Datensicherheit und die Einhaltung gesetzlicher Vorgaben gehen Hand in Hand. So belegt der neueste "State of the Phish Report" von Proofpoint, dass die Meldungen über finanzielle Sanktionen – beispielsweise von einer Aufsichtsbehörde verhängte Strafzahlungen – wegen erfolgreicher Phishing-Angriffe 2023 um 510 Prozent gegenüber dem Vorjahr angestiegen sind. Darüber hinaus identifiziert er eine Reihe signifikanter Veränderungen der Sicherheitslage. So missbrauchen Cyberkriminelle zunehmend generative KI, QR-Codes und Multifaktor-Authentifizierung (MFA). Um dieser Bedrohungslage Rechnung zu tragen und Datensicherheit sowie Governance-Anforderungen gleichermaßen gerecht zu werden müssen Unternehmen vor allem drei tragende Säulen der IT-Sicherheit schaffen.

Säule 1: Ermittlung und Klassifizierung von Daten
Ein Unternehmen kann nur die Daten verwalten und schützen, von denen es weiß. Dieses Wissen wird im Übrigen auch von der Datenschutz-Grundverordnung (DSGVO) eingefordert. Insbesondere verlangt die DSGVO:

• Detaillierte Aufzeichnungen zu führen über die erfassten Daten, ihre Verwendung und Speicherung sowie über die Personen, die auf sie zugreifen können.
• Daten bei Bedarf zu löschen, zum Beispiel um dem „Recht auf Vergessenwerden“ nachzukommen.

Der Übergang zur Fern- oder Hybridarbeit und die Nutzung der Cloud haben das Risiko erhöht, Übersicht und Kontrolle über relevante Daten zu verlieren. Die Belegschaft nutzt viele Geräte und Anwendungen und arbeitet an verschiedenen Standorten innerhalb und außerhalb des Unternehmensnetzwerks.

Um ein umfassendes Verzeichnis aller relevanten Daten zu erstellen, sollte ein Unternehmen darauf achten, welche Tools seine Mitarbeiter nutzen: E-Mail, Cloudanwendungen, lokale Dateispeicher und Endgeräte. Es gibt technische Hilfsmittel, um diese Daten zu finden. Aber dies allein reicht nicht aus. Um ihre Daten zu verwalten und zu schützen, müssen Unternehmen alle sensiblen oder regulierten Informationen identifizieren. Zur Organisation von Daten stehen eine Reihe von Hilfsmitteln zur Verfügung:

• Tags für Dokumente mit vertraulichen oder streng vertraulichen Daten.
• Identifier: Vordefinierte reguläre Ausdrücke oder Algorithmen, die verwendet werden können, um bestimmte Zahlenmuster oder Zeichenketten zu identifizieren, die mit Kreditkartennummern, Personalnummern und anderen sensiblen Daten in Verbindung stehen.
• Proximity Matching: Ein Kriterium basierend auf dem Abstand zwischen zwei Identifiern.
• Dokumentenfingerabdruck: Textblöcke oder Formulare, die für Data Loss Prevention (DLP) identifiziert werden müssen.
• Exaktes Data Matching: Eine Funktion, die bestimmte Datenbankfelder bei der Anwendung von DLP auf deren genauen Inhalt hin untersucht.

Tools, die künstliche Intelligenz nutzen, können dabei helfen, den Prozess der Identifizierung privater Daten zu automatisieren und sie aus Sicherheitsgründen zu isolieren. Eine zuverlässige Klassifizierung ist besonders wichtig für E-Mail- und Cloudanwendungen, bei denen Nutzer Daten herunterladen, hochladen und austauschen.

Normalerweise tippen Menschen nicht größere Mengen sensibler Daten ab, um sie zu stehlen. Es ist viel wahrscheinlicher, dass sie diese Daten von einer Cloudanwendung herunterladen. Unternehmen sollten dennoch in Betracht ziehen, Metadaten zu kennzeichnen, damit sie am Endpunkt verfolgt werden können. Dafür können die Sicherheitsverantwortlichen einen Softwareagenten verwenden, der das Endgerät nicht überlastet oder gar die Produktivität der Mitarbeiter einschränkt.

Säule 2: Datenaufbewahrung und Governance
Nachdem ein Unternehmen seine Daten identifiziert und klassifiziert hat, sind die nächsten großen Hürden Aufbewahrung und Governance. Compliance- und Sicherheitsteams haben oft Schwierigkeiten, sich bei der Aufbewahrungsstrategie abzustimmen. Die Verantwortung für die Bereinigung von Daten kann zu einem heißen Eisen werden. Oft möchte niemand derjenige sein, der Daten endgültig löscht.

Wenn es um Daten geht, ist mehr nicht zwangsläufig besser. Ganz im Gegenteil: Die Datenbereinigung ist ein wichtiger Bestandteil der Datensicherheit. Unternehmen können schnell in ein juristisch gefährliches Fahrwasser geraten, wenn sie Daten nicht löschen, obwohl entsprechende Vorschriften es verlangen. Die DSGVO schreibt beispielsweise vor, dass ein Unternehmen personenbezogene Daten nur so lange speichert, wie es für den angegebenen Zweck erforderlich ist. Die Juristen und die grundsätzliche Einstellung zu Rechtsstreitigkeiten im Unternehmen beeinflussen die jeweilige Datenaufbewahrungsstrategie. Zumindest sollte ein Unternehmen Richtlinien für die Dauer der Datenspeicherung und die Menge der aufbewahrten Daten festlegen. Dabei darf es Daten von Dritten (zu Beispiel sozialen Netzwerken) nicht übersehen und muss eventuell besondere verfahren etablieren, wenn sich die Löschung von diesen Plattformen nicht automatisieren lässt.

Neben Richtlinien zur Datenaufbewahrung müssen sich die IT-Sicherheitsverantwortlichen entscheiden, wie Sie die Daten verwalten und schützen wollen. Ganz grundsätzlich gilt es die Frage zu beantworten, wer wann und woher Zugriff auf welche Daten hat. Viele Unternehmen verschlüsseln sensible Daten bereits, um Missbrauch zu erschweren. Sie sollten zudem Strategien in Betracht ziehen, die sich auf Ihre Mitarbeiter konzentrieren. Daten verlieren sich nicht von selbst. Nachlässige, kompromittierte oder böswillige Nutzer sind meist Ausgangspunkt von IT-Sicherheitsvorfällen. Unternehmen sollten die Zugriffsrechte der Benutzer auf das absolut Notwendige beschränken und strikt bedarfsorientierte Berechtigungen erteilen.

Richtlinien für den Umgang mit Daten sind allerdings nutzlos, wenn Mitarbeiter sie nicht umsetzen. Und Dateneigentümer und -nutzer müssen verstehen, welche Auswirkungen es hat, mehr Daten zu sammeln, als die Aufbewahrungsrichtlinien erlauben. Die erfolgreichsten Unternehmen kombinieren Richtlinien und Verfahren zur Datensicherung mit einer Kultur der Sicherheit, in der sich die Belegschaft ihrer Verantwortung für Datensicherheit und -schutz bewusst ist. Dass dies keineswegs der Regelfall ist, belegt auch der erwähnte State of the Phish Report. Demnach sind sich 65 Prozent der Mitarbeiter entweder nicht sicher, ob sie für die IT-Sicherheit mitverantwortlich sind, oder gehen davon aus, dass sie überhaupt keine Verantwortung tragen. Knapp zwei Drittel der Mitarbeiter in Deutschland setzen ihr Unternehmen wissentlich Risiken aus, die zu Ransomware- oder Malware-Infektionen, Datensicherheitsvorfällen oder finanziellen Verlusten führen können.

Säule 3: Datensicherheit
Unternehmen müssen für einen soliden Schutz von Daten und der Privatsphäre sorgen. Sie können in einem ersten Schritt Datenaktivitäten überwachen und Vorfälle verfolgen. Dies wird ihnen nicht nur helfen, verdächtiges Verhalten zu erkennen, sondern bereitet sie auch auf Compliance-Audits und Untersuchungen vor. Die Verteidigungsstrategie muss sich dabei den Taktiken der Angreifer anpassen. In der Vergangenheit drehte sich die Datensicherheit um die Infrastruktur, die das Ziel der Angreifer war. Jetzt konzentrieren sich die Cyberkriminelle auf die Mitarbeiter, um sie vor allem mit Social-Engineering-Techniken zu manipulieren. Um dagegen gewappnet zu sein, sollte sich die IT-Sicherheitsstrategie eines Unternehmens auf seine Mitarbeiter konzentrieren. Ein solcher risikoorientierter, auf den Menschen fokussierter Ansatz sollte vor allem vier Ziele im Auge haben:

• Risikoreiche Nutzer identifizieren: Es gilt die Benutzeraktivitäten zu überwachen, insbesondere ihren Zugriff auf Inhalte über die verschiedensten Kanäle und Parameter, etwa E-Mail und Cloudanwendungen, Dateiquellen und -ziele, Endgeräte, Netzwerke sowie Rollen und Berechtigungen
• Kompromittierte Konten, Phishing-Opfer und Insider-Bedrohungen erkennen: Hierzu können Unternehmen avancierte Bedrohungsdaten über Cloud, E-Mail und Endgeräte nutzen. In der Cloud sollten sie besonders auf Anmeldemuster, Installationen von Drittanbietern und File-Sharing-Aktivitäten achten. Bei E-Mails gilt das Hauptaugenmerk Klicks auf böswillige Inhalte, gezielten Angriffen auf bestimmte Personengruppen und Metriken über die am häufigsten angegriffenen Benutzer. Bei der Endgerätenutzung ist besonders auf Personen zu achten, die Skripte verwenden, um Backend-Zugriff auf Systeme zu erhalten, übermäßig viel drucken und Internetsuchen durchführen.
• Automatische Datenkontrollen durchsetzen: Dazu können Kontrollen gehören, die den Zugriff auf Daten gänzlich verhindern, eine Rechtfertigung des Endbenutzers oder eine Browser-Isolierung erfordern. Unternehmen können diese Kontrollen auf der Grundlage des Risikos auslösen, das mit bestimmten Personen, Geräten oder Anwendungen einhergeht.
• Technologie und Managed Services nutzen: Unternehmen sollten den Einsatz einer umfassenden Plattform für den Informationsschutz mit modernen Analysetools erwägen, um Reaktionen auf Vorfälle und entsprechende Untersuchungen zu beschleunigen. Diese Maßnahme hilft auch, die engen Zeitfenster für die Meldung von Verstößen einzuhalten. Zudem können die richtigen Mitarbeiter und Prozesse den entscheidenden Unterschied ausmachen. Auch die Wahl eines geeigneten Partners kann Unternehmen helfen, ein modernes IT-Sicherheitsprogramm zu entwickeln und umzusetzen.

Fazit
Errichtet ein Unternehmen die beschriebenen drei Säulen von Datensicherheit und Governance, hat es seine Widerstandsfähigkeit gegen Cyberangriffe bereits entscheidend verbessert. Eine weitere wichtige Zutat im Streben nach IT-Security ist die kontinuierliche Kontrolle und Neubewertung aller Tools und Maßnahmen. Weil sich die Methoden der Angreifer ständig ändern, müssen Unternehmen ihre Sicherheitsstrategie dynamisch gestalten und umsetzen.

ln/Miro Mitrovic, Area Vice President DACH bei Proofpoint