Sie sind in der Cloud: Aber wo sind Ihre Daten?

Laut einem Bericht von Deloitte Ende 2020, werden bis 2022 mehr als 90% der globalen Unternehmen auf Hybrid Cloud setzen. Doch was bedeutet das für diejenigen, die mit dem Datenschutz beauftragt sind?

Die Migration in die Cloud erfordert einen Wandel dahingehend, Werkzeuge zu implementieren, die Datenkontrolle ermöglichen. Wenn Sie nicht die Kontrolle über die Infrastruktur haben, stehen Sie vor der Herausforderung, wie Sie überhaupt Ihre Daten schützen können. Denn Sie fließen fortan über eine hyperverteilte Organisation aus Netzwerken, fremd-administrierten Applikationen und teils unbekannten Endgeräten.

Dieses hoch-verteilte Geschäftsumfeld wird durch die stark angestiegene Zahl an Remote-User noch verzweigter. Von ihnen stellt heute jeder einzelne einen Perimeter dar. Also einen Zugang in Ihr Netzwerk hinein und gleichzeitig einen Ausgang für Ihre geschäftskritischen Daten. Das muss uns zu einer umfassenden Veränderung führen, wie wir Cybersicherheit angehen.

Fangen wir also an, unsere Daten wirklich zu verstehen und Datenschutzprogramme zu implementieren! In diesem Blog beschreibe ich die drei wichtigsten Schritte zum Schutz sensibler Informationen: Identifizierung. Visibilität. Kontrolle. 

In Puncto Kontrolle werde ich einige Missverständnisse ansprechen und außerdem auf die wahrgenommene Komplexität von DLP Programmen eingehen.

Der erste Schritt: Identifizierung

Im Kern besteht Datenschutz darin, die privaten Daten von Einzelpersonen und die Unternehmensinformationen von Organisationen sicher zu halten. Dabei sollen nicht nur Regularien erfüllt werden. Jedes Unternehmen arbeitet mit Kundendaten. Angefangen bei Adressdaten, Bankverbindungen, Kaufverhalten, Vertragsangelegenheiten, bis hin zu Informationen über Prototypen und zukünftige Produkte. Bei Verlust der Integrität solcher Daten oder gar einer unerwünschten Veröffentlichung droht immenser Schaden. Daher ist die Sicherheit wertvoller Informationen von entscheidender Bedeutung für den Erfolgserhalt einer Firma. Früher lagen diese Daten meist auf zugriffsgeschützten Fileservern im eigenen Rechenzentrum des Firmengeländes. Wo sie heute überall sind? Die Wenigsten wissen es. Wir sind im sogenannten Cloud Zeitalter.

Zunächst müssen Cybersicherheitsexperten verstehen:

Was sind relevante Daten, wo sind sie überall, wer greift darauf zu und wohin bewegen sie sich?

Eine automatisierte Bestandsanalyse, das Data Discovery, deckt die Speicherorte auf, die über viele Server, Cloud Applikationen, Endpoints und Standorte verteilt sind. Bereits durch die Vielzahl vordefinierter Erkennungsregeln (Policies) ist gewährleistet, dass ohne manuellen Klassifizierungsaufwand die gängigsten schützenswerten Datenbestände als solche identifiziert werden. Firmen-individuelle Datenbestände, wie beispielsweise Formeln, Bildmaterial oder Konstruktionsdaten, können dem Data Discovery hinzugefügt werden.

Die Bestandsanalyse arbeitet vollautomatisiert und muss zu einem täglichen Prozess werden.

Erst jetzt folgt die Datenklassifizierung. Dabei kategorisieren Organisationen die Assets basierend auf der Sensibilität ihrer Inhalte und legen fest, welcher Umgang gewünscht ist. Dies muss nicht kompliziert sein. Sie können es einfach halten: Definieren Sie drei bis fünf Klassifizierungen oder Sie nutzen bereits vorhandene Klassifizierungstools. Sagen Sie anfangs lediglich, welche

Daten(-klassifizierungen) per E-Mail oder Web versendet, kopiert oder lokal gespeichert werden können. Regelverstöße führen dabei niemals automatisch dazu, dass DLP eingreift und eine Aktion verhindert. Wir sind zu Beginn nur im Discovery Modus von DLP.

Ziel ist es, Unternehmen im Cloud Zeitalter die Kontrolle über die Daten zurück zu geben.

