Aktuelles, Branche, Veranstaltungen - geschrieben von dp am Dienstag, Oktober 11, 2011 15:32 - noch keine Kommentare
Auf die Reihenfolge kommt es an: Die vier Säulen der Datensicherheit
Entsorgung alter Datenträger muss genauso Datensicherheitsanforderungen genügen wie die vorhergehende Nutzung
[datensicherheit.de, 11.10.2011] Über die vier Säulen der Datensicherheit referierte Markus Sattel, Leiter Produktmanagement der Martin Yale International GmbH, auf dem „Forum Blau“ der „it-sa 2011“ am Eröffnungstag:
Die Medien berichteten regelmäßig über eklatante Datenschutz-Verletzungen – als Beispiel seien Funde etwa von Patientenakten im Altpapier zu nennen. Solche Beispiele zeigten, dass das Schadens-Risiko wachse, sowohl für die betroffenen Patienten, Kunden oder Mandanten als auch für die Verursacher. Für Letztere bestehe noch ein bedeutendes Kosten-Risiko – in Form von Strafgeldern, Schadensregulierungen oder quantifizierbarem Wissensverlust (falls der Abfluss bzw. die Aufgabe von Informationsmaterial unbeabsichtigt erfolgt).
Allgemein sei bis heute die Entsorgung aller Datenträger im Alltag ein Problem. Bei den Anwendern sei oft eine Fehleinschätzung hinsichtlich der anhaltenden Schutzwürdigkeit zu bemerken. Mit dem Entlassen alter Datenträger aus der betrieblichen Anwendung verschwänden diese gewissermaßen aus dem IT-Schutzbereich.
Markus Sattel: Datensicherheit beginnt beim Blatt Papier DIN A4.
Um dieser gefährlichen, fahrlässigen Entwicklung zu begegnen, bedürfe es der umfassenden Risikoerkennung und -analyse, wozu die betriebsinternen Strukturen und Prozesse untersucht werden müssten. Im Betrieb habe Datensicherheit mithin vier Säulen: 1. Richtlinien (policy), 2. Prozesse (processes), 3. Verantwortlichkeit (people) und 4. Lösungen/Hilfsmittel (problem solving) – anhand der vier entsprechenden englischen Begriffe leicht als „4p“ zu merken. Die Lösungen und Hilfsmittel stünden ganz bewusst erst am Ende, so Sattel – man dürfe nie den zweiten vor dem ersten Schritt machen. Es gelte also, immer zuerst die Richtlinien (u.a. gesetzliche Vorgaben, vertragliche Regelungen, Datendefinitionen und Zugriffsrechte), Prozesse (Ausnutzung, Vollständigkeit und aktueller Stand beschriebener Datenträger etc.) sowie die Verantwortlichkeit (z.B. Wer macht was, wann, wo, wie und womit?) zu klären, bevor konkrete Lösungen ausgewählt werden.
Datensicherheits-Audit in vier Phasen
Ein Datensicherheits-Audit umfasse dementsprechend vier Phasen: 1. Die Bedarfsanalyse (assessment), 2. die Gefährdungsanalyse (vulnerability analysis), 3. die Implementierung (implementation) und 4. den konkreten Schutz (protection).
Sattel machte deutlich, dass jeder Datenträger – angefangen beim simplen Blatt Papier DIN A4 – sowohl in der regulären Nutzungsphase als auch in der sich anschließenden Nachnutzungsphase unter Datensicherheitsaspekten zu betrachten sei. In der Praxis nehme nach der Aussonderung von Datenträgern das Schutz-Interesse leider eher ab. Als praktisches Beispiel führte er ein Druck-/Repro-Center in einem Unternehmen auf. Da gebe es regelmäßig fehlerhafte Ausdrucke bzw. Kopien, blieben überzählige Exemplare liegen, werde gar das zum Scannen verwendete Original zurückgelassen. In diesen Fällen sei die Gefahr fremder Einsichtnahme sehr groß – wie auch der missbräuchlichen Verwendung.
Bedarfsgerechte Entsorgung vorsehen
Bei jedem Datenträger, ob Papier oder Film, Platte oder Band, ob optischer, magnetischer bzw. elektronischer Speicher – in jedem Fall sei für die spätere Aussonderung eine bedarfsgerechte Entsorgung hinsichtlich des Datenschutzes bzw. der Datensicherheit – vorzusehen.
Aktuelles, Experten - Jul 25, 2024 16:32 - noch keine Kommentare
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
weitere Beiträge in Experten
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
- Digitale Pandemie: Chris Dimitriadis kommentiert IT-Sicherheitsvorfälle vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren