Aktuelles, Branche, Veranstaltungen - geschrieben von dp am Dienstag, Oktober 11, 2011 15:32 - noch keine Kommentare
Auf die Reihenfolge kommt es an: Die vier Säulen der Datensicherheit
Entsorgung alter Datenträger muss genauso Datensicherheitsanforderungen genügen wie die vorhergehende Nutzung
[datensicherheit.de, 11.10.2011] Über die vier Säulen der Datensicherheit referierte Markus Sattel, Leiter Produktmanagement der Martin Yale International GmbH, auf dem „Forum Blau“ der „it-sa 2011“ am Eröffnungstag:
Die Medien berichteten regelmäßig über eklatante Datenschutz-Verletzungen – als Beispiel seien Funde etwa von Patientenakten im Altpapier zu nennen. Solche Beispiele zeigten, dass das Schadens-Risiko wachse, sowohl für die betroffenen Patienten, Kunden oder Mandanten als auch für die Verursacher. Für Letztere bestehe noch ein bedeutendes Kosten-Risiko – in Form von Strafgeldern, Schadensregulierungen oder quantifizierbarem Wissensverlust (falls der Abfluss bzw. die Aufgabe von Informationsmaterial unbeabsichtigt erfolgt).
Allgemein sei bis heute die Entsorgung aller Datenträger im Alltag ein Problem. Bei den Anwendern sei oft eine Fehleinschätzung hinsichtlich der anhaltenden Schutzwürdigkeit zu bemerken. Mit dem Entlassen alter Datenträger aus der betrieblichen Anwendung verschwänden diese gewissermaßen aus dem IT-Schutzbereich.
Markus Sattel: Datensicherheit beginnt beim Blatt Papier DIN A4.
Um dieser gefährlichen, fahrlässigen Entwicklung zu begegnen, bedürfe es der umfassenden Risikoerkennung und -analyse, wozu die betriebsinternen Strukturen und Prozesse untersucht werden müssten. Im Betrieb habe Datensicherheit mithin vier Säulen: 1. Richtlinien (policy), 2. Prozesse (processes), 3. Verantwortlichkeit (people) und 4. Lösungen/Hilfsmittel (problem solving) – anhand der vier entsprechenden englischen Begriffe leicht als „4p“ zu merken. Die Lösungen und Hilfsmittel stünden ganz bewusst erst am Ende, so Sattel – man dürfe nie den zweiten vor dem ersten Schritt machen. Es gelte also, immer zuerst die Richtlinien (u.a. gesetzliche Vorgaben, vertragliche Regelungen, Datendefinitionen und Zugriffsrechte), Prozesse (Ausnutzung, Vollständigkeit und aktueller Stand beschriebener Datenträger etc.) sowie die Verantwortlichkeit (z.B. Wer macht was, wann, wo, wie und womit?) zu klären, bevor konkrete Lösungen ausgewählt werden.
Datensicherheits-Audit in vier Phasen
Ein Datensicherheits-Audit umfasse dementsprechend vier Phasen: 1. Die Bedarfsanalyse (assessment), 2. die Gefährdungsanalyse (vulnerability analysis), 3. die Implementierung (implementation) und 4. den konkreten Schutz (protection).
Sattel machte deutlich, dass jeder Datenträger – angefangen beim simplen Blatt Papier DIN A4 – sowohl in der regulären Nutzungsphase als auch in der sich anschließenden Nachnutzungsphase unter Datensicherheitsaspekten zu betrachten sei. In der Praxis nehme nach der Aussonderung von Datenträgern das Schutz-Interesse leider eher ab. Als praktisches Beispiel führte er ein Druck-/Repro-Center in einem Unternehmen auf. Da gebe es regelmäßig fehlerhafte Ausdrucke bzw. Kopien, blieben überzählige Exemplare liegen, werde gar das zum Scannen verwendete Original zurückgelassen. In diesen Fällen sei die Gefahr fremder Einsichtnahme sehr groß – wie auch der missbräuchlichen Verwendung.
Bedarfsgerechte Entsorgung vorsehen
Bei jedem Datenträger, ob Papier oder Film, Platte oder Band, ob optischer, magnetischer bzw. elektronischer Speicher – in jedem Fall sei für die spätere Aussonderung eine bedarfsgerechte Entsorgung hinsichtlich des Datenschutzes bzw. der Datensicherheit – vorzusehen.
Aktuelles, Experten - Nov 12, 2024 12:21 - noch keine Kommentare
Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
weitere Beiträge in Experten
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
Aktuelles, Branche - Nov 13, 2024 12:21 - noch keine Kommentare
Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe
weitere Beiträge in Branche
- Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen
- Ymir: Kaspersky warnt vor neuentdeckter Ransomware
- Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
- JFrog-Analyse zur Gefährdung Maschinellen Lernens: Kritische Schwachstellen in ML-Frameworks entdeckt
- Sophos X-Ops analysieren Cyber-Attacken per Quishing
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren