Security

Datenorientiertes Risikomanagement: Wie aus Daten-Silos blühende Landschaften werden

Überall dort, wo Menschen Daten sammeln, verwalten und ablegen, entstehen fast immer auch regelrechte Daten-Silos, auf denen diese Daten ihre vermeintlich letzte Ruhestätte finden. Doch diese scheinbar letzte Ruhestätte ist nicht wirklich ruhig. Denn höchst aktive Cyberkriminelle wissen ganz genau, wo sie graben müssen, um auf die wertvollen Datenschätze zu stoßen. Besser ist es also, solche Grablandschaften gar nicht erst entstehen zu lassen, sondern den Datensammelpunkten neues Leben einzuhauchen. Wie aus Daten-Silos blühende und gut gepflegte Landschaften werden, zeigen die folgenden acht Schritte für ein datenorientiertes Risikomanagement.

Wenn sensible Unternehmensdaten an die Öffentlichkeit gelangen, kann sich das auf Karrieren, auf das Image und auch auf den Umsatz auswirken. So verlor der Entertainment-Riese Sony im Jahr 2014 nicht nur Daten im Wert von mehr als 100 Millionen US-Dollar, sondern es wurden auch Führungskräfte entlassen. Prominente Künstler verweigerten zudem die Zusammenarbeit mit dem Unternehmen. Ein weiteres eklatantes Beispiel ein Jahr später war die Attacke auf Codan, einem australischen Hersteller von Metalldetektoren. Hier erbeuteten Cyberkriminelle geistiges Eigentum im Wert von 160 Milliarden US-Dollar. Sie nutzen die gehackten Informationen, um Fälschungen der Detektoren auf den Markt zu bringen.

datenorientiertes Risikomanagemen

Datenorientiertes Risikomanagement lässt aus Daten-Silos blühende Landschaften werden.

Daten systematisch sichern und verwalten

Ursache für solche Vorfälle ist oft einfach nur Nachlässigkeit –  die Daten werden quasi sich selbst überlassen. Aber ohne eine systematische, kontinuierliche Verwaltung von Daten entstehen fast zwangsläufig gefährliche Lücken im Datenmanagement. Im schlimmsten Fall werden sie damit zur leichten Beute für Missbrauch. Wir empfehlen daher, die folgenden acht Schritte zu beherzigen, um geistiges Eigentum wirkungsvoll zu schützen:

  1. Klein anfangen und sukzessive erweitern
    Fakt ist: eigentlich hat jedes Unternehmen, jede Organisation mit ziemlich großen, ziemlich unübersichtlichen Daten-Silos zu kämpfen. Daher steht jeder, der alle Daten auf einmal sichern will, vor einem schier unüberwindbaren Berg an Arbeit. Besser ist es, die Daten sozusagen Byte für Byte unter die Lupe zu nehmen und sich dabei den kleineren „Datenbergen“ zuerst anzunehmen, um sich dann langsam an die größeren heran zu arbeiten.
  2. Datenlager ausfindig machen
    Um aus der Masse aller verfügbaren Informationen sowohl die strukturierten als auch die unstrukturierten Daten herauszufiltern, benötigt man die richtigen Werkzeuge. Auch hier ist es sinnvoll, die Effektivität dieser Werkzeuge zunächst im Kleinen zu testen und sich dann langsam den größeren Aufgaben – mit den jeweils am besten passenden Tools – zuzuwenden.
  3. Daten-Owner und -Verwalter identifizieren
    Für jede einzelne Datei müssen Owner oder Verwalter bestimmt werden, die definieren, wie wichtig die Daten für ihre Organisation sind und die auch in einem Regelwerk festlegen, wer Zugang zu der betreffenden Datei braucht, wie mit ihnen umgegangen werden soll oder wo sie aufbewahrt werden. Security- und IT-Abteilungen sind dann in der Pflicht, diese Regeln entsprechend umzusetzen. Sie sollten also nicht dafür verantwortlich gemacht werden, welche Regeln auf welchen Datensatz angewendet wird.
  4. Daten richtig taggen und klassifizieren
    In diesem Schritt entwickelt die Organisation ein Verständnis dafür, welche unterschiedlichen Arten von Daten sie besitzt und welche davon besonders wichtig und damit schützenswert sind. Damit ist die Grundlage für das Risikoprofil und die Sicherheitsregeln im Umgang mit den unterschiedlichen Datentypen geschaffen.
  5. Datenströme in Prozessen und Anwendungen verfolgen
    Bei Anwendungen, die in einen Prozess eingebunden sind, ist die Daten-Weitergabe normalerweise klar definiert. Anwendungen können jedoch auch für sich allein stehen. In diesem Fall muss der Daten-Owner in jedem Fall wissen, was mit den Daten aus der Anwendung geschieht, ob sie etwa in der Lagerhaltung oder für den Transport gebraucht werden.
  6. Daten-Risikoprofile erschaffen
    Nachdem die ersten fünf Schritte erfolgreich bewältigt wurden, die Daten geortet sind, der Zugang zu ihnen reglementiert ist und Arbeitsprozesse definiert wurden, können für alle Daten entsprechende Risikoprofile erstellt werden.
  7. Richtlinien für Informationssicherheit der Daten anpassen
    Sind die Risikoprofile bekannt, sollten die Daten-Owner mit den IT- und Security-Teams zusammenarbeiten, um neue Regeln im Umgang mit Daten auszuarbeiten. Dabei muss überprüft werden, welche Anwendungen und Nutzer nicht länger Zugriff auf bestimmte Daten benötigen beziehungsweise welche Organisationsprozesse auf den neuesten Sicherheits-Stand gebracht werden müssen.
  8. Zugang, Unternehmensprozesse und Anwendungsströme anpassen
    Sind die Regeln definiert, können die bestehenden Prozesse sukzessive nach Rangfolge des Risikolevels angepasst werden. Dabei erscheint es uns sinnvoll, kurzfristige und langfristige Projekte zu durchmischen, damit möglichst schnell auch positive Effekte wahrgenommen werden. Dies ist insbesondere wichtig für das Management, um die Relevanz eines datenorientierten Risikomanagement-Konzepts besser einschätzen zu können und sich darüber hinaus den nötigen Rückhalt für die größeren, langfristigen Projekte zu sichern.

Fazit: Der Weg zu einem datenorientierten Risikomanagement ist nicht immer einfach, aber er lohnt sich in jedem Fall. Denn nur der systematische Umgang mit Datenrisiken führt zu einer Verbesserung der Datensicherheit und gleichzeitig zu einer Abnahme von Daten- und Unternehmensrisiken. Unser Acht-Schritte-Sicherheitsprogramm für geistiges Eigentum hilft allen Unternehmen und Organisationen, sich erfolgreich von Datenmissbrauch und Datenklau zu schützen.

Add Comment
No Comments

Leave a Reply

Your email address will not be published.Required fields are marked *

More Security Stories

Datenanalytik in Highspeed – mit Hilfe von softwaredefinierter Infrastruktur

Bis 2020 entstehen jede Minute pro Person 1,7 Megabyte neue Informationen. Das Datenwachstum übersteigt schon lange unsere menschlichen Fähigkeiten, alle Informationen zu verstehen oder für bessere Geschäftseinblicke auszuwerten. Das stellt uns vor neue Herausforderungen. Neue Technologien werden also benötigt, um effizient Datendurchblick zu erlangen. Cognitive Computing heißt das neue Technologie-Paradigma, das helfen soll dieses Ziel zu […]

Kognitive Systeme gegen Cybergefahren: Die Jagd nach digitalen Bösewichten

„Hallo, hier spricht Watson. Ich habe acht neue Bedrohungen für dieses System gefunden. Eine priorisierte Analyse und mögliche Handlungsempfehlungen stehen zur Verfügung. Was willst Du jetzt tun?“ So oder so ähnlich könnte der Arbeitsalltag in der IT-Sicherheitsbranche bald aussehen. Sicherheitsexperten kommen ins Büro und finden auf ihrem Monitor die aktuellen Berichte zu potenziellen Cybergefahren, in […]

Ransomware: Zahlen oder nicht zahlen, das ist hier die Frage

Ransomware gilt aktuell in der Cybersecurity-Szene als einer der raffiniertesten Angriffsvektoren. Sie zielt darauf, Unternehmen und auch Einzelpersonen hohen finanziellen Schaden zuzufügen. Kein Wunder, dass die Erpresser-Software für Organisationen und Privatpersonen eine der gefürchtesten Bedrohungen darstellt. Mit sage und schreibe 40 Prozent hat Ransomware einen ­unrühmlichen Spitzenplatz unter den im Jahr 2016 verschickten Spam-Mails erobert. […]