbedürfnis auf Gesundheits- und andere persönliche Informationen aus und erstreckt sich mittlerweile auch auf den Schutz geistigen Eigentums (IP).

Michael Kretschmer,
Managing Director DACH,
Clearswift

Auf den ersten Blick scheint das Problem nicht besonders groß zu sein. Wertvolle Daten müssen erkannt und ihr Speicherort ermittelt werden. Dann gilt es, eine Möglichkeit zu finden, die Informationen effektiv zu schützen. In der Praxis bedeutet dies für die Verantwortlichen jedoch eine enorme Herausforderung. 

Die meisten Unternehmen und Organisationen kennen ihre kritischen Daten nicht, können deren Wert nicht einschätzen und haben keine Informationen über deren Speicherort und bestehende Zugriffsrechte. Neue Arbeitsweisen wie Bring your own Device (BYOD), Choose your own Device (CYOD), Cloud-Nutzung und soziale Netzwerke führen zu einem erhöhten Austausch kritischer Informationen über mobile Endgeräte und verschärfen diese Problematik immens. 

Die große Herausforderung für den CIO, Informationen innerhalb des eigenen Kontrollbereichs zu verstehen, nimmt exponentiell zu, wenn kritische Daten nach außen getragen werden.

Geschäftstrends im Überblick

In der heutigen Geschäftswelt stehen wir signifikanten Veränderungen gegenüber, sowohl bei der Abwicklung von Geschäften als auch bei der Art und Weise wie Informationstechnologie genutzt wird. 

Damit werden nicht nur die Geschäftsprozesse beschleunigt, sondern es entsteht auch ein erhöhtes Gefahrenpotential. Vor allem der Umgang der Unternehmen mit sensiblen Daten wird zunehmend schwierig. 

Mangelhafte Datensicherheit führt oft zu einem Reputationsverlust und wirkt sich nachteilig auf Wettbewerbsfähigkeit und Kundenbindung aus. Medienberichte im Zusammenhang mit schlecht verwalteten Informationen sind an der Tagesordnung, und die Probleme nehmen kontinuierlich zu.

Um eine Lösung aufzeigen zu können, müssen zunächst die Geschäftsabläufe analysiert und mögliche Gefahren benannt werden. Zwar gibt es viele neue Business-Trends, die aber alle eines gemeinsam haben – den immer einfacheren Zugang zu Unternehmensdaten. Damit nehmen die Gefahren zu, die durch den eklatanten Kontrollverlust in Bezug auf wichtige Daten entstehen.

Cloud Computing

Mit Cloud Computing wird die schnelle und einfache Implementierung von IT-Lösungen möglich, die nur zu (wesentlich) höheren Preisen firmenintern erstellt werden könnten. Außerdem bietet der Cloud-Ansatz die für jedes Unternehmen dringend erforderliche betriebliche Flexibilität. 

Ein Verzicht auf die Cloud bedeutet heutzutage möglicherweise den Verlust entscheidender Geschäftsmöglichkeiten. Bei vielen Unternehmen überwiegen die Risiken aber immer noch die Vorteile, denn in der Cloud gibt es wenig Kontrollmöglichkeiten in Bezug auf Zugangs- und Sicherheitsrichtlinien und darüber, wer Ihre Unternehmensdaten sehen kann und wann. Änderungen der Unternehmensstruktur oder im Bereich Personal führen oft zu Nachlässigkeiten bei der Umsetzung von Richtlinien, so dass mehr Menschen als gewollt Zugriff auf kritische Daten haben.

Soziale Netzwerke

Social Media wurde früher als „gesellschaftlich” aber nicht als geschäftsrelevant wahrgenommen. Heute gibt es nur noch sehr wenige Unternehmen, die keine Präsenz in sozialen Netzwerken wie Twitter, Facebook und LinkedIn haben. Die Nutzung dieser Medien ist keinesfalls nur oberflächlich; sie werden als Kommunikations- und Handelsplattform für Kunden, Lieferanten und Partner eingesetzt. 

Wichtige Informationen werden über die Plattformen ausgetauscht und es gibt meist nichts, was ein Unternehmen tun könnte, um den damit verbundenen Informationsfluss zu steuern. Ein generelles Nutzungsverbot ist nicht praktikabel, da es gute geschäftliche Gründe für den Einsatz gibt. Also gilt es eine unbefugte Weitergabe beziehungsweise Verbreitung kritischer Daten zu verhindern.

Bring Your Own Device (BYOD)

„Bring Your Own Device” ist ein Trend, der von Mitarbeitern forciert wird. Deren eigene Geräte sind oft den vom Unternehmen zur Verfügung gestellten technisch überlegen. Die Mitarbeiter verwenden deshalb lieber die fortschrittlicheren Geräten. Obwohl dies einerseits für die Unternehmen häufig zu einer kostengünstigeren IT-Lösung führt, bereitet es anderseits dem CIO Kopfschmerzen – insbesondere was den Datenschutz betrifft

Es ist wesentlich schwieriger, die Kontrolle über sensible Daten zu behalten, die nicht über die Unternehmens-IT verwaltet werden können. Da sich mobile Arbeitspraktiken immer mehr etablieren, muss diese Entwicklung von den Unternehmen verstärkt berücksichtigt und adressiert werden, um die Grenzen des Mobile Device Management (MDM) genau zu verstehen.  Nur so kann ein angemessenes Sicherheitsniveau erreicht werden, sowohl was das Gerät angeht als auch in Bezug auf die genutzten Daten.

