Herausforderungen einer datenzentrierten IT-Security-Strategie

Herausforderungen einer datenzentrierten IT-Security-Strategie

Beitrag teilen

Die Ausgaben für IT-Security befinden sich derzeit laut einer Studie des IT-Brachenverbandes Bitkom auf einem Allzeithoch. Für 2022 wird ein Umsatzwachstum von 9,9 Prozent, bis 2025 ein durchschnittliches jährliches Wachstum von 5,9 Prozent erwartet.

Eine Entwicklung, die durch das pandemiebedingt erforderliche Arbeiten in Homeoffices vorangetrieben wurde. Die steigende Cyberkriminalität, der Einsatz von Cloud-Computing, die rasante Verbreitung von Mobilgeräten und die unterschiedlichen Technologien und Anwendungen zwingen Unternehmen dazu, immer mehr IT-Risiken abzusichern. Die Effektivität dieser Maßnahmen wird jedoch zunehmend daran gemessen, inwieweit sie lückenlos die Sicherheit von Unternehmensdaten gewährleisten können.

Anzeige

Gestiegene Compliance-Anforderungen

Die fortschreitende Digitalisierung von Geschäftsprozessen sowie die gestiegenen Compliance-Anforderungen, die bei Verstößen empfindliche Strafen nach sich ziehen können, verleihen der Datensicherheit zentrale Bedeutung für eine reibungslose Geschäftstätigkeit. Eine Anforderung, die ein klassisch infrastrukturorientierter Security-Ansatz allein nicht gewährleisten kann. Unternehmen sind daher bestrebt, ihre IT-Sicherheitsstrategie besser an die Verarbeitungskette ihrer Daten anzupassen. In der Regel bedeutet dieser Ansatz für Unternehmen ein Umdenken, da ein datenzentrierter Blickwinkel sich deutlich von dem traditionellen, infrastrukturorientierten unterscheidet. Hinzu kommt, dass in Homeoffice-Szenarien eine Vielzahl an Netzwerken, Anwendungen und Logins vorherrscht, was weitere Herausforderungen mit sich bringt. Risiken, die bei der Entwicklung einer datenzentrierten Sicherheitsstrategie häufig außer Acht gelassen werden, umfassen in der Regel die folgenden vier Faktoren:

1. Kontrolle über die Datennutzung

Viele Unternehmen arbeiten mit Lösungen für Identitäts- und Zugriffsmanagement, Mobile Device Management und/oder Data Loss Prevention (DLP), um den Zugriff ihrer Mitarbeiter auf Daten zu überwachen und zu kontrollieren. Dennoch besteht das Risiko, dass Daten auf anderen Wegen nach außen gelangen könnten, die von diesen Mechanismen unentdeckt bleiben. Unternehmen müssen eingehend evaluieren, welche Szenarien außerhalb ihrer Maßnahmen denkbar sind und wie auch diese in die Kontrolle eingebunden werden können.

2. Eingeschränkte Transparenz

Unternehmen können nicht lückenlos nachvollziehen, wo sich sensible Daten befinden. Moderne Unternehmen müssen regelmäßig Dateien mit sensiblen Informationen austauschen, und die Sichtbarkeit dieser Daten, sobald sie die Organisations-Umgebung verlassen, liegt jenseits der Möglichkeiten der meisten Überwachungs-, Auditing- und Tracking-Tools. Dies hat zur Folge, dass die enthaltenen Informationen ohne zusätzliche datenorientierte Technologien nicht nachverfolgt oder überprüft werden können.

3. Schatten-IT und der Faktor Mensch

Die Qualität von Maßnahmen zum Schutz von Daten wird stark beeinflusst durch das Benutzerverhalten sowie die Benutzerfreundlichkeit von IT-Prozessen. Empfinden Mitarbeiter beispielsweise einige der Unternehmens-Anwendungen als zu umständlich für ihre Arbeitsabläufe, suchen sie nach Wegen, um schneller und einfacher an ihr Ziel zu gelangen. Das Speichern sensibler Daten und ungeschützter Dokumente auf einem USB-Stick oder in privaten Public Cloud-Accounts sind nur einige der Möglichkeiten, mit denen Mitarbeiter Sicherheitsmechanismen umgehen, um ihre Aufgaben bequemer zu erledigen.

4. Lange Reaktionszeit

Das Zusammenwirken von Benutzerverhalten und mangelnde Transparenz und Kontrolle bedingt einen weiteren Faktor: Wie lange dauert es, bis ein Datenverlust entdeckt wird und wirksame Gegenmaßnahmen ergriffen werden können? Je nach Wirksamkeit der IT-Sicherheitsstrategie kann diese Zeitspanne in Unternehmen von Minuten bis hin zu Jahren reichen. Lücken in den Sicherheitsrichtlinien und -prozessen sowie veraltete Sicherheitskonzepte führen außerdem dazu, dass die Datensicherheits-Programme vieler Unternehmen einfach nicht mehr zuverlässig funktionieren.

Datenzentrierte Sicherheit etablieren

Michael Kretschmer, Vice President DACH bei HelpSystems (Bild: HelpSystems).

Um diese Faktoren wirksam berücksichtigen zu können, müssen Security-Teams einen Ansatz entwickeln, der ihre infrastrukturbezogenen Sicherheitsmaßnahmen ergänzt und auf Datenebene greift. Ein datenorientiertes Sicherheitskonzept besteht aus Lösungen, die sensible Daten erfassen, verwalten und schützen, unabhängig davon, ob sie lokal oder in der Cloud gespeichert sind. Ausgangspunkt ist eine Datenklassifizierung, an die sich eine zuverlässige automatisierte Richtlinien-Durchsetzung, eine starke Verschlüsselung sowie strenge Zugriffskontrollen anschließen.

Sobald die Daten klassifiziert sind, können E-Mail-Sicherheits- und DLP-Lösungen diese Vorgaben in ihre automatisierten Prozesse integrieren. Managed File Transfer (MFT)-Lösungen sorgen dafür, dass entsprechend als sensibel identifizierte und bereinigte Dateien während der Übertragung und im Ruhezustand geschützt sind. Eine zentralisierte Technologie auf Unternehmensebene kann Daten vereinfachen, integrieren und überall sicher, schnell und über alle Umgebungen und Anwendungen hinweg mit wichtigen Verschlüsselungs- und Automatisierungsfunktionen übertragen.

Sicherer Datenaustausch

In Kombination mit Inhaltsanalyse und adaptiver DLP ermöglicht die gemeinsame Nutzung von Dateien mit MFT einen sicheren Datenaustausch. Unabhängig davon, wo sich die Dateien befinden, verschlüsselt und kontrolliert die datenzentrierte Digital Rights Management-Software den Zugriff auf sensible Daten, um den Schutz von Zugriff, Nutzung und geistigem Eigentum innerhalb und außerhalb des Unternehmens zu gewährleisten. Die grundlegende Datenklassifizierung, die zu Beginn angewendet wird, löst automatisch die Durchsetzung datenzentrischer Richtlinien bis hin zur endgültigen Löschung der Daten aus.

Security-Verantwortliche können damit fortlaufend den Status von Daten im Unternehmen nachvollziehen und, sofern nötig, unmittelbar den Zugriff auf versehentlich freigegebene Daten sperren. Mitarbeiter können auf einem hohen Sicherheits- und Transparenz-Niveau ohne Einschränkungen zusammenzuarbeiten, was das Risiko durch Schatten-IT im Unternehmen eliminiert. Durch die Integration datenzentrierter Richtlinien und Maßnahmen können Unternehmen ihr IT-Sicherheitskonzept eines Unternehmens harmonisieren und insgesamt widerstandsfähiger machen.

Mehr bei HelpSystems.com

 


Über HelpSystems

HelpSystems ist ein Softwareunternehmen, das Organisationen beim Aufbau einer besseren IT (Build a Better IT™) unterstützt. Mit der Cybersecurity- sowie der Automatisierungssoftware des Anbieters können Unternehmen kritische IT-Prozesse vereinfachen und mühelos Sicherheit schaffen. HelpSystems liefert Lösungen auf Grundlage eines guten Technologiedesigns: hohe Qualität, ein erstklassiges Benutzererlebnis und die Fähigkeit, die Leistung zu verbessern.


 

Passende Artikel zum Thema

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

Authentifizierungs-Codes geknackt

Forscher in China haben einen Ansatz demonstriert, der erfolgreich auf kürzere Authentifizierungs- und Verschlüsselungscodes abzielt - allerdings noch nicht auf ➡ Weiterlesen

Drei Schritte zur quantensicheren Verschlüsselung (PQC)

Vor wenigen Wochen hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei – von insgesamt vier ➡ Weiterlesen

Eine aktuelle Software Bill of Materials ist die Ausnahme

Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie ➡ Weiterlesen

IT-Sicherheit für alle – kostenlose Sicherheitstools

Ein führender Anbieter im Bereich Connectivity Cloud stellt mehrere wichtige Sicherheitstools, die oft teuer sind, Unternehmen kostenlos zur Verfügung. Dies ➡ Weiterlesen