Die Ausgaben für IT-Security befinden sich derzeit laut einer Studie des IT-Brachenverbandes Bitkom auf einem Allzeithoch. Für 2022 wird ein Umsatzwachstum von 9,9 Prozent, bis 2025 ein durchschnittliches jährliches Wachstum von 5,9 Prozent erwartet. Eine Entwicklung, die durch das pandemiebedingt erforderliche Arbeiten in Homeoffices vorangetrieben wurde.
Die steigende Cyberkriminalität, der Einsatz von Cloud-Computing, die rasante Verbreitung von Mobilgeräten und die unterschiedlichen Technologien und Anwendungen zwingen Unternehmen dazu, immer mehr IT-Risiken abzusichern. Die Effektivität dieser Maßnahmen wird jedoch zunehmend daran gemessen, inwieweit sie lückenlos die Sicherheit von Unternehmensdaten gewährleisten können.
Die fortschreitende Digitalisierung von Geschäftsprozessen sowie die gestiegenen Compliance-Anforderungen, die bei Verstößen empfindliche Strafen nach sich ziehen können, verleihen der Datensicherheit zentrale Bedeutung für eine reibungslose Geschäftstätigkeit. Eine Anforderung, die ein klassisch infrastrukturorientierter Security-Ansatz allein nicht gewährleisten kann. Unternehmen sind daher bestrebt, ihre IT-Sicherheitsstrategie besser an die Verarbeitungskette ihrer Daten anzupassen. In der Regel bedeutet dieser Ansatz für Unternehmen ein Umdenken, da ein datenzentrierter Blickwinkel sich deutlich von dem traditionellen, infrastrukturorientierten unterscheidet. Hinzu kommt, dass in Homeoffice-Szenarien eine Vielzahl an Netzwerken, Anwendungen und Logins vorherrscht, was weitere Herausforderungen mit sich bringt. Risiken, die bei der Entwicklung einer datenzentrierten Sicherheitsstrategie häufig außer Acht gelassen werden, umfassen in der Regel die folgenden vier Faktoren:
Kontrolle über die Datennutzung
Viele Unternehmen arbeiten mit Lösungen für Identitäts- und Zugriffsmanagement, Mobile-Device -Management und/oder Data-Loss-Prevention (DLP), um den Zugriff ihrer Mitarbeiter auf Daten zu überwachen und zu kontrollieren. Dennoch besteht das Risiko, dass Daten auf anderen Wegen nach außen gelangen könnten, die von diesen Mechanismen unentdeckt bleiben. Unternehmen müssen eingehend evaluieren, welche Szenarien außerhalb ihrer Maßnahmen denkbar sind und wie auch diese in die Kontrolle eingebunden werden können.
Eingeschränkte Transparenz
Unternehmen können nicht lückenlos nachvollziehen, wo sich sensible Daten befinden. Moderne Unternehmen müssen regelmäßig Dateien mit sensiblen Informationen austauschen, und die Sichtbarkeit dieser Daten, sobald sie die Organisations-Umgebung verlassen, liegt jenseits der Möglichkeiten der meisten Überwachungs-, Auditing- und Tracking-Tools. Dies hat zur Folge, dass die enthaltenen Informationen ohne zusätzliche datenorientierte Technologien nicht nachverfolgt oder überprüft werden können.
Schatten-IT und der Faktor Mensch
Die Qualität von Maßnahmen zum Schutz von Daten wird stark beeinflusst durch das Benutzerverhalten sowie die Benutzerfreundlichkeit von IT-Prozessen. Empfinden Mitarbeiter beispielsweise einige der Unternehmens-Anwendungen als zu umständlich für ihre Arbeitsabläufe, suchen sie nach Wegen, um schneller und einfacher an ihr Ziel zu gelangen. Das Speichern sensibler Daten und ungeschützter Dokumente auf einem USB-Stick oder in privaten Public-Cloud-Accounts sind nur einige der Möglichkeiten, mit denen Mitarbeiter Sicherheitsmechanismen umgehen, um ihre Aufgaben bequemer zu erledigen.
Lange Reaktionszeit
Das Zusammenwirken von Benutzerverhalten und mangelnde Transparenz und Kontrolle bedingt einen weiteren Faktor: Wie lange dauert es, bis ein Datenverlust entdeckt wird und wirksame Gegenmaßnahmen ergriffen werden können? Je nach Wirksamkeit der IT-Sicherheitsstrategie kann diese Zeitspanne in Unternehmen von Minuten bis hin zu Jahren reichen. Lücken in den Sicherheitsrichtlinien und -prozessen sowie veraltete Sicherheitskonzepte führen außerdem dazu, dass die Datensicherheits-Programme vieler Unternehmen einfach nicht mehr zuverlässig funktionieren.
Datenzentrierte Sicherheit etablieren
Um diese Faktoren wirksam berücksichtigen zu können, müssen Security-Teams einen Ansatz entwickeln, der ihre infrastrukturbezogenen Sicherheitsmaßnahmen ergänzt und auf Datenebene greift. Ein datenorientiertes Sicherheitskonzept besteht aus Lösungen, die sensible Daten erfassen, verwalten und schützen, unabhängig davon, ob sie lokal oder in der Cloud gespeichert sind. Ausgangspunkt ist eine Datenklassifizierung, an die sich eine zuverlässige automatisierte Richtlinien-Durchsetzung, eine starke Verschlüsselung sowie strenge Zugriffskontrollen anschließen.
Sobald die Daten klassifiziert sind, können E-Mail-Sicherheits- und DLP-Lösungen diese Vorgaben in ihre automatisierten Prozesse integrieren. Managed-File-Transfer (MFT)-Lösungen sorgen dafür, dass entsprechend als sensibel identifizierte und bereinigte Dateien während der Übertragung und im Ruhezustand geschützt sind. Eine zentralisierte Technologie auf Unternehmensebene kann Daten vereinfachen, integrieren und überall sicher, schnell und über alle Umgebungen und Anwendungen hinweg mit wichtigen Verschlüsselungs- und Automatisierungsfunktionen übertragen. In Kombination mit Inhaltsanalyse und adaptiver DLP ermöglicht die gemeinsame Nutzung von Dateien mit MFT einen sicheren Datenaustausch. Unabhängig davon, wo sich die Dateien befinden, verschlüsselt und kontrolliert die datenzentrierte Digital-Rights-Management-Software den Zugriff auf sensible Daten, um den Schutz von Zugriff, Nutzung und geistigem Eigentum innerhalb und außerhalb des Unternehmens zu gewährleisten. Die grundlegende Datenklassifizierung, die zu Beginn angewendet wird, löst automatisch die Durchsetzung datenzentrischer Richtlinien bis hin zur endgültigen Löschung der Daten aus.
Security-Verantwortliche können damit fortlaufend den Status von Daten im Unternehmen nachvollziehen und, sofern nötig, unmittelbar den Zugriff auf versehentlich freigegebene Daten sperren. Mitarbeiter können auf einem hohen Sicherheits- und Transparenz-Niveau ohne Einschränkungen zusammenzuarbeiten, was das Risiko durch Schatten-IT im Unternehmen eliminiert. Durch die Integration datenzentrierter Richtlinien und Maßnahmen können Unternehmen ihr IT-Sicherheitskonzept eines Unternehmens harmonisieren und insgesamt widerstandsfähiger machen.
Von Michael Kretschmer, Vice President DACH, Helpsystems