Security

Datenorientiertes Risikomanagement: Wie aus Daten-Silos blühende Landschaften werden

Überall dort, wo Menschen Daten sammeln, verwalten und ablegen, entstehen fast immer auch regelrechte Daten-Silos, auf denen diese Daten ihre vermeintlich letzte Ruhestätte finden. Doch diese scheinbar letzte Ruhestätte ist nicht wirklich ruhig. Denn höchst aktive Cyberkriminelle wissen ganz genau, wo sie graben müssen, um auf die wertvollen Datenschätze zu stoßen. Besser ist es also, solche Grablandschaften gar nicht erst entstehen zu lassen, sondern den Datensammelpunkten neues Leben einzuhauchen. Wie aus Daten-Silos blühende und gut gepflegte Landschaften werden, zeigen die folgenden acht Schritte für ein datenorientiertes Risikomanagement.

Wenn sensible Unternehmensdaten an die Öffentlichkeit gelangen, kann sich das auf Karrieren, auf das Image und auch auf den Umsatz auswirken. So verlor der Entertainment-Riese Sony im Jahr 2014 nicht nur Daten im Wert von mehr als 100 Millionen US-Dollar, sondern es wurden auch Führungskräfte entlassen. Prominente Künstler verweigerten zudem die Zusammenarbeit mit dem Unternehmen. Ein weiteres eklatantes Beispiel ein Jahr später war die Attacke auf Codan, einem australischen Hersteller von Metalldetektoren. Hier erbeuteten Cyberkriminelle geistiges Eigentum im Wert von 160 Milliarden US-Dollar. Sie nutzen die gehackten Informationen, um Fälschungen der Detektoren auf den Markt zu bringen.

datenorientiertes Risikomanagemen

Datenorientiertes Risikomanagement lässt aus Daten-Silos blühende Landschaften werden.

Daten systematisch sichern und verwalten

Ursache für solche Vorfälle ist oft einfach nur Nachlässigkeit –  die Daten werden quasi sich selbst überlassen. Aber ohne eine systematische, kontinuierliche Verwaltung von Daten entstehen fast zwangsläufig gefährliche Lücken im Datenmanagement. Im schlimmsten Fall werden sie damit zur leichten Beute für Missbrauch. Wir empfehlen daher, die folgenden acht Schritte zu beherzigen, um geistiges Eigentum wirkungsvoll zu schützen:

  1. Klein anfangen und sukzessive erweitern
    Fakt ist: eigentlich hat jedes Unternehmen, jede Organisation mit ziemlich großen, ziemlich unübersichtlichen Daten-Silos zu kämpfen. Daher steht jeder, der alle Daten auf einmal sichern will, vor einem schier unüberwindbaren Berg an Arbeit. Besser ist es, die Daten sozusagen Byte für Byte unter die Lupe zu nehmen und sich dabei den kleineren „Datenbergen“ zuerst anzunehmen, um sich dann langsam an die größeren heran zu arbeiten.
  2. Datenlager ausfindig machen
    Um aus der Masse aller verfügbaren Informationen sowohl die strukturierten als auch die unstrukturierten Daten herauszufiltern, benötigt man die richtigen Werkzeuge. Auch hier ist es sinnvoll, die Effektivität dieser Werkzeuge zunächst im Kleinen zu testen und sich dann langsam den größeren Aufgaben – mit den jeweils am besten passenden Tools – zuzuwenden.
  3. Daten-Owner und -Verwalter identifizieren
    Für jede einzelne Datei müssen Owner oder Verwalter bestimmt werden, die definieren, wie wichtig die Daten für ihre Organisation sind und die auch in einem Regelwerk festlegen, wer Zugang zu der betreffenden Datei braucht, wie mit ihnen umgegangen werden soll oder wo sie aufbewahrt werden. Security- und IT-Abteilungen sind dann in der Pflicht, diese Regeln entsprechend umzusetzen. Sie sollten also nicht dafür verantwortlich gemacht werden, welche Regeln auf welchen Datensatz angewendet wird.
  4. Daten richtig taggen und klassifizieren
    In diesem Schritt entwickelt die Organisation ein Verständnis dafür, welche unterschiedlichen Arten von Daten sie besitzt und welche davon besonders wichtig und damit schützenswert sind. Damit ist die Grundlage für das Risikoprofil und die Sicherheitsregeln im Umgang mit den unterschiedlichen Datentypen geschaffen.
  5. Datenströme in Prozessen und Anwendungen verfolgen
    Bei Anwendungen, die in einen Prozess eingebunden sind, ist die Daten-Weitergabe normalerweise klar definiert. Anwendungen können jedoch auch für sich allein stehen. In diesem Fall muss der Daten-Owner in jedem Fall wissen, was mit den Daten aus der Anwendung geschieht, ob sie etwa in der Lagerhaltung oder für den Transport gebraucht werden.
  6. Daten-Risikoprofile erschaffen
    Nachdem die ersten fünf Schritte erfolgreich bewältigt wurden, die Daten geortet sind, der Zugang zu ihnen reglementiert ist und Arbeitsprozesse definiert wurden, können für alle Daten entsprechende Risikoprofile erstellt werden.
  7. Richtlinien für Informationssicherheit der Daten anpassen
    Sind die Risikoprofile bekannt, sollten die Daten-Owner mit den IT- und Security-Teams zusammenarbeiten, um neue Regeln im Umgang mit Daten auszuarbeiten. Dabei muss überprüft werden, welche Anwendungen und Nutzer nicht länger Zugriff auf bestimmte Daten benötigen beziehungsweise welche Organisationsprozesse auf den neuesten Sicherheits-Stand gebracht werden müssen.
  8. Zugang, Unternehmensprozesse und Anwendungsströme anpassen
    Sind die Regeln definiert, können die bestehenden Prozesse sukzessive nach Rangfolge des Risikolevels angepasst werden. Dabei erscheint es uns sinnvoll, kurzfristige und langfristige Projekte zu durchmischen, damit möglichst schnell auch positive Effekte wahrgenommen werden. Dies ist insbesondere wichtig für das Management, um die Relevanz eines datenorientierten Risikomanagement-Konzepts besser einschätzen zu können und sich darüber hinaus den nötigen Rückhalt für die größeren, langfristigen Projekte zu sichern.