Collaboration

Der Wunsch nach flexibler Zusammenarbeit hat sich bei Unternehmen und Einzelpersonen parallel mit Cloud Computing, sozialen Netzwerken und mobilen Arbeitsmethoden weiterentwickelt: Die Einfachheit und Schnelligkeit, mit der Informationen nun intern und extern ausgetauscht werden können, kann die Effizienz der Arbeitsabläufe innerhalb eines Unternehmens erheblich verbessern

Information Governance ist ein recht neues Konzept und bisher gibt es keine einheitliche Definition.

Allerdings werden viele Unternehmen, die gerne diese neue Methode der Zusammenarbeit nutzen würden, von den negativen Sicherheitsauswirkungen abgeschreckt. Um es nochmal zu sagen, kritische Informationen können verloren gehen, wenn Daten das Unternehmen verlassen und sich außerhalb der Kontrolle befinden, die durch die Verwendung von unternehmenseigenen Geräten gewährleistet wäre.

Unter Sicherheitsaspekten bergen diese neuen Geschäftspraktiken potenzielle Gefahren. Es ist aber genau die Kombination dieser Trends, die den Unternehmen heute ihre Flexibilität und Wettbewerbsfähigkeit verleiht. Sich gegen diese Art von Geschäftsmethoden zu entscheiden, ist also keine Option. Damit würden Unternehmen eine negative Einstellung zu Fortschritt und Technik signalisieren.

Daten können auf mitarbeitereigenen Geräten erstellt und dann zur Zusammenarbeit mit anderen in die Cloud hochgeladen werden. Die Verantwortung für diese Geräte und – noch wichtiger für die Daten darauf – liegt nun verstärkt beim jeweiligen Mitarbeiter und nicht mehr nur bei der IT-Abteilung der Unternehmen. Im Ergebnis erhöht sich das Geschäftsrisiko beträchtlich – ein Problem, über das sich die Unternehmen klar werden sollten und an dessen Lösung sie dringend arbeiten müssen. Die Fragen, die es zu klären gilt, sind:

  • Welche Informationen sind geschäftskritisch?
  • Wo sind die Daten gespeichert?
  • Wer hat Zugang auf die Informationen?
  • Sind die Daten ausreichend geschützt?

Aktuelle Geschäftsrisiken

Jedes Geschäft birgt Risiken – ohne Risiko gibt es keinen Gewinn. Der Umgang mit diesem Risiko ist es, der den Unternehmen einen Wettbewerbsvorteil verschaffen kann. Heute sind es Informationen, die Vorteile in der Geschäftswelt bringen. Einhergehend mit diesen Vorteilen tauchen aber auch verstärkt Risiken auf, die bisher nicht in Erscheinung getreten sind.

Datenverlust

Das größte Risiko im IT-Bereich, mit dem die Unternehmen heute konfrontiert sind, ist der Verlust von kritischen Informationen. Datenverluste führen nicht nur häufig zu Bußgeldern, meist sind weitere erhebliche Kosten mit einem Reputationsverlust verbunden. Eine zusätzliche Gefahr liegt darin, geistiges Eigentum an die Konkurrenz zu verlieren. 

Einerseits ist es entscheidend für den Erfolg eines Unternehmens, dass die Mitarbeiter frei kommunizieren können, andererseits stellen soziale Netzwerke erhebliche Risiken für Unternehmen dar, wenn sie keine Schutzmaßnahmen ergreifen. 40 Prozent aller Verluste entstehen durch arglistiges Verhalten. Die meisten Datenverluste lassen sich jedoch auf unbeabsichtigtes oder zufälliges Handeln zurückführen.

Mangelndes Bewusstsein über den Wert verschiedener Arten von Informationen, sowie mangelndes Wissen über Speicherorte sensibler oder vertraulicher Daten, verbunden mit dem oft unklaren Informationsfluss durch das Unternehmen, sorgen dafür, dass der Schutz vor Datenverlust bei größeren und kleineren Unternehmen ein Thema auf Vorstandsebene ist. Unternehmen müssen das alles verstehen, um geeignete Sicherheitsmaßnahmen einleiten zu können.

Advanced Persistent Threats (APT)

Die nächste Generation Malware sind APTs oder Advanced Persistent Threats, also bösartige Programm-Codes. Man könnte sie als “Nachfolger” der früheren breit gestreuten Computerviren bezeichnen. Während Viren immer noch eine Bedrohung darstellen, richten sich die neuen Angriffe gezielt gegen bestimmte Unternehmen und Einzelpersonen mit der Absicht, Daten, einschließlich geistigen Eigentums, zu stehlen, gewinnbringend zu verkaufen oder den Geschäftsbetrieb aus politischen oder Wettbewerbsgründen zu stören.

Mit Information Governance lassen sich Geschäfts-Informationen in ein vertrauens-würdiges, strategisches Vermögen umwandeln.

Ein Advanced Persistent Threat (APT) ist ein Netzwerk-Angriff, bei dem sich eine unautorisierte Person Zugriff auf ein Netzwerk verschafft. Von dort versucht der Angreifer, Informationen nach außen abfließen zu lassen. Phishing und Spear-Phishing sind die Waffen der Wahl, um den Angriff zu beginnen. 

Dabei sind kleine bis mittelständische Unternehmen (diejenigen, die dazu neigen, weniger robuste Sicherheitsrichtlinien zu implementieren) besonders gefährdet. Jede Information hat einen Wert für irgendjemanden. Dass die Speicherorte wichtiger Informationen oft nicht bekannt sind, macht deren Schutz sehr schwierig. 

APTs haben den Schwerpunkt der Sicherheit weg von Systemen und hin zu den darauf befindlichen Daten verschoben. Durch den Schutz von Daten zur Risikominimierung und die Möglichkeit, den Datenfluss firmenintern und über die Unternehmensgrenzen hinweg nachzuverfolgen, werden gute Governance- und Compliance-Richtlinien erst möglich.

Compliance (Einhaltung der Regeln)

Probleme mit Informationsverlust, insbesondere im Zusammenhang mit personenbezogenen Daten (PII), Daten im Gesundheitswesen (PHI) und Finanzdaten, beispielsweise Kreditkarten (PCI), haben zu gesetzlichen Regelungen und Compliance-Anforderungen für alle Unternehmen, einschließlich Regierungsstellen, geführt.

Die Vorschriften wurden um neue Richtlinien erweitert und beziehen nun Meldungen über Sicherheitsvorfälle, auch im Zusammenhang mit dem Verlust geistigen Eigentums, mit ein. Dies erhöht den Druck auf die Unternehmen, die nicht nur wissen müssen wo ihre Informationen gespeichert sind, sondern auch wie sie dorthin übermittelt werden und wer Zugriff auf die Daten hat. Die Folgen bei Nichteinhaltung, sowie die finanziellen Sanktionen, können Unternehmen in erhebliche Schwierigkeiten bringen.

Neue Verfahren und Technologien bringen Veränderungen in den Geschäftsabläufen mit sich und führen zu einer „Catch-22“-Situation. Das bedeutet, die Ansprüche an und die Gewichtung von Compliance steigen in den Unternehmen und gleichzeitig wird der Austausch von Informationen weder geregelt noch kontrolliert, was im klaren Widerspruch zueinander steht. 

Für eine erfolgreiche Zusammenarbeit in der heutigen Geschäftswelt, werden Medien eingesetzt, die es Angreifern leicht machen, mittels APTs Informationen aus dem Unternehmen heraus zu entwenden. Daraus resultiert die Anforderung für ein besseres Verständnis und deutlichere Kontrollen der Daten eines Unternehmens. Damit lässt sich Information Governance erzielen.

Von Silo-Lösungen hin zur Information Governance

Information Governance (IG) ist ein neuer Begriff, der eine Reihe von Regeln, Instrumenten und Steuerelementen umfasst, mit denen Unternehmensinformationen von einer möglichen Verbindlichkeit in ein vertrauenswürdiges, strategisches Vermögen umgewandelt werden. Es handelt sich um ein recht neues Konzept und bisher gibt es keine einheitliche Definition. Im Wesentlichen sorgt IG für die erforderlichen Sicherheitsmaßnahmen zur angemessenen Verwendung vertraulicher Informationen eines Unternehmens.

Die Trennung der IT vom Schutz der Informationen zeigt den immensen Stellenwert der Informationen auf allen Unternehmens-ebenen.

Hieraus resultieren neue Funktionen und Aufgaben, etwa für den CIO, der zum CISO (Chief Information Security Officer) wurde und dem meist auch noch die Aufgaben des Datenschutzbeauftragter (DSB) übertragen werden. Auch wenn sie eng mit IT verbunden sind, unterstehen die neuen Funktionen eher anderen Geschäftsbereichen, wie der Rechts-, Controlling- oder Finanzabteilung.

Die Trennung der IT vom Schutz der Informationen zeigt den immensen Stellenwert der Informationen auf allen Unternehmensebenen. Information Governance setzt Best Practices für die Erstellung, Nutzung, Archivierung und Löschung von Unternehmensdaten um, in denen auf alle Phasen des Lebenszyklus von Informationen und auf die Wege der Informationen durch das Unternehmen eingegangen wird.

Über den Autor:
Michael Kretschmer ist seit Oktober 2014 als Managing Director bei Clearswift für die Region DACH verantwortlich. Mit seinem Produktangebot will Clearswift kritische Unternehmens-Informationen schützen und Flexibilität für eine wirksame Zusammenarbeit und geschäftliches Wachstum schaffen. Die Clearswift Aneesya-Plattform (CAP) für Information Governance klassifiziert und überwacht Daten nach unternehmenseigenen Klassifizierungsregeln.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Dezember 2014 aktualisiert

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close