Datenzentrierte Sicherheit – 5 Schritte, mit denen Sie sofort die Sicherheit Ihrer Daten verbessern

Dicke Mauern bauen, ein schweres Schloss an das Tor und schon lebt man sicherer. Im Eigenheim funktioniert das nur bis zu einem gewissen Grad und wenn es um die Sicherung der US-amerikanischen Grenzen geht, ist es einfach Unfug.

Im Bereich der Datensicherheit, ist es nur die halbe Miete, sagt Klaus Nemelka, DACH Field Marketing Manager bei Varonis Systems GmbH. Je wichtiger Daten für das Geschäftsmodell werden, desto mehr braucht es auch eine datenzentrierte Sicherheitsstrategie.

Daten stehen im Mittelpunkt für den digitalen Erfolg eines Unternehmens. Inwieweit scheitern die herkömmlichen IT-Security Maßnahmen dabei, die Sicherheit dieser Schätze wirklich zu gewährleisten?

In den letzten Jahren wurde von den Unternehmen immer mehr in die IT-Sicherheit investiert, und trotzdem lesen wir Woche für Woche von Datenverlusten, -Diebstählen und Verstößen. Einer der Gründe hierfür: IT-Sicherheit lief lange nach dem Prinzip „wir bauen einfach eine neue und höhere Mauer und hängen ein schwereres Schloss an die Tür“. Aber die Realität zeigt eben, dass es Angreifer immer hinter den Perimeter schaffen, ganz egal wie gut er geschützt ist und wie intensiv die Mitarbeiter geschult wurden.

Die Frage für IT-Sicherheitsverantwortliche sollte also lauten: Was passiert, wenn es ein Angreifer in meine Systeme geschafft hat? Was kann er anrichten, auf welche Daten kann er zugreifen und wie kann ich ihm auf die Schliche kommen? Und da die meisten Angreifer eben auf Daten aus sind, ist es aus unserer Sicht elementar, die Daten ins Blickfeld zu nehmen und Sicherheit Daten-zentriert zu denken.

Was verstehen Sie unter „Daten-zentrierter Sicherheit“?

Wir stellen die Daten ins Zentrum der Sicherheitsstrategie. Sie sind meist die wertvollsten Assets eines Unternehmens und deshalb das Ziel der allermeisten Angriffe. Also sollte man den Schutz um sie herum aufbauen. Das fängt bei den Zugriffsrechten an: Wer greift auf eine bestimmte Datei zu, wer darf und wer sollte darauf zugreifen können? Grundsätzlich sollten Zugriffsrechte nach den Least Privilege-Prinzip vergeben werden. Es erhält also nur derjenige Zugriff, der ihn für seine Arbeit tatsächlich braucht.

Ebenso wichtig ist eine solide Klassifikation der Daten: Was habe ich überhaupt gespeichert? Handelt es sich um vertrauliche Kunden-, Patienten- oder Mitarbeiterdaten, Finanzinformationen, Strategie- und Produktpläne oder geistiges Eigentum? Unterliegen diese Daten speziellen Regulierungen? Und je nach Klassifizierung gehe ich dann anders mit den Daten um, etwa in Hinblick auf Zugriff, Speicherung und Löschung. Und schließlich muss der Zugriff auch mittels intelligenter Nutzerverhaltensanalyse überwacht werden. Auf diese Weise kann abnormales Verhalten identifiziert und automatisiert gestoppt werden.

Wenn also ein Mitarbeiter der Marketingabteilung plötzlich Personaldateien aufruft, womöglich noch zu einer für ihn unüblichen Zeit, so könnte das ein Indiz dafür sein, dass etwas im Gange ist. Je mehr Kontext-Informationen (etwa aus anderen Sicherheitstools) ich hier habe, desto präziser werden diese Warnungen und desto besser kann man darauf reagieren.

Wo überall können sich verwundbare Daten im Unternehmen verstecken?

Nahezu überall, da Daten sehr beweglich sind. Es ist ein Irrglaube, dass man sicherstellen kann, dass Daten bestimmte (Datenbank-)Systeme nicht verlassen oder sie nur an bestimmten Orten gespeichert werden. Ein Mitarbeiter extrahiert Daten in eine Excel-Tabelle, die dann per Mail an einen Kollegen verschickt wird, der diese Daten wiederum in eine Präsentation einbaut und in die Cloud hochlädt, auf die wiederum andere Mitarbeiter Zugriff haben usw. Typische Speicherorte für sensible Daten sind vor allem File- oder Mailserver, auf denen die überwiegende Mehrzahl gespeichert wird, aber zunehmend auch die Cloud. In der hybriden Welt kann nur durch eine durchgehende Transparenz in sämtliche Datenspeicher (egal ob in der Cloud oder on-premises) verdächtiges Nutzerverhalten erkannt, sensible Daten gefunden und klassifiziert, Zugriffe gemanagt und damit die Daten geschützt werden.

Welche Risiken ergeben sich daraus?

Das Problem sind ja nicht nur die Speicherorte, sondern auch die Zugriffsrechte. Wenn man ehrlich ist, hat sich bei nahezu allen Unternehmen im Laufe der Zeit ein echtes Datenchaos etabliert und kaum jemand hat wirklich den Überblick darüber, was wo gespeichert wurde, wer darauf zugreifen darf und wer darauf tatsächlich zugreift. Grundsätzlich gilt: Je mehr Personen auf eine Datei zugreifen können, desto größer ist das Risiko eines Datenverstoßes.

Das gilt im Übrigen auch für Ransomware: Diese kann sämtliche Daten verschlüsseln, auf die der infizierte Nutzer Zugriff hat. Ist dieser unbeschränkt, kann sich der Verschlüsselungstrojaner enorm ausbreiten. Unser Datenrisiko-Report 2019 hat beispielsweise gezeigt, dass durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind und dass in jedem zweiten Unternehmen (53 Prozent) alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen können. Wird ein Account – etwa durch Phishing – kompromittiert, können die Angreifer auf diese Weise leichte Beute machen.

Welche 5 Maßnahmen empfehlen Sie Kunden, um die Datensicherheit sofort zu steigern?

1. Priorisieren und bewerten Sie Ihre Risiken: Der erste und wichtigste Schritt ist es, herauszufinden, wo sich die sensiblen, vertraulichen und/ oder DSGVO-relevanten Daten befinden. Bilden Sie Ihre Umgebung ab und erstellen Sie ein Datenregister.
2. Erstellen Sie einen Notfallplan, der festlegt, wann was von wem zu tun und wer wie zu informieren ist (Behörden, Mitarbeiter, Betroffene). Bestimmen Sie hierfür einen Verantwortlichen.
3. Schränken Sie Zugriffsrechte ein: Begrenzen Sie den Datei-Zugriff nach dem need-to-know-Prinzip. Nur diejenigen Mitarbeiter, die für ihre Arbeit tatsächlich Zugriff benötigen, sollen ihn auch erhalten.
4. Identifizieren Sie nicht mehr benötigte Daten und sperren, archivieren oder löschen Sie diese. Legen Sie entsprechende Kriterien fest und setzen Sie diese automatisiert um.
5. Schulen Sie Mitarbeiter und Partner: Mitarbeiter müssen nicht nur in Bezug auf konkrete Gefahren wie etwa Phishing geschult, sondern auch für den enormen Wert der gespeicherten Daten sensibilisiert werden.

Interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal.