Sicherheit gegen Produktivität

Daten sind heute die Grundlage von digitalen Organisationen. Sie stellen aber auch eine Herausforderung dar: Wie kann man Usern den freien Austausch von Daten ermöglichen und gleichzeitig verhindern, dass sie in die falschen Hände geraten? Nirgendwo ist das Spannungsverhältnis zwischen Sicherheit und Produktivität so ausgeprägt wie bei der gemeinsamen Nutzung von Daten. Tatsächlich hat die aktuelle Analyse von Zscaler ergeben, dass es in Unternehmen jeden Tag durchschnittlich zu 10.000 Verstöße gegen ihre Datenschutz-Richtlinien kommt.

Zu einem Datenverlust kann es kommen, wenn Mitarbeitende sensible Dateien per E-Mail verschicken, sie an riskante Cloud-Speicherorte übertragen, auf externe Laufwerke kopieren oder sie über ein Collaboration-Tool öffentlich zugänglich machen. Ebenso können Daten unerwünscht verloren gehen, wenn ein Bedrohungsakteur Zugriff darauf erhält und diese exfiltriert, wie es bei Ransomware-Angriffen mit Multi-Extortion vorkommt. Unabhängig von der Art des Datenverlusts kann jedes dieser Ereignisse zu einer Datenschutzverletzung führen, bei der wichtige Unternehmensinformationen gestohlen oder von Unberechtigten eingesehen werden. Organisationen, die Opfer von Angriffen oder Datenverlusten werden, haben in der Folge von Jahr zu Jahr mit zunehmendem Schaden und höheren Kosten zu kämpfen.

Sicherheitsverantwortliche sind sich bewusst, dass wirksamere Schutzmechanismen nötig sind, um den Überblick zu behalten, wo Daten gespeichert werden, wie sie weitergegeben werden und wer das Recht hat, auf sie zuzugreifen. Doch das ist leichter gesagt als getan. Zu viele restriktive Kontrollen im Namen der Sicherheit können die Produktivität der Belegschaft, die Zusammenarbeit und letztlich auch die Kreativität und Innovation beeinträchtigen. Und wenn die Sicherheit zu einem Hindernis für die Produktivität wird, neigt man dazu, die Kontrollmechanismen zu umgehen und riskante Aktionen durchzuführen. Wie können Unternehmen also das richtige Gleichgewicht zwischen Sicherheit und Produktivität finden?

Im Folgenden werden zehn Best Practices für Unternehmen vorgestellt, die die Datensicherheit und -hygiene verbessern, ohne die Produktivität zu beeinträchtigen.

