Was ist Datensicherheit?
Nirmal Ranganathan, Jared Jacobson
Mit Datensicherheit sind Ihre Richtlinien und Standards zum Schutz Ihrer Daten gemeint. Diese erstrecken sich über Ihr Netzwerk, Ihre Infrastruktur und Anwendungen hinweg sowie auf mehreren Ebenen. Methoden zur Datensicherheit umfassen lokale und Cloud-Umgebungen und beinhalten Verschlüsselung, Maskierung, Tokenisierung, Löschung, Authentifizierung, Zugriffskontrolle, Backups und Wiederherstellung sowie Datenresilienz. Datensicherheit geht auch mit Compliance-bezogenen Anforderungen einher, die sich aus behördlichen Vorschriften oder Branchenstandards wie PCI oder HIPAA ergeben.
Warum Datensicherheit von Bedeutung ist
Laut eines kürzlich erschienenen Berichts von Verizon geschieht jede achte Datenschutzverletzung aus finanziellen Gründen, und alle Verstöße haben finanzielle Turbulenzen für die Opfer zur Folge. Eine Datenschutzverletzung kann Ihr Geschäft ebenso stören wie eine Nichteinhaltung der Compliance-Vorschriften. Ohne eine solide Datensicherheitsstrategie riskieren Sie negative Konsequenzen für Ihre Public Relations, Strafen wegen Nichteinhaltung der Compliance und Produktivitätseinbußen. Häufige Folgen einer Datenschutzverletzung sind z. B.:
Negative Konsequenzen für die Public Relations
Die Erwartungen der Online-Konsumenten werden immer höher. Wenn also potenzielle Kunden oder Investoren mitbekommen, dass Ihre Organisation eine Datenpanne hatte, lässt Sie das nachlässig und unzuverlässig erscheinen – selbst wenn Sie alles nach Vorschrift getan haben. Ein solches Image könnte zum Verlust von Marktanteilen führen und sogar Auswirkungen auf Ihren Aktienkurs haben. Der Aufwand und die Kosten für die Bereinigung der Datenpanne, die Medienarbeit, die Kundenkommunikation und die Wiederherstellung Ihres Markenimage ziehen Ressourcen von Ihrem Kerngeschäft ab.
Strafen bei Missachtung der Compliance
Gesetzliche und behördliche Auflagen in Bezug auf Aufbewahrung, Berechtigungen und Speicherung von Daten kann zu hohen Geldstrafen führen. In erster Linie handelt es sich bei solchen Bußgeldern um Strafen von der Aufsichtsbehörde. Außerdem können andere Gebühren damit verbunden sein, etwa direkte Zahlungen an Opfer von Datenschutzverletzungen, die Einrichtung von Abwehrmaßnahmen (Kreditüberwachung oder Identitätsschutz) oder Schadenersatzklagen.
Produktivitätseinbußen
Nach einer Datenschutzverletzung müssen IT-Teams alles stehen und liegen lassen, um darauf zu reagieren und die Bedrohung zu beseitigen. Bei Datenverlust ist viel Zeit für die Backup-Wiederherstellung aufzuwenden. Eine Sicherheitslücke wird wahrscheinlich Auswirkungen darauf haben, ob manche Mitarbeiter auf Daten zugreifen und diese für ihre Arbeit nutzen können. In einer kürzlich von Cisco durchgeführten CISO-Studie hatten 48 % der Unternehmen mit über 10.000 Mitarbeitern aufgrund einer Datenpanne mindestens vier Stunden Ausfallzeit, ein Drittel bis zu 16 Stunden.
Arten von Datensicherheitstechnologie
Daten in der Cloud oder vor Ort zu schützen, erfordert den Einsatz einer oder mehrerer dieser Technologien:
- Datenverschlüsselung
- Datenmaskierung
- Tokenisierung
- Datenlöschung
- Authentifizierung
- Zugriffskontrolle
- Backups und Wiederherstellung
- Datenresilienz
Datenverschlüsselung
Datenverschlüsselung verhindert, dass nicht autorisierte Benutzer auf Daten zugreifen. Diese Technik erfordert eine Art Autorisierung oder einen Schlüssel, um Daten zu entschlüsseln und anzuzeigen oder zu bearbeiten. Verschlüsselung erfolgt in erster Linie auf Netzwerk- und Infrastrukturebene. Physische Assets, Flash-Laufwerke oder Festplatten können diese Datensicherheitsmethode aber auch nutzen. Auch innerhalb von Anwendungen kann Verschlüsselung eingesetzt werden. Zum Beispiel:
Originaldaten: John Smith
Verschlüsselt: 393938383838
Entschlüsselt: John Smith
Sperrstatus: Gesperrt; kann entsperrt werden
Zugriff: Endbenutzer können auf den gesamten Datensatz zugreifen
Datenmaskierung
Bei der Datenmaskierung werden alle oder Teile der Daten ersetzt. Ein Beispiel dafür ist die Anzeige von Kreditkarten- oder Sozialversicherungsnummern. Die Daten sind vorhanden, aber nicht zugänglich. Diese Technik wird eingesetzt, wenn die Daten im System gespeichert sind, aber aufgrund von Compliance-Vorgaben (wie PCI oder HIPAA) Benutzer die eigentlichen Daten nicht einsehen können. Maskierung kann nicht rückgängig gemacht werden. Einmal maskiert, verlieren die Daten ihren Wert und können für andere Funktionen nicht mehr verwendet werden. Zum Beispiel:
Originaldaten: John Smith
Maskiert: 393938383838
Unmaskiert: K. A.
Sperrstatus: Gesperrt; kann nicht entsperrt werden
Zugriff: Endbenutzer können nicht auf die Daten zugreifen und die Daten können nicht zur Analyse verwendet werden.
Tokenisierung
Obwohl es wichtig ist, den Wert aller Daten zu nutzen, müssen bestimmte Datenelemente – etwa persönlich identifizierbare Informationen (PII), gesundheitliche und finanzielle Informationen – besonders sorgfältig behandelt werden. Mittels Tokenisierung können Organisationen sensible Informationen verbergen und trotzdem ihre Bedeutung erhalten. Tokenisierung steht im Gegensatz zur Verschlüsselung, bei der die Daten entsperrt werden können, oder zur Maskierung, bei der die Daten ihren Wert verlieren. Tokenisierung kann nicht entsperrt werden, aber die Eigenschaften der Daten behalten ihren Wert. Sie kennen vielleicht nicht den Namen und die Adresse jedes Kunden, aber Sie können Daten abrufen, um z. B. festzustellen, wann Kunden in einer bestimmten Region mehr für einen bestimmten Artikel ausgeben.
Originaldaten: John Smith
Tokenisiert: 838383838
Ungelöscht: K. A.
Sperrstatus: Gesperrt; kann nicht entsperrt werden
Zugriff: Endbenutzer können auf die Daten-Insights zugreifen, aber nicht auf den eigentlichen Datensatz
Datenlöschung
Es gibt immer mehr Datenschutzvorschriften, z. B. GDPR und CCPA. Deshalb müssen Unternehmen nicht nur die Daten schützen, die sie aufnehmen, sondern auch einen Prozess zur Löschung dieser Daten bereit haben. Eine unsaubere Datenhygiene und Unachtsamkeit bei der Einhaltung der Data Governance kann Organisationen daran hindern, Datenlöschungsanfragen vollständig zu erfüllen, weil sie nicht alle Datenspeicherorte im Griff haben. Bei korrekter Durchführung funktioniert die Datenlöschung wie folgt:
Originaldaten: John Smith
Gelöscht: [keine Daten]
Ungelöscht: K. A.
Zugriff: Daten nicht vorhanden. Endbenutzer wussten nie, dass die Daten existieren.
Authentifizierung
Authentifizierung bezeichnet den Prozess, durch den Benutzer sich identifizieren und so auf Informationen zugreifen können. Manche Systeme verwenden Passwörter, andere biometrische Indikatoren wie Fingerabdrücke oder Gesichtsscans. Authentifizierung gibt gesperrte Daten für die Verwendung durch autorisierte Parteien frei. Sie kommt auf Netzwerk-, Anwendungs- oder Dateiebene zum Einsatz.
Zugriffskontrolle
Organisationen können Benutzergruppen und rollenbasierte Zugriffsmethoden einrichten und so steuern, welche Benutzer welche Daten einsehen können. So wird sichergestellt, dass Mitarbeiter, die sensible Daten einsehen müssen, dazu auch ordnungsgemäß autorisiert sind. Die meisten Standards zur Daten-Compliance sehen eine Zugriffskontrolle vor. Diese verhindert z. B., dass ein/e Arzthelfer/in die gesamte Krankenakte eines Patienten anstatt lediglich die Versicherungsdaten sieht, die für die Registrierung von Patienten und die Terminvergabe nötig sind.
Backups und Wiederherstellung
Bei Backups und Wiederherstellung geht es um die Art und Weise, wie Sie Daten speichern und planen, sie im Falle eines Falles wiederherzustellen. Ähnlich wie Services auf Verbraucherebene, die Sie schützen, wenn Sie versehentlich eine Datei löschen oder Ihr Mobiltelefon verlieren, bedeutet Backup auf Unternehmensebene die Verteilung von Daten auf mehrere sichere Speicherorte, um Redundanz zu gewährleisten. Wenn ein Standort ausfällt, wird der andere Standort aktiviert, der über eine exakte Momentaufnahme der Daten verfügt. Mit den Kennzahlen Recovery Point Objective (RPO) und Recovery Time Objective (RTO) ermitteln Organisationen, welche Daten wiederhergestellt werden und wie lange die Wiederherstellung dauert.
Datenresilienz
Datenresilienz bezieht sich darauf, wie schnell Sie den Betrieb nach einer Datenpanne wiederaufnehmen können. Früher wurde dies durch den Einsatz mehrerer Server an mehreren Standorten erreicht. Nach der jüngsten globalen Krise können viele Organisationen nicht mehr auf Rechenzentren zugreifen und ziehen Cloud-basierte Alternativen in Betracht. Diese können über Distanz verwaltet werden, verfügen über automatische Ausfallsicherung und erfordern keine hohen Investment-Kosten.
Best Practices der Datensicherheit
Die Best Practices der Datensicherheit lassen sich in drei Hauptkategorien einteilen:
- Daten-Risikomanagement
- Data Governance
- Daten-Compliance
Daten-Risikomanagement
Daten-Risikomanagement ist das Wo. Sie liefert den Fahrplan für die Prioritätensetzung bei der Datensicherheit. Hier legt eine Organisation fest, welche Vorschriften zu befolgen sind, wie ihr Sicherheitsstatus aussehen sollte und welche KPIs erforderlich sind, um die Einhaltung nachzuweisen. Sie speichern beispielsweise vielleicht keine Kreditkarteninformationen, können sich aber dennoch für PCI-konforme Vorschriften entscheiden, weil diese einen höheren Standard für Datensicherheit setzen.
Einen weiteren Teil des Risikomanagements bildet die Datenklassifizierung. Es kann passieren, dass rechtliche Dokumente angefordert werden und die Daten nicht oder unsachgemäß gekennzeichnet sind. Dann können Organisationen mit Strafen rechnen oder müssen in stundenlanger mühsamer Arbeit die entsprechenden Daten suchen – wie die virtuelle Nadel im Heuhaufen.
Data Governance
Data Governance ist das Was. Data Governance basiert auf den Risikomanagement-Vorgaben und umfasst jene Richtlinien und Praktiken, die als Grundlage für die Datenverwaltung dienen. Sie legt auch Zuständigkeiten fest und definiert, wie Daten gespeichert, übertragen, abgerufen, aufbewahrt und vernichtet werden. Zusätzlich zu diesen Regeln und Techniken sollte sie auch Anleitungen für und Erwartungen an Benutzer zur Datenpflege und -sicherung enthalten.
Daten-Compliance
Daten-Compliance ist das Wie. Die eigentliche Arbeit, die zur Einhaltung von behördlichen Standards erforderlich ist, wird hier ausgeführt. Hier legen Sie zum Beispiel den rollenbasierten Zugriff auf der Grundlage Ihres gewählten PCI-Standards fest. Compliance steht für die Ausführung bei der Auswahl der Tools, Technologien und Prozesse zur Unterstützung von Verschlüsselung, Firewalls, Virenschutz, Monitoring und Reaktion.
Im Gegensatz zu Risikomanagement und Governance ist Daten-Compliance ständig im Wandel. Die Standards von PCI oder HIPAA zu befolgen mag aus Risiko- und Governance-Perspektive konsistent bleiben. Die Prüforgane adjustieren und überarbeiten jedoch ständig, was es bedeutet, die Compliance einzuhalten.
Die Vorteile von Datensicherheit
Eine aufrechte und festgelegte Datensicherheitsstrategie schützt das gesamte Unternehmen. Kleinunternehmen, die eine Datenpanne erleiden, gehen oft innerhalb eines Jahres pleite und müssen letztlich im Durchschnitt 200.000 US-Dollar zahlen. Auch jene, die sich durch die Folgen einer Datenpanne gekämpft haben, tragen große finanzielle Schäden fort, da sie für die technische sowie die geschäftliche Wiederherstellung für zusätzliche Ressourcen und Arbeitskraft aufkommen mussten.
Mit einer soliden Datensicherheitsrichtlinie können Organisationen Vertrauen fördern, Ressourcen einsparen und Störungen der geschäftlichen Abläufe durch eine Datenpanne oder einen Ausfall verhindern.
Datensicherheitslösungen von Rackspace Technology
Rackspace Technology hat über zwei Jahrzehnte Erfahrung in der Sicherung und Verwaltung von Daten für einige der weltweit größten Unternehmen und liefert bewährte End-to-End-Datensicherheitslösungen. Unsere Methodologie umfasst Menschen, Prozesse und Technologien. Wir bieten Ihnen passgenaue Lösungen, damit Sie Sicherheit auf Unternehmensebene implementieren, Compliance gewährleisten und das Vertrauen Ihrer Kunden gewinnen können. Solche Lösungen sind beispielsweise verwaltete Sicherheitsdienste, Unterstützung bei der Compliance, Datenschutz und Privatsphäre, Sicherheitstools sowie Sicherheitsrichtlinien – außerdem unsere Quickstart-Lösung, mit der Sie alles schnell einrichten können.
Anmerkung der Redaktion: Der Oktober ist der US-weite Monat für Cybersicherheitsbewusstsein (National Cybersecurity Awareness Month, NCSAM). Mit unserer Reihe über sicherheitsrelevante Ressourcen anlässlich des NCSAM bleiben Sie informiert:
- Webinar: The New Cybersecurity Landscape (Die neue Cybersicherheits-Landschaft) (Live am 7. Okt. oder auf Abruf)
- Webinar: Den Überblick über heutige Cybersicherheitsbedrohungen behalten (Live am 22. Okt. oder auf Abruf)
- Artikel: Was verursacht das Qualifikationsdefizit im Bereich Cybersicherheit?
- Artikel: COVID-19 und die „neue Normalität“ für Cybersicherheit im Unternehmen
- Podcast mit Cloudfare: Kundenerwartungen infolge von COVID-19