Weiter geht's: Visibilität

Der nächste Schritt besteht darin, eine sinnvolle und sichere Interaktion zwischen Benutzern, Daten und Anwendungen zu erreichen. Es ist ein Missverständnis, dass DLP Tools sich auf das Blocken von Informationsübertragungen konzentrieren. Vor allem zu Beginn von Datenschutzprogrammen werden lediglich Logeinträge geschrieben. Sie dienen dem Verständnis über alltägliche Datenbewegungen. DLP setzt also keineswegs voraus, dass sämtliche Daten streng klassifiziert sein müssen und dann Übertragungen blockiert werden.

Zu den Kernelementen gehören viel mehr:

• Transparenz. Jederzeit wissen, wo sich sensible Daten befinden
• Sicherheit. Automatische Zuordnung neu geschriebener Daten anhand ihrer Ähnlichkeit
• Reporting. Auswertung der Datenverläufe bezogen auf definierte Risikoszenarien
• Kontrolle. Individuell erweiterbares Regelwerk zur Handhabung sensibler Daten

Im Bereich von Visibilität und Einblick geht es erst einmal nur darum, den Ist-Zustand kontinuierlich zu verstehen. Daten bewegen sich andauernd, neue kommen minütlich hinzu und neue Cloud Applikationen werden aktiviert, von denen manchmal kaum einer weiß.

Mittels DLP können Sicherheitsteams nun eine sinnvolle Transparenz erreichen. Es wird sichtbar, wie die digitale Kommunikation abläuft und es liefert Einblicke, wenn ein Ereignis zu einem organisatorischen Risiko beiträgt.

Kontrolle: Nur wo sie erforderlich ist

Es ist möglich, Unternehmensdaten zu schützen und gleichzeitig Privatsphäre zu wahren. Es ist auch möglich Daten zu schützen, ohne das Business zu behindern.

DLP hat sich sehr stark weiterentwickelt und kann vollständig in Einklang zu den Anforderungen des Arbeitnehmerschutzes gebracht werden. Unternehmen können sicherer werden, ohne alles kontrollieren zu müssen und ohne pauschale Richtlinien zu implementieren.

Reports werden in DLP für einzelne Betrachtergruppen erstellt. Hier gilt strikt das „need-to-know-Prinzip“. Personenbezogen Daten von Mitarbeitern, Daten, die auf den Incident-Verursacher Rückschlüsse ziehen lassen, sind nur mittels entsprechender Berechtigung einsehbar.

In Puncto Kontrolle wurde noch eine weitere der früheren Kernfragen eliminiert: „Was ist generell erlaubt und was nicht?“ Denn die Antwort lautet: es kommt auf die Umstände an. Anstelle, dass eine E-Mail mit potenziell kritischem Anhang geblockt wird, kann der User aufgefordert werden, den Versand kurz mit einem Kommentar zu versehen und zu bestätigen. Versehentliche oder bewusste Regelverstöße können so verhindert werden, aber der Geschäftsbetrieb wird niemals eingeschränkt, falls der Versand in diesem Fall im Sinne des Unternehmens richtig ist.

Es existieren zahlreiche Möglichkeiten, anstelle des einfachen Blockens.

Fazit.

Daten in einer Hybrid Cloud Umgebung erfordern grundsätzlich den Einsatz von DLP. Der Aufbau eines Data Protection Programs beginnt mit Data Discovery, nicht mit einer langwierigen Datenklassifizierung. Bei DLP geht es in erster Linie um Visibilität und Verständnis.

Für den Erfolg einer Data Protection Strategy ist außerdem maßgeblich, dass die Mitarbeiter transparent über die technischen Maßnahmen informiert werden. Schnell kann sonst der Verdacht entstehen, es herrsche Misstrauen gegenüber den Angestellten.

Stattdessen sollte klar und aktiv kommuniziert werden, dass mittels DLP jeder einzelne zum Schutz des Arbeitgebers beitragen wird. Jeder einzelne ist in Zukunft wichtiger Teil der IT Security.

Forcepoint ist 9x Gartner Magic Quadrant Leader für DLP. Unsere Technologie basiert auf über 20 Jahre Erfahrung und Entwicklung. Sie wurde so programmiert, damit die Menschen ihre Arbeit erledigen können, ohne dass aufdringliche Technologien sie aufhalten.

Weitere Informationen: Forcepoint Data Loss Prevention

Erfahren Sie mehr: Management von Cyberrisiken für Mitarbeiter in einer globalen Landschaft