1. Überblick über die eigenen Daten: Bevor Unternehmen ihre Daten absichern können, müssen sie zunächst wissen, was schützenswert ist. Zuerst geht es darum, sich einen Überblick zu verschaffen und zu verstehen, welche sensiblen Daten geschützt werden müssen. Dazu gilt es, die Daten nach verschiedenen Arten und Quellen, je nach Geschäftswert und potenziellem Verlustrisiko, zu kategorisieren und ihnen Prioritäten zuzuweisen. Dies ist auch der richtige Zeitpunkt, um Verhaltensgrundlagen zu erstellen, bevor Richtlinien implementiert werden können. Unternehmen sollten damit beginnen, eine Grundlage für ein Datenschutzprogramm zu schaffen, indem sie zunächst sensible Daten klassifizieren und kennzeichnen, einschließlich Finanzinformationen, geistigem Eigentum (IP) sowie personenbezogenen Daten.
2. Kanäle, für Datenverlust verstehen: Zweitens sollten Unternehmen festlegen, welche Kanäle für Datenströme kontrolliert werden müssen, wie beispielsweise E-Mail, persönliche Cloud-Anwendungen, Bring-your-own-Device, Internet, physische Speichergeräte und andere.
3. Definition des Risikoprofils: Es ist ebenso wichtig, risikobasierte Richtlinien und Regeln zu erstellen, die ein Gleichgewicht zwischen Kontrolle und Produktivität herstellen. Kein Unternehmen möchte die Produktivität durch das Wegsperren von zu vielen Daten einschränken. Deshalb ist es entscheidend zu ermitteln, welche Daten, Anwendungen und Kanäle am besten geschützt werden müssen. Unternehmen sollten ihre Schutzmechanismen zuerst dort implementieren, wo die Aktivitäten mit dem höchsten Risiko bestehen. Dabei geht es nicht nur um DLP-Richtlinien. Datenverluste können durch das Minimieren von unnötigem Datenzugriff mithilfe von Zero Trust-Strategien verhindert werden, zum Beispiel durch das Reduzieren der öffentlich zugänglichen Angriffsfläche, der Überprüfung des Internetverkehrs, der Implementierung einer granularen Mikrosegmentierung und durch den Einsatz von identitätsbasierter Least Privilege-Zugriffskontrollen.
4. Integrierte DLP-Technologie: Es empfiehlt sich der Einsatz einer integrierten Plattform, die einerseits in der Lage ist, Richtlinien durchzusetzen und auch alle Quellen für sensible Daten abzusichern – einschließlich Identitätsinformationen, Anwendungen, Unternehmens- und Kundendatenspeicher sowie IP – und dies bei möglichst geringer Komplexität und Beeinträchtigung der Produktivität. Unternehmen sollten nach einer Plattform suchen, die Daten in Bewegung über alle wichtigen Kanäle mit vollständiger Inline-TLS-Prüfung schützt und die Umgebung kontinuierlich scannt, um Risiken aufzudecken und zu beheben, einschließlich Fehlkonfigurationen, Compliance-Verstößen, Berechtigungsstufen und Berechtigungen. Diese Funktionalität sollte sich auf Kanäle wie E-Mail, Anwendungen wie Microsoft 365, Salesforce und Google Workspace sowie auf die Endgeräte erstrecken.
5. Response-Workflows erstellen: Zu Beginn muss die Definition von Sicherheitsgruppen und Teamverteilerlisten erfolgen. Response-Workflows müssen ebenfalls dokumentiert werden, und detaillierte Playbooks bilden die Grundlage für die Automatisierung mithilfe einer SOAR-Lösung (Security Orchestration, Automation and Response).
6. Nicht in einer Blase operieren: Datenschutz ist mehr als nur Technologie. Er muss in die Unternehmenskultur eingebettet werden. Von leitenden Angestellten bis hin zu jüngeren Mitarbeitenden, Auftragnehmern und Partnern sollte DLP im Rahmen eines umfassenderen Datenschutzprogramms mit kontinuierlicher Unterstützung durch die Unternehmensleitung aufgesetzt werden. Unternehmen sollten Endbenutzerbenachrichtigungen einsetzen und Schulungen zum Sicherheitsbewusstsein durchführen, um die Belegschaft und Drittparteien mit Geschäftsbeziehungen über den Datenschutz zu informieren. Je besser alle Beteiligten die Ziele, Erwartungen und eingesetzte Maßnahmen verstehen, umso erfolgreicher wird ein Datenschutzprogramm sein.
7. Rechenschaftspflicht mit Hilfe von Metriken: Für jedes Datenschutzprogramm müssen aussagekräftige Messgrößen festgelegt werden, die verfolgt und verbessert werden können. Damit lässt sich der Unternehmensleitung der Wert von Verbesserungsmaßnahmen vermitteln. Viele Unternehmen verfolgen Kennzahlen wie IT-Vorfälle, Datenschutzverletzungen und die anfallende Zeit, diese Verletzungen nachzuvollziehen. Die kontinuierliche Überwachung und Verbesserung der Messgrößen ist entscheidend.
8. Angriffe auf die Lieferkette: Unternehmen können die Auswirkungen eines Angriffs auf die Lieferkette durch Dritte abmildern, indem sie einkalkulieren, dass jeder Anbieter in ihrem Lieferantennetzwerk potenziell angegriffen werden kann und damit das Unternehmen einem nachgelagerten Risiko ausgesetzt ist. Aus diesem Grund ist es erforderlich, die Datensicherheit aller Lieferanten regelmäßig zu prüfen und entsprechende Anforderungen in ihre Verträge aufzunehmen. Kritische Abhängigkeiten von Zulieferern sollten in Plänen zur Business Continuity und Incident Response berücksichtigt werden. Ebenso sollten Zero Trust-basierte Zugangsrichtlinien und -kontrollen ebenso für alle User von Drittanbietern gelten.
9. Implementierung einer Zero-Trust-Architektur: Unternehmen sollten erwägen, ihre Hub- und Spoke-Netzwerkinfrastruktur durch ein Upgrade auf eine Secure Access Service Edge (SASE)-Plattform Eine solche Architektur hilft durch den Least Priviledged Access von Zero Trust bei der Verhinderung von Datenverlusten, der Minimierung von Angriffsflächen und lateralen Bewegungen durch kontextbasierte Identitäts- und Richtliniendurchsetzung.
10. Regelmäßige Überprüfung der DLP-Strategie: DLP-Richtlinien sollten ständig aktualisiert werden. Die Verantwortlichen sollten eine jährliche Überprüfung des DLP-Programms Richtlinien, Praktiken und Produkte durchführen, um Lücken zu ermitteln und alle wichtigen Aktualisierungen einzuführen, die erforderlich sind, um mit den sich ändernden Geschäftsanforderungen Schritt zu halten.

Die Angriffe auf Unternehmen werden immer ausgefeilter und die Bedrohungen, mit denen Unternehmen in Zukunft konfrontiert sein werden, werden kontinuierlich weiterentwickelt. Dies wird sich auf die Anforderungen an den Schutz der Daten vor bösartigen Angriffen auswirken. Zu erwarten ist, dass sich Infostealer verändern und Angriffe zur Datenerpressung inklusive Ransomware-Angriffe auf die Lieferkette weiter zunehmen.

Data Protection ist kein isoliertes Unterfangen, sondern sollte Teil einer umfassenderen Sicherheitsstrategie sein. Unternehmen sind gefordert, Angriffe in jeder Phase abzublocken und Angreifer außen vor zu halten. Die Einschränkung des Zugangs auf Unternehmensdaten ist der erste Schritt, um Angriffe und Datenexfiltration zu unterbinden. „Der Schutz vor versehentlichem und nicht böswilligem Datenverlust erfordert umfassenden Einblick in die Datenströme und Richtlinien zur Verhinderung von Datenverlusten (DLP). Dazu müssen auch Daten in Motion überwacht werden, ebenso wie Drittparteien verpflichtet werden, durch den verantwortungsvollen Umgang mit Daten zum Unternehmensschutz beizutragen“, erklärt Deepen Desai, Global CISO bei Zscaler.