Data Security Posture Management (DSPM) ist eine Technologie aus dem Bereich der Cybersicherheit, die sensible Daten in verschiedenen Cloud-Umgebungen und -Diensten identifiziert und ihre Anfälligkeit für Sicherheitsbedrohungen und das Risiko der Nichteinhaltung von Vorschriften bewertet. DSPM bietet Einblicke und Automatisierungen, mit denen Sicherheitsteams so schnell wie möglich Datensicherheits- und Compliance-Probleme angehen und entsprechende Maßnahmen ergreifen können, um ein erneutes Auftreten zu verhindern.
DSPM wurde erstmals vom Branchenanalysten Gartner (in seinem Hype Cycle for Data Security 2022) identifiziert und wird manchmal auch als „Data First“-Sicherheit bezeichnet, weil es das Schutzmodell anderer Cybersicherheitstechnologien und -verfahren umkehrt. Anstatt die Geräte, Systeme und Anwendungen zu sichern, die Daten beherbergen, übertragen oder verarbeiten, konzentriert sich DSPM auf den Schutz der Daten selbst. Dennoch ergänzt DSPM viele der anderen Lösungen im Sicherheitssystem eines Unternehmens.
Die meisten Sicherheitstechnologien schützen sensible Daten, indem sie den unbefugten Zugriff auf das Netzwerk verhindern oder indem sie verdächtiges oder bösartiges Verhalten von autorisierten oder unbefugten Benutzern, Programmierschnittstellen (APIs), Geräten des Internets der Dinge (Internet of Things, IoT) oder anderen Entitäten erkennen und blockieren.
Diese Technologien haben die Erkennung und Abwehr von Bedrohungen und die Datensicherheit zum Besseren verändert. Doch die rasante Verbreitung von Cloud Computing, agiler cloudnativer Entwicklung, künstlicher Intelligenz (KI) und maschinellem Lernen (ML) hat zu Datensicherheitsrisiken und Schwachstellen geführt, die von Technologien zur Zugriffskontrolle und Bedrohungserkennung nicht immer abgedeckt werden. Diese Schwachstellen können Unternehmen anfällig für Datenschutzverletzungen und Compliance-Verstöße machen.
Zu diesen Datenrisiken gehören vor allem Schattendaten – Daten, die in einem Datenspeicher gesichert, kopiert oder repliziert werden, der nicht von denselben Sicherheitsteams, Sicherheitsrichtlinien oder Sicherheitskontrollen wie die Originaldaten überwacht, verwaltet oder gesteuert wird. Beispielsweise können DevOps-Teams im Rahmen ihrer iterativen Entwicklungs- und Testarbeit täglich eine Vielzahl neuer Datenspeicher anlegen und sensible Daten in diese kopieren. Eine einzige Fehlkonfiguration könnte die Daten in einem oder allen diesen Speichern anfälliger für unbefugten Zugriff machen.
Die Nachfrage nach Daten für die KI- oder ML-Modellierung trägt ebenfalls zur Entstehung von Schattendaten bei, da Unternehmen den Datenzugriff auf mehr Benutzer ausweiten, die weniger Verständnis für eine angemessene Datensicherheit und -verwaltung haben. Und die zunehmende Einführung von Multi-Cloud-Umgebungen (Nutzung von Cloud-Services und -Anwendungen von mehreren Anbietern) und Hybrid-Cloud (Infrastruktur, die Public-Cloud- und Private-Cloud-Umgebungen kombiniert und orchestriert) vergrößert das Risiko. Laut dem IBM Bericht über die Kosten einer Datenschutzverletzung 2023 betrafen 82 % der Datenschutzverletzungen in Cloud-Umgebungen gespeicherte Daten. 39 % der betroffenen Daten sind in verschiedenen Arten von Computerumgebungen gespeichert, darunter Private Cloud, Public Cloud, Hybrid Cloud und On-Premises.
DSPM-Lösungen lokalisieren die sensiblen Daten eines Unternehmens, bewerten den Sicherheitsstatus, beheben die Schwachstellen in Übereinstimmung mit den Sicherheitszielen und Compliance-Anforderungen des Unternehmens und implementieren Schutz- und Überwachungsmaßnahmen, um ein erneutes Auftreten der identifizierten Schwachstellen zu verhindern. DSPM-Lösungen sind in der Regel agentenlos (d. h. es muss nicht für jedes zu überwachende und zu schützende Objekt oder jede Ressource eine eigene Softwareanwendung installiert werden) und bieten einen hohen Automatisierungsgrad.
