Datenschutzverletzungen vermeiden: IT-Hygiene in vier Schritten

Grundlagen für IT-Sicherheit

Von unserem Gastautor Gerald Lung, Country Manager DACH bei Netwrix Corporation

[datensicherheit.de, 26.11.2018] Es vergeht kein Tag ohne Datenschutzverletzungen. Die weltweite Datenbank Breach Level Index von Gemalto, die Datenverstöße verfolgt und nach Art der gefährdeten Daten, der Zugriffsmethode und der Art des Verstoßes analysiert, visualisiert eindrucksvoll, wie viele Datenschutzverletzungen jeden Tag gemeldet werden. Erfahrungsgemäß basieren zahlreiche Verstöße auf ähnlichen Problemen: schlecht konfigurierte Hardware oder Software, die nicht den neuesten Patch erhalten hat, sowie umfangreiche Zugriffsrechte auf Daten für Benutzer, die nur einen Bruchteil dieser Rechte für ihre Arbeit benötigen würden. Erschreckend oft lassen sich diese Probleme auf eine schlechte IT-Hygiene zurückführen.

Eine gute IT-Hygiene ist eine Reihe von Verfahren in der Informationssicherheit, um Daten sicher und gut geschützt zu halten. Dazu gehören einerseits Sicherheitsrichtlinien, die es dem Unternehmen ermöglichen, seine wichtigsten Systeme und Daten vor Angriffen von außen, wie beispielsweise Malware sowie vor Insider-Bedrohungen, wie beispielsweise menschlichen Fehlern seiner Mitarbeiter, zu schützen. Andererseits fallen auch die Praktiken darunter, die Benutzer anwenden, um sensible Daten organisiert und sicher zu halten. In der Praxis leidet die Qualität der IT-Hygiene allerdings oft darunter, dass das Budget nicht ausreicht, um der wachsenden Komplexität der IT-Umgebung und der Bedrohungslandschaft gerecht zu werden.

Die Folgen einer schlechten IT-Hygiene werden schnell unterschätzt

Unternehmen müssen rentabel arbeiten, aber der jüngste Datenvorfall von Experian, eine der drei größten US-amerikanischen Wirtschaftsauskunftei, zeigt, wie eine Budgetkürzung grundlegende Arbeitsabläufe für Angriffe anfällig macht. IT-Teams fehlen dann oft auch die Tools und Schulungen, um Risiken einzuschätzen, und ihre Geschäftspartner sind nicht immer in der Lage, kritische Assets zu identifizieren, die besonderen Schutz benötigen. Zum Beispiel lässt sich leicht vorstellen, dass eine Datei, die mit dem Namen „Notiz“ in einer SharePoint-Website versteckt ist, tatsächlich eine Tabelle mit sensiblen Kundeninformationen ist, die ein Mitarbeiter abgelegt hat, um auf die Daten schneller Zugriff zu haben. Die Sicherheitsteams haben in der Regel keine Chance, solche Daten richtig einzuschätzen, es sei denn, jemand sagt es ihnen. Genau solche Kommunikationslücken spielen böswilligen Angreifern in die Hände.

Bild: Netwrix

Gerald Lung, Country Manager DACH bei Netwrix Corporation

Die wirtschaftlichen Folgen von Sicherheitsverletzungen durch den Vertrauensverlust der Kunden, den Datenmissbrauch, Identitätsdiebstahl und andere Szenarien ist für viele Unternehmen schnell kritisch. Dazu kommen zahlreiche staatliche und branchenspezifische Vorschriften, die mit hohen Geldbußen und andere Strafen geahndet werden, wenn verschiedene Arten von sensiblen Daten nicht ordnungsgemäß geschützt werden; die europäische Datenschutzgrundverordnung ist dafür das aktuellste Beispiel.

Die IT-Hygiene gerät schnell in eine Abwärtsspiral: Umso schlechter der Zustand ist, umso aufwendiger wird die Korrektur, umso eher leidet die Hygiene und verschlechtert sich noch mehr, was eine Korrektur noch weiter erschwert. Für viele Sicherheitsteams ist die kritische Frage, wo anfangen soll, den Zustand zu verbessern und den Kreislauf zu durchbrechen. Vier Schritte sind notwendig, um die IT-Hygiene nachhaltig zu verbessern.

