Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Montag, November 26, 2018 13:24 - noch keine Kommentare
Datenschutzverletzungen vermeiden: IT-Hygiene in vier Schritten
Grundlagen für IT-Sicherheit
Von unserem Gastautor Gerald Lung, Country Manager DACH bei Netwrix Corporation
[datensicherheit.de, 26.11.2018] Es vergeht kein Tag ohne Datenschutzverletzungen. Die weltweite Datenbank Breach Level Index von Gemalto, die Datenverstöße verfolgt und nach Art der gefährdeten Daten, der Zugriffsmethode und der Art des Verstoßes analysiert, visualisiert eindrucksvoll, wie viele Datenschutzverletzungen jeden Tag gemeldet werden. Erfahrungsgemäß basieren zahlreiche Verstöße auf ähnlichen Problemen: schlecht konfigurierte Hardware oder Software, die nicht den neuesten Patch erhalten hat, sowie umfangreiche Zugriffsrechte auf Daten für Benutzer, die nur einen Bruchteil dieser Rechte für ihre Arbeit benötigen würden. Erschreckend oft lassen sich diese Probleme auf eine schlechte IT-Hygiene zurückführen.
Eine gute IT-Hygiene ist eine Reihe von Verfahren in der Informationssicherheit, um Daten sicher und gut geschützt zu halten. Dazu gehören einerseits Sicherheitsrichtlinien, die es dem Unternehmen ermöglichen, seine wichtigsten Systeme und Daten vor Angriffen von außen, wie beispielsweise Malware sowie vor Insider-Bedrohungen, wie beispielsweise menschlichen Fehlern seiner Mitarbeiter, zu schützen. Andererseits fallen auch die Praktiken darunter, die Benutzer anwenden, um sensible Daten organisiert und sicher zu halten. In der Praxis leidet die Qualität der IT-Hygiene allerdings oft darunter, dass das Budget nicht ausreicht, um der wachsenden Komplexität der IT-Umgebung und der Bedrohungslandschaft gerecht zu werden.
Die Folgen einer schlechten IT-Hygiene werden schnell unterschätzt
Unternehmen müssen rentabel arbeiten, aber der jüngste Datenvorfall von Experian, eine der drei größten US-amerikanischen Wirtschaftsauskunftei, zeigt, wie eine Budgetkürzung grundlegende Arbeitsabläufe für Angriffe anfällig macht. IT-Teams fehlen dann oft auch die Tools und Schulungen, um Risiken einzuschätzen, und ihre Geschäftspartner sind nicht immer in der Lage, kritische Assets zu identifizieren, die besonderen Schutz benötigen. Zum Beispiel lässt sich leicht vorstellen, dass eine Datei, die mit dem Namen „Notiz“ in einer SharePoint-Website versteckt ist, tatsächlich eine Tabelle mit sensiblen Kundeninformationen ist, die ein Mitarbeiter abgelegt hat, um auf die Daten schneller Zugriff zu haben. Die Sicherheitsteams haben in der Regel keine Chance, solche Daten richtig einzuschätzen, es sei denn, jemand sagt es ihnen. Genau solche Kommunikationslücken spielen böswilligen Angreifern in die Hände.
Gerald Lung, Country Manager DACH bei Netwrix Corporation
Die wirtschaftlichen Folgen von Sicherheitsverletzungen durch den Vertrauensverlust der Kunden, den Datenmissbrauch, Identitätsdiebstahl und andere Szenarien ist für viele Unternehmen schnell kritisch. Dazu kommen zahlreiche staatliche und branchenspezifische Vorschriften, die mit hohen Geldbußen und andere Strafen geahndet werden, wenn verschiedene Arten von sensiblen Daten nicht ordnungsgemäß geschützt werden; die europäische Datenschutzgrundverordnung ist dafür das aktuellste Beispiel.
Die IT-Hygiene gerät schnell in eine Abwärtsspiral: Umso schlechter der Zustand ist, umso aufwendiger wird die Korrektur, umso eher leidet die Hygiene und verschlechtert sich noch mehr, was eine Korrektur noch weiter erschwert. Für viele Sicherheitsteams ist die kritische Frage, wo anfangen soll, den Zustand zu verbessern und den Kreislauf zu durchbrechen. Vier Schritte sind notwendig, um die IT-Hygiene nachhaltig zu verbessern.
- Die richtigen Daten zur Evaluation die IT-Hygiene sammeln. Zunächst müssen die Risiken im eigenen Unternehmen bewertet werden, dabei ist der häufigste Fehler, sich auf Annahmen oder Meinungen zu verlassen. Annahmen und Meinungen mögen manchmal plausibel klingen, müssen aber kritisch betrachtet werden, weil ihnen in der Regel belastbare und systematische Beobachtungen fehlen. Ein guter Ansatzpunkt sind die Sicherheitssysteme an der Peripherie des Netzwerks, die heutzutage in den meisten Unternehmen bereits stark ausgeprägt sind und nützliche Daten erfassen. Diese Informationen lassen sich nutzen, um Angriffspunkte zu identifizieren und einen groben Überblick über die Zugriffsberechtigungen innerhalb des Netzwerkes zu bekommen.
- Die Bereinigung auf Grundlage des Risikos priorisieren. Diese Daten sind belastbar und erfahrungsgemäß offenbaren sie bei genauer Betrachtung schnell, welche Prioritäten hervorstechen. Allerdings sollte diese Informationslage nur die erste Grundlage sein, um die Risiken zu bewerten. Es wird oft versäumt, auch Führungs- und Fachkräfte aus anderen Geschäftsbereichen des Unternehmens einzubeziehen, die oftmals eine ganz andere Vorstellung als die IT davon haben, wo sich ihre entscheidenden Vermögenswerte des Unternehmens befinden. Möglicherweise wird der Prozess an dieser Stelle schwierig: Die Beteiligten erklären oftmals schnell bei jedem Ordner, dass ein ungehinderter Zugang unverzichtbar sei und an dieser Stelle zeigt sich in der Regel der Wert der zuvor gesammelten Daten. Eine gute Vorbereitung zeigt in der Regel, wann und wie ein Nutzer auf bestimmte Daten Zugriff erhalten hat und wie oft er diese Rechte tatsächlich benötigt.
- Die notwendigen Wiederholungen einplanen. Die IT-Systeme und -Infrastruktur eines Unternehmens wandelt sich kontinuierlich und bereits kleine Änderungen an einer Konfigurationsdatei, der vorhandenen Hardware oder bei den Aufgaben sowie Zusammensetzung der Mitarbeiter kann bereits große Auswirkungen auf die Datensicherheit haben. Das bedeutet, dass die IT-Hygiene regelmäßig evaluiert werden muss und eigentlich ein kontinuierlicher Prozess ist, der wiederholt, termingerecht und so weit wie möglich automatisiert durchgeführt werden muss. Deshalb sollte der Prozess gleich an die erstmalige Bereinigung angeschlossen werden, ehe sie wieder neu begonnen werden muss.
- Das Gespräch über die IT-Hygiene pflegen. Die CIOs und CISOs müssen über die Risiken so sprechen, dass sie von allen verstanden werden. Oftmals wird das Thema von anderen Vorstandsmitgliedern und der Geschäftsführung nur unzureichend verstanden, weil ihnen die notwendigen Vorkenntnisse fehlen. Das bedeutet allerdings, dass sie die Bedeutung des Anliegens und der notwendigen Investitionen nur unzureichend überblicken können. Deshalb kann lohnt es sich, sie frühzeitig zu coachen, damit sie der Ausführung des CISOs ausreichend folgen und die Folgen ihrer Entscheidung abschätzen können. Das ist meistens der Punkt, an dem sich fast jedes Unternehmen noch stark verbessern kann.
Die IT-Sicherheit muss ständig nach den effizientesten und geeignetsten Wegen suchen, um die Risiken ihres Unternehmens zu minimieren, und es gibt keinen besseren Ort, um damit zu beginnen, als die grundlegende IT-Hygiene sicherzustellen.
Weitere Informatione zum Thema:
datensicherheit.de, 09.11.2018
Datensichtbarkeit: Nachholbedarf beim Unterbinden unbefugter Zugriffe
datensicherheit.de, 11.10.2018
Netwrix-Studie: 73 Prozent der deutschen Unternehmen scheitern daran Sicherheitsvorfälle effektiv zu entdecken
datensicherheit.de, 13.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren