Wenn Datenschutz zur Kostenfalle wird

In der letzten Woche hat Forrester eine Studie unter dem Titel “The Data Security Money Pit: Expense in Depth Hinders Maturity” veröffentlicht. Eines der Ergebnisse: Ein fragmentierter Ansatz bei der IT-Sicherheit, bei dem in unterschiedliche Produkte investiert wird, behindert den Datenschutz eher als ihn wirklich zu verbessern. Weiterhin untersuchten die Analysten, ob und wie ein umfassender Ansatz im Rahmen einer übergreifenden Datenschutzplattform den aktuellen Anforderungen besser gerecht wird. Den befragten Sicherheitsexperten geht es im Wesentlichen um zwei Dinge. Sie wollen Kosten senken und die technischen Herausforderungen in überschaubaren Grenzen halten. Dabei helfen Funktionalitäten mit denen sich Daten und Aktivitäten analysieren und klassifizieren lassen. Und solche, mit denen Unternehmen ihr Zugriffs-/Berechtigungsmanagement optimieren können.

Trotz steigender Investitionen: Datenschutzprobleme bleiben

Und auch das hat die Studie ergeben. Unternehmen investieren immens in IT-Sicherheit und Datenschutz. Zum einen, um sich vor aktuellen Cyberbedrohungen zu schützen, zum anderen um Compliance-Anforderungen zu genügen. Bei ihrer Selbsteinschätzung gehen 76 % der Datenschutzbeauftragten davon aus, dass ihr Unternehmen aufgrund dieser Anstrengungen über eine ausgereifte wie wirksame Sicherheitsstrategie verfügt. Die Analysten von Forrester ziehen einen etwas anderen Schluss:

„Die Realität ist, dass Firmen enorme Summen in individuelle Produkte und Technologien gesteckt haben, statt sich mit einer umfassenden Datenschutzstrategie auseinanderzusetzen. Unternehmen begehen eine Fehleinschätzung, wenn sie Investitionssummen mit einem potenziell erreichten Sicherheitslevel gleichsetzen.“

Ein fragmentierter Ansatz bei Datenschutz und Datensicherheit ist zwar nicht unüblich, hat aber erhebliche Schwachstellen. Zudem sorgt die Methode nicht selten für neuerliche Herausforderungen. 96 % der Befragten versprechen sich deshalb einiges von einem integrierten Ansatz über eine einzige Plattform:

• Datenschutzverletzungen und Cyberangriffe schneller als bisher aufdecken
• Regulatorischen Anforderungen entsprechen
• Ressourcen freisetzen, um Richtlinien auszuarbeiten und umzusetzen sowie dann die notwendigen Prozesse zu etablieren
• Entsprechende Abwehrmaßnahmen ergreifen können

In den folgenden Bereichen – so die Studie – kämpfen Unternehmen weiterhin mit Datenschutz- und Datensicherheitsproblemen:

• 62 % der Befragten wissen nicht wo genau in ihrem Unternehmen sich sensible, unstrukturierte Daten befinden
• 66 % sind nicht in der Lage ihre Daten zufriedenstellend zu klassifizieren
• 59 % verzichten darauf ein Modell der minimalen Rechtevergabe umzusetzen
• 63 % überwachen ihre Daten nicht und erhalten folglich keinerlei Benachrichtigungen bei potenziellen Datenschutzvorkommnissen
• 93 % kämpfen innerhalb ihres aktuellen IT-Sicherheitsansatzes permanent mit technischen Herausforderungen

Einzelne Komponenten und Produkte bieten möglicherweise einen ausreichenden Schutz vor spezifischen Bedrohungen. Werden solche Produkte aber ausschließlich taktisch eingesetzt, unterminimieren sie eher einen übergreifenden Datenschutzansatz. Ransomware ist ein gutes Beispiel. Sie macht sich interne Schwachstellen genauso zunutze wie ein böswillig agierender Insider oder ein Hacker, der ein Insiderkonto kompromittiert hat.

Der Grund sind allen drei Fällen fehlende Kontrollen was den Datenlevel angeht oder zu weit gefasste Zugriffsberechtigungen. Unternehmen ergreifen Maßnahmen meist kurzfristig und setzen taktische Tools ein, die sich beispielsweise gezielt gegen Ransomware richten. Sinnvoller ist es nach Ansicht der Analysten in einen umfassenden Sicherheitsansatz zu investieren, der sowohl vor Ransomware schützt als auch den Datenschutzstandard optimiert. Und Herzstück jedes Unternehmens sind unstrukturierte Daten in denen das Wissenskapital der Firma gespeichert ist.

Ein reaktiver Ansatz in punkto Datenschutz ist inzwischen zur Norm geworden. Viele unterschiedliche Bedrohungen und genauso viele verschiedene Sicherheits-Tools. Ein enormer Kostenfaktor. Die Analysten von Forrester bilanzieren:

„Es ist an der Zeit einen disparaten Ansatz zu überdenken, der mit immensen Kosten verbunden ist. Letzen Endes bleibt es bei einer fragmentierten, zusammengeschusterten Lösung für das Herzstück des Datenschutzes.“

Beinahe 90 % der Befragten wünschen sich denn auch eine einheitliche, übergreifende Datenschutzplattform. Zu den genannten Schlüsselfaktoren gehören für die Befragten:

• Datenklassifizierung, Analytiken und die Möglichkeit Berichte zu erstellen – das wünschen sich 68 % der Befragten
• Den geltenden Datenschutzrichtlinien und Compliance-Anforderungen entsprechen – das ist für 76 % der Befragten eines der wichtigsten Kriterien
• Managementfunktionen auf einer Plattform zusammenführen – das wollen 70 % der Befragten
• Abweichende, anomale Aktivitäten erkennen und besser darauf reagieren können – das ist für 66 % entscheidend.

Forrester fasst die Ergebnisse wie folgt zusammen:

„Eine einheitliche, übergreifende Plattformlösung bietet Unternehmen nicht nur eine robuste Datensicherheits- und Datenschutzgrundlage in technologischer Hinsicht. Sie schafft vielmehr die Bedingungen für einen grundsätzlichen höheren Sicherheitslevel und damit einen unternehmerischen Mehrwert.“