Datensicherheit: Die Herausforderungen für Unternehmen

Sensibilisierung für Daten

Eine der wichtigsten Herausforderungen für einen CISO ist es, den tatsächlichen Datenbestand eines Unternehmens zu ermitteln, der oft viel größer ist als erwartet und sich von Minute zu Minute ändern kann. Denken Sie an die flexible Nutzung der öffentlichen Cloud, API-Integrationen auf Anforderung und IoT-Sensor-Software-Updates, bei denen beispielsweise eine schlafende integrierte Kamera plötzlich zum Leben erweckt wird und aufgrund der Aktivierung einer Softwarefunktion beginnt, Daten zu erzeugen.

Um mit dieser sich ständig verändernden Landschaft Schritt zu halten, müssen Unternehmen ein Dateninventar erstellen und eine Datenklassifizierung vornehmen. Automatisierte, skalierbare und anpassungsfähige Tools zur Überwachung des Datenbestands helfen bei diesen Aufgaben. Datenrisikobewertungen können auch dazu beitragen, das allgemeine Datenbewusstsein zu verbessern.

Unterschiedliche Anforderungen an die Compliance von Daten

Die Aufsichtsbehörden der verschiedenen Staaten, Länder und Regionen arbeiten nach ihren eigenen Regeln. Auch wenn viele Unternehmen hoffen, dass sich irgendwann ein gemeinsamer Datenschutzrahmen herausbildet, gilt es aktuell bereits viele Vorgaben wie die DSGVO (Datenschutz-Grundverordnung) peinlich genau einzuhalten. Die europäischen Aufsichtsbehörden beispielsweise werden in Bezug auf die Durchsetzung der Datenkonformität immer strenger, und die Geldstrafen bei Verstößen können erheblich sein.

Suchen Sie sich Partner, die Sie bei der Auslegung und Handhabung der einschlägigen Datenschutzgesetze unterstützt und die Einhaltung von Daten und Vorschriften gewährleistet. Automatisierte Compliance-Software-Tools sind eine Alternative für kleinere Unternehmen mit knapperen Budgets.

Die Langlebigkeit von Daten

Dank der niedrigen Kosten, der Elastizität und der Allgegenwärtigkeit von Cloud-Speichern können Unternehmen jetzt noch nie dagewesene Datenmengen für unbegrenzte Zeit aufbewahren. Dies ist eine gute Nachricht für Führungskräfte, die mit Hilfe von Analysen einen Mehrwert aus Big Data ziehen. Aber es stellt auch eine große Herausforderung für CISOs dar, die den Datenbestand ihres Unternehmens reduzieren möchten, um das Risiko von Datenkompromittierungen zu verringern.

Sicherheits- und Unternehmensverantwortliche sollten gemeinsam einen Datenlöschungsprozess einrichten, der die Geschäftsanforderungen unterstützt und gleichzeitig mit der Risikobereitschaft des Unternehmens im Hinblick auf Cyberrisiken in Einklang steht. Die Festlegung eines Auslösers für die Datenvernichtung ist ein guter Anfang, zum Beispiel, wenn seit mehr als einem Jahr keine Anwendung mehr mit einem Data Lake in Berührung gekommen ist.

Daten bieten nicht nur Chancen, sondern können Unternehmen auch einer erheblichen rechtlichen und finanziellen Haftung aussetzen.

Und natürlich müssen auch hier alle Compliance-relevanten Vorschriften hinsichtlich des Löschens von Daten berücksichtigt werden. So gibt ja auch die DSGVO hier einiges vor, wann Daten zu löschen sind, hier empfiehlt sich ein entsprechendes Löschkonzept. Richtlinien zur Datenaufbewahrung können da ebenfalls sinnvoll sein. Stellen Sie sicher, dass primäre, sekundäre und tertiäre Daten verschlüsselt und regelmäßig bereinigt werden.

Ausscheiden von Mitarbeitern

Kündigungen und Entlassungen von Mitarbeitern erhöhen das Risiko von Insider-Angriffen. Für böswillige ehemalige und künftige Mitarbeiter sind Unternehmensdaten ein ideales Ziel für den Diebstahl, unabhängig davon, ob ihre Motivation Rache oder Profit ist. Externe Bedrohungsakteure können sich auch Zugang zu sensiblen Informationen verschaffen, indem sie sich in die ruhenden Konten ehemaliger Mitarbeiter hacken, wenn Unternehmen diese nicht rechtzeitig deaktivieren. Geschieht dies nicht, spricht man auch von verwaisten Konten, die meist zudem im Laufe der Zeit auch noch anfälliger für Angriffe werden.

Um sich vor diesen Bedrohungen zu schützen, sollten Sie granulare Zugriffskontrollrichtlinien durchsetzen und Benutzern die Zugriffsrechte entziehen, sobald sie das Unternehmen verlassen oder die Rolle wechseln. Die Analyse des Benutzer- und Entitätsverhaltens kann auch helfen, Insider-Bedrohungen und gefährdete inaktive Konten zu identifizieren.

Invasive Datentechnologien

Ein weiterer Faktor, der dazu beiträgt, dass der Datenbestand von Unternehmen explosionsartig ansteigt, ist das Aufkommen neuer, zunehmend invasiver Geschäftstechnologien. Immersive, personalisierte Virtual-Reality-Erlebnisse erfordern beispielsweise die Erfassung einer übermäßigen Menge an persönlichen Daten des Endnutzers.

Wissen ist Macht, und aus geschäftlicher Sicht verschafft diese Menge an Informationen den Unternehmen enorme Vorteile bei der Vorhersage und Beeinflussung des Kundenverhaltens. Aus Sicht des Datenschutzes und der Datensicherheit sind die Auswirkungen jedoch beunruhigend. Und der Rechtsrahmen setzt solchen Aktivitäten zwar gewisse Grenzen, hinkt aber neuen Technologien wie dem Metaverse und den damit verbundenen Herausforderungen für die Cybersicherheit hinterher.

Als CISO sollten Sie sicherstellen, dass das Unternehmen mit den Kundendaten, die es in neuen Umgebungen sammelt, vorsichtig und sorgfältig umgeht. Transparente, verständliche Datenschutzerklärungen, wie es die Vorgaben vorschreiben, gehören zum Minimum. Darüber hinaus sollten Sie sich ein Beispiel an bestehenden Umgebungen wie Cloud und IoT nehmen und gemeinsam mit den Geschäftsführern einen Rahmen für die Data Governance schaffen.