Auch wenn sich die Sicherheitsexperten über die Einzelheiten nicht einig sind, besteht DSPM im Allgemeinen aus vier Hauptkomponenten:
Datenerkennung
Datenklassifizierung
Risikobewertung und Priorisierung
Abhilfe und Prävention
Die Datenerkennungsfunktionen der DSPM-Lösungen suchen kontinuierlich nach sensiblen Datenbeständen, wo auch immer sie vorhanden sind. Dies umfasst das Scannen über folgende Umgebungen:
On-Premises und Cloud-Umgebungen (z. B. Public, Private und Hybrid Clouds)
Alle Cloud-Anbieter, z. B. Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud und Microsoft Azure sowie SaaS-Anbieter (Software-as-a-Service) wie Salesforce
Alle Cloud-Dienste, z. B. Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Database-as-a-Service (DBaaS)
Alle Arten von Daten und Datenspeichern – z. B. strukturierte und unstrukturierte Daten, Cloud-Speicher (Datei-, Block- und Objektspeicher) oder Speicherdienste, die mit bestimmten Cloud-Services, Cloud-Anwendungen oder Cloud-Service-Anbietern verbunden sind.
Im Allgemeinen kategorisiert die Datenklassifizierung Datenbestände auf der Grundlage vordefinierter Kriterien. Im Zusammenhang mit DSPM kategorisiert die Datenklassifizierung die Daten nach ihrer Sensibilität, indem sie für jedes Daten-Asset Folgendes bestimmt:
Der Grad der Datenvertraulichkeit – sind es personenbezogene Daten, vertraulich, im Zusammenhang mit Geschäftsgeheimnissen usw.
Wer kann auf die Daten zugreifen und wer sollte berechtigt sein, auf die Daten zuzugreifen
Wie die Daten gespeichert, verarbeitet und genutzt werden
Wenn die Daten gesetzlichen Rahmenbedingungen unterliegen – z. B. dem Health Insurance Portability and Accountability Act (HIPAA), dem Payment Card Industry Data Security Standard (PCI DSS), der Allgemeinen-Datenschutzgrundverordnung (DSGVO) der EU, dem California Consumer Privacy Act (CCPA) und anderen Datenschutzvorschriften.
DSPM identifiziert und priorisiert die mit den einzelnen Datenbeständen verbundenen Schwachstellen und sucht in erster Linie nach den folgenden Schwachstellen:
Fehlkonfigurationen
Fehlkonfigurationen sind fehlende oder unvollständige Sicherheitseinstellungen von Anwendungen oder Systemen, welche die Daten eines Unternehmens für unbefugten Zugriff angreifbar machen. Das meistgenannte Ergebnis einer Fehlkonfiguration ist der ungesicherte Cloud-Datenspeicher. Fehlkonfigurationen können aber auch Schwachstellen wie nicht angewandte Sicherheitspatches oder eine schwache oder fehlende Verschlüsselung von Daten im Ruhezustand oder bei der Übertragung verursachen. Fehlkonfigurationen gelten weithin als das häufigste Sicherheitsrisiko für Cloud-Daten und sind eine häufige Ursache für Datenverluste oder -lecks.
Übermäßige Berechtigungen
Übermäßige Berechtigungen gewähren Benutzern mehr Datenzugriffsprivilegien oder Berechtigungen, als sie für ihre Arbeit benötigen. Übermäßige Berechtigungen können das Ergebnis einer falschen Konfiguration sein, aber auch dann auftreten, wenn Benutzerberechtigungen absichtlich unsachgemäß oder unvorsichtig (oder böswillig durch einen Bedrohungsakteur) erweitert werden oder wenn Berechtigungen, die nur vorübergehend gelten sollen, nach Ablauf ihrer Gültigkeit nicht entzogen werden.
Probleme mit Datenfluss und Datenabstammung
Die Datenflussanalyse verfolgt alle Orte, an denen die Daten vorhanden waren, und wer an jedem Ort Zugriff auf sie hatte. In Kombination mit Informationen über Schwachstellen in der Infrastruktur kann die Datenflussanalyse potenzielle Angriffspfade auf sensible Daten aufdecken.
Sicherheitsrichtlinien und Verstöße gegen Vorschriften
DSPM-Lösungen ordnen die bestehenden Sicherheitseinstellungen der Daten den Datensicherheitsrichtlinien des Unternehmens und den Datensicherheitsanforderungen zu, die von den für das Unternehmen geltenden Vorschriften vorgeschrieben sind, um festzustellen, wo Daten unzureichend geschützt sind und wo das Unternehmen Gefahr läuft, die Vorschriften nicht einzuhalten.
DSPM-Lösungen bieten Berichte und Echtzeit-Dashboards, die Schwachstellen nach Schweregrad priorisieren, sodass sich Sicherheits- und Risikomanagement-Teams auf die Behebung der kritischsten Probleme konzentrieren können. Viele DSPM-Lösungen bieten auch Schritt-für-Schritt-Anleitungen zur Behebung von Schwachstellen oder Playbooks für die Reaktion auf Vorfälle, um potenzielle Risiken oder laufende Bedrohungen der Datensicherheit zu beheben.
Einige DSPM-Lösungen automatisieren Änderungen an Anwendungs- oder Systemkonfigurationen, Zugriffskontrollen und Einstellungen der Sicherheitssoftware, um einen besseren Schutz vor möglichen Datenverlusten zu gewährleisten. Andere können in DevOps-Workflows integriert werden, um potenzielle Sicherheitsrisiken frühzeitig in den Entwicklungszyklen von Anwendungen zu beheben.
Alle DSPM überwachen die Umgebung fortlaufend auf neue Datenbestände und prüfen diese Bestände regelmäßig hinsichtlich potenzieller Sicherheitsrisiken.
Cloud Security Posture Management (CSPM) ist eine Cybersecurity-Technologie, die die Identifizierung und Behebung von Fehlkonfigurationen und Sicherheitsrisiken in hybriden Cloud- und Multi-Cloud-Umgebungen und -Services automatisiert und vereinheitlicht.
CSPM klingt ähnlich wie DSPM, allerdings unterscheiden sich die beiden in ihrem Schwerpunkt. CSPM konzentriert sich auf das Auffinden und die Beseitigung von Schwachstellen auf der Ebene der Cloud-Infrastruktur, und zwar speziell in Recheneinheiten (wie virtuellen Maschinen oder Containern) und PaaS-Implementierungen. DSPM konzentriert sich dagegen auf das Auffinden und Beheben von Schwachstellen auf der Datenebene. Je mehr Unternehmen ihre Cloud-Nutzung ausweiten, desto mehr werden sie wahrscheinlich beides benötigen: CSPM, um den unbefugten Zugriff auf die Ressourcen der Cloud-Infrastruktur einzuschränken oder zu verhindern, und DSPM, um den unbefugten Zugriff auf die in diesen Ressourcen enthaltenen Daten einzuschränken oder zu verhindern.
DSPM kann mit anderen Sicherheitstools eines Unternehmens integriert werden, um die Datensicherheit im Besonderen und die Fähigkeiten zur Erkennung, Abwehr und Reaktion auf Bedrohungen im Allgemeinen zu verbessern.
DSPM und IAM
Identity and Access Management (IAM) verwaltet Benutzeridentitäten und Zugriffsberechtigungen, um sicherzustellen, dass nur autorisierte Benutzer und Geräte zur richtigen Zeit und aus den richtigen Gründen auf die benötigten Ressourcen zugreifen können. Durch die Integration von DSPM und IAM können Sicherheitsteams Änderungen an Zugriffsberechtigungen automatisieren, um die sensiblen Daten ihres Unternehmens besser zu schützen.
DSPM und EDR
Endpoint Detection and Response (EDR) nutzt Echtzeitanalysen und KI-gestützte Automatisierung, um Endpunkte zu überwachen und zu sichern und Cyberbedrohungen zu verhindern, die Antivirensoftware und andere herkömmliche Technologien für die Endpunktsicherheit umgehen. Die Integration von DSPM und EDR kann dazu beitragen, die Einheitlichkeit zwischen der Endpunktsicherheit, der Datensicherheit und den Compliance-Richtlinien eines Unternehmens zu gewährleisten.
DSPM und SIEM
Security Information and Event Management (SIEM) sammelt sicherheitsrelevante Protokolldaten und andere Informationen aus dem gesamten Unternehmen und korreliert und analysiert diese Daten, um Sicherheitsteams bei der Erkennung von Bedrohungen und der Optimierung oder Automatisierung der Reaktion auf Vorfälle zu unterstützen. DSPM kann SIEM-Daten aufnehmen, um mehr Kontext und Erkenntnisse in den Sicherheitsstatus von Datenbeständen zu erhalten.
DSPM und DLP
Strategien und Tools für Data Loss Prevention (DLP) helfen Unternehmen, Datenlecks, Datenexfiltration (Datendiebstahl) und Datenverluste zu verhindern, indem sie Daten im gesamten Netzwerk verfolgen und granulare Sicherheitsrichtlinien durchsetzen. Die Integration von DSPM und DLP kann die DSPM-Datenflussanalyse bereichern, um Datensicherheitsrisiken und Angriffspfade auf sensible Daten genauer zu identifizieren.