Fazit: Der Weg zu einem datenorientierten Risikomanagement ist nicht immer einfach, aber er lohnt sich in jedem Fall. Denn nur der systematische Umgang mit Datenrisiken führt zu einer Verbesserung der Datensicherheit und gleichzeitig zu einer Abnahme von Daten- und Unternehmensrisiken. Unser Acht-Schritte-Sicherheitsprogramm für geistiges Eigentum hilft allen Unternehmen und Organisationen, sich erfolgreich von Datenmissbrauch und Datenklau zu schützen.

Add Comment
No Comments

Leave a Reply

Your email address will not be published.Required fields are marked *

More Security Stories

Aus Online-Spielen lernen: Cloud Apps brauchen Sicherheit

Seit ihrem Start im Juli 2016 ist die VR-Spiele-App Pokemon Go international der Renner: Im Gelände, aber auch in Gebäuden sind die Spieler aktiv. Auch für die kleine Pause am Arbeitsplatz sind Cloud Apps zur Unterhaltung populär. Unternehmen sind dabei gut beraten, für Cloud-Anwendungen eine entsprechende Sicherheitsarchitektur zu schaffen. Sichtbarkeit – Risiken erkennen: Fast jeder […]

Digitalisierung und Automatisierung in der Finanzdienstleistungsbranche

Neue Marktteilnehmer, veränderte Gewohnheiten bei den Verbrauchern, neue Marktmechanismen und neue Regularien verwandeln Bankdienstleistungen mit sehr hoher Geschwindigkeit. Für Banken gibt es dabei folgende Herausforderungen: Immer weniger Menschen besuchen Bankfilialen. Stattdessen benutzen sie ihre Handys – nicht nur um zu bezahlen, sondern inzwischen auch, um fast alle Bankgeschäfte abzuwickeln. Banken müssen also innovativ sein, um […]

Hacken statt Fenster aufhebeln: Smart Buildings brauchen Cybersicherheit

Smart Homes, intelligente Fabriken und Verwaltungsgebäude repräsentierten bereits im vergangenen Jahr laut Gartner rund 45 Prozent aller “vernetzten Dinge“ weltweit. Das Analystenhaus schätzt, dass in diesen “Smart Buildings” über 206 Millionen entsprechend vernetzte Geräte in Betrieb sind, deren Anzahl sich zudem bis 2017 auf 648 Millionen mehr als verdreifachen wird. Dies ist eine Entwicklung, die […]