10 bewährte Verfahren für Datensicherheit in Unternehmen

1. Alle Unternehmensdaten katalogisieren

Um Daten zu schützen, ist es wichtig zu wissen, welche Daten vorhanden sind. Daten fließen durch ein verteiltes Netz von Rechenzentren, Netzwerkspeichern, Desktops, mobilen und Remote-Benutzern, Cloud-Servern und Anwendungen und werden darin gespeichert. Sicherheitsteams müssen verstehen, wie diese Daten erstellt, verwendet, gespeichert und gelöscht werden.

Der erste Schritt ist die Erstellung und Pflege eines umfassenden Datenbestands. Alle Daten - von alltäglichen bis hin zu sensiblen Daten - müssen katalogisiert werden. Wird diese sorgfältige Prüfung nicht durchgeführt und gepflegt, bleiben einige Daten ungeschützt und angreifbar.

Die riesige Menge an Daten, die von Unternehmen erstellt, gespeichert und verwendet werden, macht es zu einer schwierigen Aufgabe, einen Überblick über die Datenvorgänge zu erhalten. Ziehen Sie den Einsatz eines Datenermittlungstools in Betracht, um den Prozess zu automatisieren. Diese automatisierten Tools verwenden verschiedene Methoden - Crawler, Profiler und Klassifizierer - um strukturierte und unstrukturierte Daten zu finden und zu identifizieren.

2. Die Datennutzung versehen

Daten sind keine statische Entität; sie verändern sich, wenn sie von Anwendungen verwendet werden. Daten können in Bewegung, in Ruhe oder in Gebrauch sein. Um Daten richtig zu schützen, ist es wichtig, die verschiedenen Zustände zu verstehen, die Daten einnehmen, und zu wissen, wie sie zwischen den Modi wechseln. Wenn man weiß, wie und wann Daten unterwegs sind, verarbeitet und gespeichert werden, kann man den erforderlichen Schutz besser einschätzen. Wenn der Datenzustand nicht richtig erkannt wird, ist die Sicherheit nicht optimal.

3. Daten kategorisieren

Nicht alle Daten haben den gleichen Wert. Personenbezogene Daten und Finanzunterlagen sind zum Beispiel wesentlich wertvoller als ein technisches Whitepaper.

Nach der Bestandsaufnahme der Daten und dem Verständnis ihrer Verwendung sollten Sie den Daten einen Wert beimessen, sie kategorisieren und kennzeichnen. Mit Hilfe von Klassifizierungskennzeichen können Unternehmen die Daten entsprechend dem zugewiesenen Wert schützen. Die verwendete Klassifizierungsterminologie hängt von den Bedürfnissen des Unternehmens ab, aber im Allgemeinen werden die Daten in vier Klassen eingeteilt:

• öffentlich (frei verfügbar);
• intern (bleiben innerhalb eines Unternehmens);
• sensibel (Schutz durch Compliance); und
• vertraulich (die Freigabe von Daten, die nicht den Vorschriften entsprechen, ist nachteilig).

Eine konsistente und korrekte Datenkategorisierung hilft auch bei der Festlegung, wann und wo Daten gespeichert werden sollten, wie sie geschützt werden und wer Zugriff darauf hat. Sie verbessert auch die Berichterstattung über die Einhaltung von Vorschriften.

Viele Tools zur Datenermittlung können Daten klassifizieren und kennzeichnen, um einer Datenklassifizierungsrichtlinie zu entsprechen. Diese Tools können auch Klassifizierungsrichtlinien durchsetzen, um den Benutzerzugriff zu kontrollieren und die Speicherung an unsicheren Orten zu vermeiden.

4. Datenmaskierung verwenden

Eine starke Maßnahme gegen Datenverlust ist es, die gestohlenen Informationen für den Angreifer unbrauchbar zu machen. Tools zur Wahrung der Vertraulichkeit bieten diese Funktion.

Die Datenmaskierung ermöglicht es den Benutzern, Aufgaben an funktional formatierten Daten auf der Grundlage authentischer Daten auszuführen, ohne dass die eigentlichen Daten benötigt oder offengelegt werden. Zu den Datenmaskierungstechniken gehören Verschlüsselung, Zeichenvertauschung und Zeichen- oder Wortsubstitution. Eine der beliebtesten Techniken ist die Tokenisierung, bei der echte Werte durch voll funktionsfähige Dummy-Daten ersetzt werden. Echte Daten, wie zum Beispiel personenbezogene Daten oder Kreditkartennummern, befinden sich an einem gesicherten zentralen Ort, auf den nur die erforderlichen Benutzer Zugriff haben.

5. Daten verschlüsseln

Bei der Verschlüsselung werden ein kryptografischer Algorithmus und geheime Schlüssel verwendet, um sicherzustellen, dass nur die vorgesehenen Entitäten die Daten lesen können. Die Verschlüsselung wird für Daten verwendet, die auf einem Laufwerk, in einer Anwendung oder bei der Übertragung gespeichert sind. Sie ist in Betriebssystemen, Anwendungen und Cloud-Plattformen sowie in unabhängigen Softwareprogrammen weit verbreitet.

6. Strenge Zugriffskontrollen einführen

Daten, insbesondere Daten, die wertvoll sind oder Vorschriften unterliegen, dürfen nur denjenigen zur Verfügung stehen, die den Zugriff benötigen, um ihre Arbeit zu erledigen. Führen Sie strenge Kontrollmechanismen für den Zugriff ein, um festzulegen, welche Entitäten auf welche Daten zugreifen dürfen, und verwalten und überprüfen Sie regelmäßig die Berechtigungen dieser Entitäten.

Autorisierungs- und Zugriffskontrollen reichen von Passwörtern und Audit-Protokollen bis hin zu Multifaktor-Authentifizierung, Verwaltung privilegierter Zugriffe und obligatorischen Zugriffskontrollen. Welcher Mechanismus auch immer verwendet wird, es muss sichergestellt sein, dass er Entitäten validiert und den Zugriff nach dem Prinzip der geringsten Privilegien gewährt. Starke Zugangskontrollen erfordern eine umfassende Überwachung und Prüfung, um Anomalien oder Missbrauch schnell zu erkennen.

7. Richtlinien zur Datenerfassung und -aufbewahrung erstellen

Richtlinien sind ein unpopuläres Thema, aber es gibt gute Gründe für ihre Existenz. Richtlinien zur Datenerfassung und -aufbewahrung legen die Normen für die Datenverwaltung und den Datenschutz fest. Diese Richtlinien bestimmen Regeln für Folgendes:

• welche Daten gesammelt werden;
• wann und wie sie gespeichert werden;
• welche Daten verschlüsselt werden müssen; und
• wer Zugang zu den Informationen hat.

Daten, die nicht mit den Richtlinien zur Datennutzung und -aufbewahrung übereinstimmen, sollten gelöscht werden. Die Richtlinien unterstützen nicht nur die internen Abläufe, sondern auch die Einhaltung von Vorschriften wie der EU-DSGVO (Datenschutz-Grundverordnung).

8. Schulungen zum Sicherheitsbewusstsein durchführen

Data Protection und Datenschutz sind, ebenso wie Cybersicherheit, eine Teamleistung. Klären Sie Mitarbeiter und Nutzer, die Zugang zu Daten haben, über die Bedeutung der Datensicherheit auf. Sprechen Sie über ihre Rolle bei der Datensicherheit und darüber, welche Daten Nutzer sammeln und speichern sollten und welche Daten nicht weitergegeben werden sollten.

Informierte und sachkundige Mitarbeiter sind eher bereit, Sicherheitsbestrebungen zu unterstützen, als sie zu untergraben, indem sie versuchen, die Kontrollen zu umgehen. Die Personen, die am nächsten an der Datenverwaltung dran sind, können auch wertvolle Unterstützung leisten, indem sie Anomalien erkennen, die auf ein potenzielles Problem hinweisen könnten.

9. Daten sichern

Verfügbarkeit und Integrität sind für die Sicherheit ebenso wichtig wie die Vertraulichkeit. Die Datensicherung bietet diese Funktionen. Ein Backup ist eine Kopie der Daten, die sich an einem anderen Ort befindet. Backups ermöglichen die Wiederherstellung von Daten, wenn die Arbeitskopie nicht mehr verfügbar, gelöscht oder beschädigt ist.

Führen Sie Backups in regelmäßigen Abständen durch. Dabei kann es sich um eine vollständige Datenreplikation oder um eine inkrementelle Sicherung handeln, bei der nur Datenänderungen gespeichert werden. Achten Sie darauf, dass alle Backups geschützt sind, da sie auch ein Ziel von Angriffen sein können.

10. DLP verwenden

Plattformen zur Verhinderung von Datenverlusten (DLP, Data Loss Prevention) sind ein Schlüsselelement jeder Datensicherheitsstrategie. DLP besteht aus Technologien, Produkten und Techniken, die die Verfolgung sensibler Daten automatisieren.

DLP-Schutzmaßnahmen verwenden Regeln, um elektronische Kommunikation und Datenübertragungen zu überprüfen. Sie verhindern, dass Daten das Unternehmensnetzwerk verlassen oder an interne Ressourcen weitergeleitet werden, die nicht den Richtlinien entsprechen. DLP kann auch eingesetzt werden, um zu verhindern, dass Unternehmensdaten an nicht verifizierte Stellen oder über unerlaubte Übertragungsmethoden übertragen werden.

Das Zusammenwirken von Maßnahmen

Datensicherheit entsteht nicht von selbst. Sie erfordert, dass diese bewährten Verfahren nicht als eigenständige Aktivitäten, sondern als Teil einer umfassenden Verteidigungsstrategie eingesetzt werden. Um ein effizientes und effektives Datensicherheitsprogramm zu erstellen, sollten die meisten, wenn nicht sogar alle dieser Komponenten kombiniert werden.