Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Dienstag, April 30, 2019 13:46 - noch keine Kommentare
Sensible Daten aufspüren und schützen
Best Practices für strukturierte und unstrukturierte Daten
Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian
[datensicherheit.de, 30.04.2019] Daten gehören zu den wertvollsten Rohstoffen des 21. Jahrhunderts. Doch immer größere Mengen an sensiblen Informationen gegen Cyber-Angriffe zu schützen, ist für Unternehmen eine Herausforderung. Viele Sicherheitsstrategien konzentrieren sich auf den Schutz strukturierter Daten in Datenbanken. Jedoch fehlen häufig Maßnahmen für die ebenso sensiblen, aber oft schwieriger zu schützenden unstrukturierten Daten, beispielsweise in E-Mails oder Dokumenten. 80 Prozent der Daten in einem Unternehmen zählen laut IBM mittlerweile zu den unstrukturierten Daten. In diesen Datenmassen verbergen sich häufig geschäftskritische oder personenbezogene Informationen. Sie stellen damit ein Risiko für Unternehmen dar, wenn sie nicht ausreichend gegen unberechtigten Zugriff abgesichert werden. Im Folgenden ein kurzer Überblick zu den beiden Datenformen sowie Best Practices zu deren Schutz.
Christoph M. Kumpa, Director DACH & EE bei Digital Guardian
Maschine versus Mensch: Strukturierte und unstrukturierte Daten
Strukturierte Daten sind so organisiert, dass sie für Maschinen einfach zu verarbeiten sind. Sie werden im Allgemeinen in relationalen Datenbanken gespeichert und in definierten Spalten und Zeilen angezeigt. Dadurch können Data-Mining-Tools und -Algorithmen darauf zugreifen und sie leicht analysieren. Traditionell verlassen sich Unternehmen bei ihren Geschäftsentscheidungen auf strukturierte Daten, beispielsweise im Lagerverwaltungs- oder Customer Relationship Management.
Unstrukturierte Daten werden hingegen in für Menschen leicht zugänglichen Formaten gespeichert. Diese Zugänglichkeit erschwert allerdings wiederum Maschinen und Algorithmen den Zugriff. Unstrukturierte Daten finden sich etwa in E-Mails, Textverarbeitungsdokumenten, PDF-Dateien, Bild-, Audio- und Videodateien, Social Media-Beiträgen oder mobilen Textnachrichten. Diese Formate erleichtern die menschliche Kommunikation, machen unstrukturierte Daten aber auch anfälliger für unberechtigten Zugriff und Datenlecks.
Best Practices zur Sicherung strukturierter und unstrukturierter Daten
Strukturierte Daten in Datenbanken lassen sich vergleichsweise einfach sichern. Der Zugang kann nach strengen Richtlinien eingeschränkt werden. Diese sollten folgende Punkte beinhaltet:
- Schaffung eines sicheren, zentralen Speichers
- Verfolgung der Dateneingabe und -nutzung
- Verwaltung von Authentifizierung und verschlüsselter Kommunikation mit SSL-Protokoll
- Schutz von Geräten durch sichere Passwörter
- Möglichkeit des Fernzugriffs zur Datenlöschung auf verlorenen Geräten
- Schulung der Mitarbeiter über Richtlinien und bewährte Sicherheitsverfahren
Der Schutz unstrukturierter Daten stellt eine größere Herausforderung dar. Denn diese existieren überall im System, wo Benutzer auf Inhalte zugreifen oder diese erstellen. Dadurch kann es schwierig sein, überhaupt zu wissen, dass diese Daten existieren, wer Zugang zu ihnen hat oder sie verwendet. Auch die Verfolgung des Datenflusses durch einen Audit-Trail gestaltet sich schwieriger: Content Pattern Matching-Technologien können Server und Workstations scannen, um unstrukturierte Daten zu klassifizieren, aber diese Lösungen führen oft zu False Positives und Negatives, was sich negativ auf den Workflow auswirken kann. Folgende Best Practices helfen, unstrukturierte Daten zu schützen:
- Klassifizierung unstrukturierter Daten
Unternehmen sollten ihre Mitarbeiter darin schulen, welche unstrukturierten Daten sensibel sind. Hierzu zählen:- Daten, die aus rechtlichen oder regulatorischen Gründen aufbewahrt werden müssen
- Proprietäre Daten wie geistiges Eigentum, Bankdaten oder Kundenlisten
- Personenbezogene Daten von Kunden und Mitarbeitern
- Identifizieren von unstrukturierten Daten zum Zeitpunkt der Erstellung
Oftmals stammen unstrukturierte Daten aus einer strukturierten Datenquelle: Beispielsweise exportieren Mitarbeiter Informationen aus einer Datenbank in ein Dokument und speichern dieses in der Cloud oder auf einem USB-Stick. Dadurch entfällt jedoch der Schutz durch die Datenüberwachung und Zugriffskontrollen der strukturierten Datenquelle. Wichtig sind daher adäquat abgesicherte Speicherumgebungen, um das Risiko eines Datenlecks zu minimieren. - Identifizierung des Zugriffs auf strukturierte und unstrukturierte Daten
Unternehmen sollten identifizieren, welche Mitarbeiter Zugriff auf strukturierte und unstrukturierte Daten haben und den Zugriff auf sensible Datenquellen einschränken. Zudem sollte verwaltet werden, wie Mitarbeiter von Remote-Geräten darauf zugreifen dürfen. Die Überwachung der Benutzeraktivitäten bietet zusätzlichen Schutz, um beispielsweise Anomalien zu erkennen, die auf eine Cyberattacke hinweisen.
Strukturierte und unstrukturierte Daten sind für Unternehmen gleichermaßen von Bedeutung. Vor dem Hintergrund der DSGVO muss deshalb sichergestellt sein, dass beide Arten geschützt sind, da bei einem Datenleck hohe Geldbußen und Reputationsschäden drohen. Datenzentrierte Sicherheitstechnologien können Unternehmen zudem unterstützen, durch kontextbasierte Klassifikation und Verschlüsselung sensible Daten gegen Diebstahl und Cyberangriffe zu schützen, selbst im Fall eines Sicherheitsverstoßes.
Weitere Informationen zum Thema:
datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks
datensicherheit.de, 05.11.2018
Willkommen im Botnet: Über die Unsicherheit der Dinge
datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe
datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung
datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken
datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential
datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff
datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren