Security

Datenorientiertes Risikomanagement: Wie aus Daten-Silos blühende Landschaften werden

Überall dort, wo Menschen Daten sammeln, verwalten und ablegen, entstehen fast immer auch regelrechte Daten-Silos, auf denen diese Daten ihre vermeintlich letzte Ruhestätte finden. Doch diese scheinbar letzte Ruhestätte ist nicht wirklich ruhig. Denn höchst aktive Cyberkriminelle wissen ganz genau, wo sie graben müssen, um auf die wertvollen Datenschätze zu stoßen. Besser ist es also, solche Grablandschaften gar nicht erst entstehen zu lassen, sondern den Datensammelpunkten neues Leben einzuhauchen. Wie aus Daten-Silos blühende und gut gepflegte Landschaften werden, zeigen die folgenden acht Schritte für ein datenorientiertes Risikomanagement.

Wenn sensible Unternehmensdaten an die Öffentlichkeit gelangen, kann sich das auf Karrieren, auf das Image und auch auf den Umsatz auswirken. So verlor der Entertainment-Riese Sony im Jahr 2014 nicht nur Daten im Wert von mehr als 100 Millionen US-Dollar, sondern es wurden auch Führungskräfte entlassen. Prominente Künstler verweigerten zudem die Zusammenarbeit mit dem Unternehmen. Ein weiteres eklatantes Beispiel ein Jahr später war die Attacke auf Codan, einem australischen Hersteller von Metalldetektoren. Hier erbeuteten Cyberkriminelle geistiges Eigentum im Wert von 160 Milliarden US-Dollar. Sie nutzen die gehackten Informationen, um Fälschungen der Detektoren auf den Markt zu bringen.

datenorientiertes Risikomanagemen

Datenorientiertes Risikomanagement lässt aus Daten-Silos blühende Landschaften werden.

Daten systematisch sichern und verwalten

Ursache für solche Vorfälle ist oft einfach nur Nachlässigkeit –  die Daten werden quasi sich selbst überlassen. Aber ohne eine systematische, kontinuierliche Verwaltung von Daten entstehen fast zwangsläufig gefährliche Lücken im Datenmanagement. Im schlimmsten Fall werden sie damit zur leichten Beute für Missbrauch. Wir empfehlen daher, die folgenden acht Schritte zu beherzigen, um geistiges Eigentum wirkungsvoll zu schützen:

  1. Klein anfangen und sukzessive erweitern
    Fakt ist: eigentlich hat jedes Unternehmen, jede Organisation mit ziemlich großen, ziemlich unübersichtlichen Daten-Silos zu kämpfen. Daher steht jeder, der alle Daten auf einmal sichern will, vor einem schier unüberwindbaren Berg an Arbeit. Besser ist es, die Daten sozusagen Byte für Byte unter die Lupe zu nehmen und sich dabei den kleineren „Datenbergen“ zuerst anzunehmen, um sich dann langsam an die größeren heran zu arbeiten.
  2. Datenlager ausfindig machen
    Um aus der Masse aller verfügbaren Informationen sowohl die strukturierten als auch die unstrukturierten Daten herauszufiltern, benötigt man die richtigen Werkzeuge. Auch hier ist es sinnvoll, die Effektivität dieser Werkzeuge zunächst im Kleinen zu testen und sich dann langsam den größeren Aufgaben – mit den jeweils am besten passenden Tools – zuzuwenden.
  3. Daten-Owner und -Verwalter identifizieren
    Für jede einzelne Datei müssen Owner oder Verwalter bestimmt werden, die definieren, wie wichtig die Daten für ihre Organisation sind und die auch in einem Regelwerk festlegen, wer Zugang zu der betreffenden Datei braucht, wie mit ihnen umgegangen werden soll oder wo sie aufbewahrt werden. Security- und IT-Abteilungen sind dann in der Pflicht, diese Regeln entsprechend umzusetzen. Sie sollten also nicht dafür verantwortlich gemacht werden, welche Regeln auf welchen Datensatz angewendet wird.
  4. Daten richtig taggen und klassifizieren
    In diesem Schritt entwickelt die Organisation ein Verständnis dafür, welche unterschiedlichen Arten von Daten sie besitzt und welche davon besonders wichtig und damit schützenswert sind. Damit ist die Grundlage für das Risikoprofil und die Sicherheitsregeln im Umgang mit den unterschiedlichen Datentypen geschaffen.
  5. Datenströme in Prozessen und Anwendungen verfolgen
    Bei Anwendungen, die in einen Prozess eingebunden sind, ist die Daten-Weitergabe normalerweise klar definiert. Anwendungen können jedoch auch für sich allein stehen. In diesem Fall muss der Daten-Owner in jedem Fall wissen, was mit den Daten aus der Anwendung geschieht, ob sie etwa in der Lagerhaltung oder für den Transport gebraucht werden.
  6. Daten-Risikoprofile erschaffen
    Nachdem die ersten fünf Schritte erfolgreich bewältigt wurden, die Daten geortet sind, der Zugang zu ihnen reglementiert ist und Arbeitsprozesse definiert wurden, können für alle Daten entsprechende Risikoprofile erstellt werden.
  7. Richtlinien für Informationssicherheit der Daten anpassen
    Sind die Risikoprofile bekannt, sollten die Daten-Owner mit den IT- und Security-Teams zusammenarbeiten, um neue Regeln im Umgang mit Daten auszuarbeiten. Dabei muss überprüft werden, welche Anwendungen und Nutzer nicht länger Zugriff auf bestimmte Daten benötigen beziehungsweise welche Organisationsprozesse auf den neuesten Sicherheits-Stand gebracht werden müssen.
  8. Zugang, Unternehmensprozesse und Anwendungsströme anpassen
    Sind die Regeln definiert, können die bestehenden Prozesse sukzessive nach Rangfolge des Risikolevels angepasst werden. Dabei erscheint es uns sinnvoll, kurzfristige und langfristige Projekte zu durchmischen, damit möglichst schnell auch positive Effekte wahrgenommen werden. Dies ist insbesondere wichtig für das Management, um die Relevanz eines datenorientierten Risikomanagement-Konzepts besser einschätzen zu können und sich darüber hinaus den nötigen Rückhalt für die größeren, langfristigen Projekte zu sichern.

Fazit: Der Weg zu einem datenorientierten Risikomanagement ist nicht immer einfach, aber er lohnt sich in jedem Fall. Denn nur der systematische Umgang mit Datenrisiken führt zu einer Verbesserung der Datensicherheit und gleichzeitig zu einer Abnahme von Daten- und Unternehmensrisiken. Unser Acht-Schritte-Sicherheitsprogramm für geistiges Eigentum hilft allen Unternehmen und Organisationen, sich erfolgreich von Datenmissbrauch und Datenklau zu schützen.

Add Comment
No Comments

Leave a Reply

Your email address will not be published.Required fields are marked *

More Security Stories

Prognosen zur Cyber-Sicherheit – Blick in die Kristallkugel

Datenschutz und Datensicherheit haben an Aktualität weiter zugenommen, auch weil am 25. Mai 2018 die neue Europäische Datenschutz-Grundverordnung (DSGVO/GDPR) in Kraft tritt. So wurde der Oktober 2017 in den USA zum National Cybersecurity Awareness Month erklärt unter dem Motto: „Securing the Internet Is Our Shared Responsibility”. Die zentrale Erkenntnis lautete: Die digitale Sicherheit hängt nicht […]

Cyber Security Intelligence Index 2016: Gesundheitsdaten ziehen Kriminelle besonders an

„Krankenakten sind bares Geld wert” – so könnte man verknappt die neue Form räuberischer Cyberüberfälle in einem Satz charakterisieren. Denn die Jagd auf Patientendaten ist eröffnet: Aus dem neuen „Cyber Security Intelligence Index 2016“ geht hervor, dass Cyberangriffe auf die Gesundheitsbranche ein nie dagewesenes Ausmaß erreicht haben und betroffene Organisationen auch weiter in Atem halten […]

Hacker-Angriffe im Finanzsektor: Investitionen in Schutzmaßnahmen zahlen sich aus

IBM Sicherheitsforscher haben aktuell die Ergebnisse ihres X-Force Financial Services Report 2017 vorgestellt. Demnach wurde der Finanzsektor im vergangenen Jahr häufiger als jede andere Branche angegriffen – die Rate lag um 65 Prozent höher als der Durchschnitt über alle Sektoren hinweg. Das Resultat bricht sämtliche Rekorde: Die Sicherheitsverletzungen haben einen neuen Höhepunkt erreicht und sind […]