1. Die richtigen Daten zur Evaluation die IT-Hygiene sammeln. Zunächst müssen die Risiken im eigenen Unternehmen bewertet werden, dabei ist der häufigste Fehler, sich auf Annahmen oder Meinungen zu verlassen. Annahmen und Meinungen mögen manchmal plausibel klingen, müssen aber kritisch betrachtet werden, weil ihnen in der Regel belastbare und systematische Beobachtungen fehlen. Ein guter Ansatzpunkt sind die Sicherheitssysteme an der Peripherie des Netzwerks, die heutzutage in den meisten Unternehmen bereits stark ausgeprägt sind und nützliche Daten erfassen. Diese Informationen lassen sich nutzen, um Angriffspunkte zu identifizieren und einen groben Überblick über die Zugriffsberechtigungen innerhalb des Netzwerkes zu bekommen.
2. Die Bereinigung auf Grundlage des Risikos priorisieren. Diese Daten sind belastbar und erfahrungsgemäß offenbaren sie bei genauer Betrachtung schnell, welche Prioritäten hervorstechen. Allerdings sollte diese Informationslage nur die erste Grundlage sein, um die Risiken zu bewerten. Es wird oft versäumt, auch Führungs- und Fachkräfte aus anderen Geschäftsbereichen des Unternehmens einzubeziehen, die oftmals eine ganz andere Vorstellung als die IT davon haben, wo sich ihre entscheidenden Vermögenswerte des Unternehmens befinden. Möglicherweise wird der Prozess an dieser Stelle schwierig: Die Beteiligten erklären oftmals schnell bei jedem Ordner, dass ein ungehinderter Zugang unverzichtbar sei und an dieser Stelle zeigt sich in der Regel der Wert der zuvor gesammelten Daten. Eine gute Vorbereitung zeigt in der Regel, wann und wie ein Nutzer auf bestimmte Daten Zugriff erhalten hat und wie oft er diese Rechte tatsächlich benötigt.
3. Die notwendigen Wiederholungen einplanen. Die IT-Systeme und -Infrastruktur eines Unternehmens wandelt sich kontinuierlich und bereits kleine Änderungen an einer Konfigurationsdatei, der vorhandenen Hardware oder bei den Aufgaben sowie Zusammensetzung der Mitarbeiter kann bereits große Auswirkungen auf die Datensicherheit haben. Das bedeutet, dass die IT-Hygiene regelmäßig evaluiert werden muss und eigentlich ein kontinuierlicher Prozess ist, der wiederholt, termingerecht und so weit wie möglich automatisiert durchgeführt werden muss. Deshalb sollte der Prozess gleich an die erstmalige Bereinigung angeschlossen werden, ehe sie wieder neu begonnen werden muss.
4. Das Gespräch über die IT-Hygiene pflegen. Die CIOs und CISOs müssen über die Risiken so sprechen, dass sie von allen verstanden werden. Oftmals wird das Thema von anderen Vorstandsmitgliedern und der Geschäftsführung nur unzureichend verstanden, weil ihnen die notwendigen Vorkenntnisse fehlen. Das bedeutet allerdings, dass sie die Bedeutung des Anliegens und der notwendigen Investitionen nur unzureichend überblicken können. Deshalb kann lohnt es sich, sie frühzeitig zu coachen, damit sie der Ausführung des CISOs ausreichend folgen und die Folgen ihrer Entscheidung abschätzen können. Das ist meistens der Punkt, an dem sich fast jedes Unternehmen noch stark verbessern kann.

Die IT-Sicherheit muss ständig nach den effizientesten und geeignetsten Wegen suchen, um die Risiken ihres Unternehmens zu minimieren, und es gibt keinen besseren Ort, um damit zu beginnen, als die grundlegende IT-Hygiene sicherzustellen.

Weitere Informatione zum Thema:

datensicherheit.de, 09.11.2018
Datensichtbarkeit: Nachholbedarf beim Unterbinden unbefugter Zugriffe

datensicherheit.de, 11.10.2018
Netwrix-Studie: 73 Prozent der deutschen Unternehmen scheitern daran Sicherheitsvorfälle effektiv zu entdecken

datensicherheit.de, 13.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt