Datensicherheit: 10 Tipps von Pure Storage zur Einhaltung

„Best Practices“ als Tipps komprimiert für die Daten-Compliance, um Ransomware einzudämmen

[datensicherheit.de, 03.11.2021] Offensichtlich können es unzureichende Richtlinien zur Einhaltung von Datensicherheit Ransomware-Angreifern erleichtern, Daten von Unternehmen als Druckmittel zu benutzen – einige Angreifer gehen inzwischen zu erpresserischen Taktiken über: Anstatt Dateien einfach nur zu verschlüsseln, drohen sie damit, die Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. So bringen sie das geschädigte Unternehmen in eine Lage, in der Geldbußen sowie eine Rufschädigung seiner Marke drohen. Pure Storage betont in einer aktuellen Stellungnahme: „Aus diesem und vielen anderen Gründen sind die Einhaltung von Vorschriften und die Informationssicherheit eng miteinander verwoben.“ Die Einhaltung von Datenschutz-Bestimmungen werde damit zu einer noch wichtigeren Säule jeder Sicherheitsstrategie. Die nachfolgende kurze Liste von Pure Storage zeigt demnach „Best Practices“, also bewährte Maßnahmen auf, welche Unternehmen helfen sollen, die Vorschriften einzuhalten und Ransomware-Kriminellen aus dem Weg zu gehen.

1. Tipp: Erstellen eines Compliance-Frameworks

„Ein Rahmenwerk für die Sicherheit oder die Reaktion auf Vorfälle erklärt, wie man Vorfälle erkennt, darauf reagiert und sich davon erholt.“ In ähnlicher Weise biete ein Compliance-Framework eine Struktur für alle „Compliance“-Vorschriften, welche sich auf ein Unternehmen beziehen, „z.B. wie interne Compliance- und Datenschutzkontrollen zu bewerten sind“. Ein solches Rahmenwerk helfe auch bei der Identifizierung von Daten, z.B. von personenbezogenen oder sensiblen Daten, welche strengere Sicherheitsprotokolle erforderten.

2. Tipp: Definieren von Richtlinien darüber, welche Daten gesammelt werden und warum

Dieser Schritt sei Teil der Erstellung eines Rahmenwerks. Es gebe viele Gründe, „das Was und das Warum der Datenerfassung zu dokumentieren“. Die Aufsichtsbehörden könnten verlangen, dass solche Richtlinien festgelegt werden – „wenn die Daten von Verbrauchern stammen, können sogar noch strengere Anforderungen an die Beschreibung der Erfassungsrichtlinien gestellt werden (siehe Nr. 4)“.

3. Tipp: Erstellen von Datenschutzrichtlinien

„Information der Kunden darüber, welche Daten gesammelt werden, wofür sie verwendet werden und wie und wie lange sie gespeichert werden.“ Kunden sollten auch drüber informiert werden, wie sie Zugang zu ihren persönlichen Daten erhalten oder „vergessen“ werden können, „d.h. wie ihre Daten aus den Systemen entfernt werden“.

4. Tipp: Verstärken des Engagements für die Offenlegung

„Öffentlich zugängliche Datenschutzrichtlinien weitergeben, diese veröffentlichen und pflegen.“

5. Tipp: Auf dem Laufenden über die neuesten gesetzlichen Bestimmungen, die sich auf die „Compliance“ auswirken, bleiben

Ein „Privacy by Design“-Betriebsmodell könne helfen, mit den sich ständig ändernden Vorschriften Schritt zu halten und sich an sie anzupassen. „Das bedeutet, dass Sie den Datenschutz in die Entwicklung und den Betrieb von IT-Systemen, Infrastrukturen und Geschäftspraktiken einbeziehen, anstatt zu versuchen, ihn nachträglich einzubauen.“

6. Tipp: Richtlinien zur Aufbewahrung und Löschung von Daten festlegen

Dieser Schritt sei von entscheidender Bedeutung. „Aufbewahrungszeitpläne legen fest, wie lange Daten auf einem System gespeichert werden, bevor sie gelöscht werden, und die Zeitpläne können je nach Branche variieren.“ Ein regelkonformes, ausgereiftes und sicheres Unternehmen zeichne sich dadurch aus, dass es solide Richtlinien für die Datenaufbewahrung und -löschung entwickele, die ständig überprüft würden.

7. Tipp: Ein Datenverschlüsselungsprotokoll wählen

„Festlegen, welche Art von Datenverschlüsselung eingesetzt werden soll und wo – vor Ort, in der ,Cloud‘ etc.“ Je nachdem, wo die Daten gespeichert sind, könnten die Entscheidungen unterschiedlich ausfallen.

8. Tipp: Mit dem CISO über Netzwerkkontrollen sprechen

Da „Compliance“ eng mit Sicherheit zusammenhänge, sollten Unternehmen ihren CISO in Gespräche über die Konfiguration von Netzwerkgeräten, die Zugriffskontrolle mit minimalen Rechten, die Ereignisprotokollierung und die mehrstufige Authentifizierung miteinbeziehen.

9. Tipp: Anonymisierung sensibler Daten

Falls erforderlich, sollten Daten anonymisiert werden, um persönliche Identifizierungsdaten durch Maskierung, Tokenisierung, Hashing oder Anonymisierung zu entfernen.

10. Tipp: Dokumentieren, wie alle von einer Sicherheitsverletzung betroffenen Parteien benachrichtigen werden

Entsprechend der DSGVO seien solche Benachrichtigungen obligatorisch – „und Unternehmen möchten auf jeden Fall, dass der Benachrichtigungsprozess reibungslos abläuft“. Es gelte festzulegen, „wer für die Benachrichtigung verantwortlich ist, wie man das Problem löst und was man tun, um weitere Vorfälle zu verhindern“.

Fazit zu den Tipps von Pure Storage

Die Nutzung von Daten sei mit immensen Möglichkeiten verbunden, aber auch mit Verantwortung: „Unternehmen, die an die Weisheit ,Daten sind das neue Öl‘ glauben, müssen auch die ,Compliance‘ berücksichtigen, denn anderenfalls gehören die Daten vielleicht nicht mehr lange dem Unternehmen.“