Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Fünf Schritte zur Entschärfung des größten Datensicherheitsrisikos

von Manuel Roldan-Vega Letzte Woche hatte ich die Gelegenheit, an einer Veranstaltung über Sicherheits-Risiken für die Daten Dritter teilzunehmen. Dabei unterhielt ich mich mit Leuten aus vielen unterschiedlichen Branchen und Positionen....
Michael Buckbee
3 minute gelesen
Veröffentlicht 9. Oktober 2012
Letzte aktualisierung 17. August 2022

von Manuel Roldan-Vega

Letzte Woche hatte ich die Gelegenheit, an einer Veranstaltung über Sicherheits-Risiken für die Daten Dritter teilzunehmen. Dabei unterhielt ich mich mit Leuten aus vielen unterschiedlichen Branchen und Positionen. Ich sprach mit Auditoren, IT-Managern, Speicheradministratoren, CIOs und natürlich Sicherheitsexperten.

Was hat bei der Risikoreduzierung oberste Priorität?

Eine Frage beschäftigte alle:

Wie können wir das Risiko entschärfen und die Daten unserer Kunden schützen?

Ein Vorstandsmitglied wurde gefragt: „Welcher Bereich ist für Sie am wichtigsten, wenn es um Risikoreduzierung geht?“ Seine prompte Antwort: Unter allen Risikobereichen, mit denen sein riesiges Unternehmen konfrontiert sei, habe die Sicherheit unstrukturierterDaten oberste Priorität.

Das schockierte mich zunächst, doch wenn man darüber nachdenkt, ist es einleuchtend. Laut Gartner bestehen über 80 Prozent aller Unternehmensinformationen aus unstrukturierten Daten, und sie wachsen Jahr für Jahr um etwa 50 Prozent.

Selbst Daten, die normalerweise in Datenbanken oder Anwendungen gespeichert sind, werden regelmäßig zur Analyse in Tabellenkalkulationen, zur Präsentation in PowerPoint-Folien, zum Lesen in PDFs und zum Austausch zwischen Teams in E-Mails kopiert.

Von diesem Standpunkt aus ist es verständlich, dass unstrukturierte Daten für viele IT-Abteilungen den größten Risikobereich darstellen.

Compliance und Richtlinien

Organisationen schützen unstrukturierte Daten nicht nur aus eigener Motivation. Durch externe Richtlinien wie SOX, HIPAA und PCI sind sie gezwungen, Prozesse zum Schutz von Daten Dritter einzuführen. Leider verfügen die meisten Organisationen über keine effiziente und bezahlbare Methode, um diese Kontrollmechanismen zu implementieren und deren Umsetzung nachzuweisen.

Ein Auditor, mit dem ich mich unterhielt, meinte, dass das Erbringen dieser Nachweise äußerst schwierig und zeitintensiv sei und Berechtigungsprüfungen für die meisten Unternehmen manuelle, mühsame Prozesse darstellten, die nicht einmal ihr Ziel erfüllten – nämlich die Daten zu schützen.

Wo fangen wir an? Eine Anleitung in fünf Schritten

Wenn Sie in Ihrer Organisation ein Risikomanagement-Projekt umsetzen möchten, finden Sie hier einige praktische Tipps zu den wichtigsten Punkten:

1. Identifizieren Sie Ihre wertvollsten Datenobjekte.

Alle Daten von Dritten sind wertvoll. Unsere Kunden vertrauen darauf, dass alle ihre Informationen verwaltet und geschützt werden. Doch es ist sehr wichtig, am richtigen Ende zu beginnen. Sprechen Sie mit Data Ownern und anderen Beteiligten, um herauszufinden, welche Arten von Daten am sensibelsten oder wertvollsten sind.

2. Finden Sie heraus, wo sich Ihre wertvollsten Datenobjekte befinden.

Sie können sensible Daten nur schützen, wenn Sie auch wissen, wo sie gespeichert sind. Vielleicht im Postfach des CEO? Oder sind sie über alle Windows-Dateiserver und NAS-Systeme verstreut? Dafür benötigen Sie ein Datenklassifizierungs-Framework , das die Dateien in Ihrem Netzwerk nach Indikatoren für sensible Inhalte durchsuchen kann.

3. Identifizieren Sie sensible Daten, auf die zu viele Nutzer zugreifen können.

In Schritt 2 haben Sie wahrscheinlich jede Menge wertvoller Daten gefunden. Jetzt müssen Sie herausfinden, wer auf diese Daten zugreifen kann, und diejenigen mit der höchsten Anzahl berechtigter Nutzer als Priorität behandeln.

Viele Leute tauschen die Schlösser aus, wenn sie in eine neue Wohnung ziehen. Warum? Weil sie nicht wissen, wer schon einen Schlüssel besaß – Eigentümer, Makler, vorherige Bewohner, Bauunternehmer? Dies stellt ein großes Risiko für sie und ihre Familien dar.

Dasselbe Prinzip gilt auch für die Daten von Dritten. Wir müssen wissen, welche Nutzer darauf zugreifen können und über welche Arten von Berechtigungen sie verfügen. Anschließend können wir die Daten identifizieren, zu denen zu viele Nutzer Zugang haben. Diesen müssen strengere Berechtigungen sowie Data Owner zugewiesen werden.

4. Überwachen Sie den Datenzugriff.

Wie mein guter Freund @rsobers sagt: Kontext ist König. Um das Risiko zu entschärfen, müssen Sie auch überwachen, wer tatsächlich auf die Daten zugreift und wozu. Durch die ständige Zugriffsüberwachung können wir Muster im Nutzerverhalten identifizieren und bei auffälligen Aktivitäten Alarm schlagen. Und wenn wir die Audit-Daten auf intelligente Weise speichern, können wir sie für juristische Zwecke, für den Helpdesk und zur Identifizierung veralteter Daten einsetzen.

5. Verwenden Sie automatisierte Prozesse.

Sind Sie bereit, die Schritte 1 bis 4 auszuführen? Verfügen Sie über eine ganze Armee von IT-Experten, die in den nächsten 50 Jahren nichts vorhaben? Zum Glück werden Sie sie nicht brauchen. Denn Sie können automatisierte Prozesse einsetzen, um herauszufinden, welche Daten wichtig sind und wer darauf zugreift. Und Sie können überwachen, wozu die Informationen verwendet werden.

Durch die Nutzung automatisierter Prozesse zur Ermittlung der Sicherheitslage können Sie Probleme ausfindig machen, Änderungen simulieren und Maßnahmen zur Fehlerbehebung ausführen – ganz automatisch.

Das ist also die Lösung! Warten Sie nicht länger und schützen Sie die Daten Ihrer Kunden. Übrigens: Es gibt noch einen 6. Schritt, der ganzohne die Beteiligung der IT-Abteilung auskommt. Fragen Sie uns danach.

Sie sind neugierig, wie Ihr Unternehmen abschneidet?Lassen Sie die Datenschutzsituation in Ihrer Organisation kostenlos überprüfen . Wir durchsuchen Ihre Infrastruktur nach Schwachstellen und helfen Ihnen, sie mithilfe der automatisierten Datenschutz- und Management-Software von Varonis zu beseitigen.

Foto: http://www.flickr.com/photos/fayjo/

The post Fünf Schritte zur Entschärfung des größten Datensicherheitsrisikos appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?