Aktuelles, Branche - geschrieben von dp am Mittwoch, November 3, 2021 20:20 - noch keine Kommentare
Datensicherheit: 10 Tipps von Pure Storage zur Einhaltung
„Best Practices“ als Tipps komprimiert für die Daten-Compliance, um Ransomware einzudämmen
[datensicherheit.de, 03.11.2021] Offensichtlich können es unzureichende Richtlinien zur Einhaltung von Datensicherheit Ransomware-Angreifern erleichtern, Daten von Unternehmen als Druckmittel zu benutzen – einige Angreifer gehen inzwischen zu erpresserischen Taktiken über: Anstatt Dateien einfach nur zu verschlüsseln, drohen sie damit, die Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. So bringen sie das geschädigte Unternehmen in eine Lage, in der Geldbußen sowie eine Rufschädigung seiner Marke drohen. Pure Storage betont in einer aktuellen Stellungnahme: „Aus diesem und vielen anderen Gründen sind die Einhaltung von Vorschriften und die Informationssicherheit eng miteinander verwoben.“ Die Einhaltung von Datenschutz-Bestimmungen werde damit zu einer noch wichtigeren Säule jeder Sicherheitsstrategie. Die nachfolgende kurze Liste von Pure Storage zeigt demnach „Best Practices“, also bewährte Maßnahmen auf, welche Unternehmen helfen sollen, die Vorschriften einzuhalten und Ransomware-Kriminellen aus dem Weg zu gehen.
1. Tipp: Erstellen eines Compliance-Frameworks
„Ein Rahmenwerk für die Sicherheit oder die Reaktion auf Vorfälle erklärt, wie man Vorfälle erkennt, darauf reagiert und sich davon erholt.“ In ähnlicher Weise biete ein Compliance-Framework eine Struktur für alle „Compliance“-Vorschriften, welche sich auf ein Unternehmen beziehen, „z.B. wie interne Compliance- und Datenschutzkontrollen zu bewerten sind“. Ein solches Rahmenwerk helfe auch bei der Identifizierung von Daten, z.B. von personenbezogenen oder sensiblen Daten, welche strengere Sicherheitsprotokolle erforderten.
2. Tipp: Definieren von Richtlinien darüber, welche Daten gesammelt werden und warum
Dieser Schritt sei Teil der Erstellung eines Rahmenwerks. Es gebe viele Gründe, „das Was und das Warum der Datenerfassung zu dokumentieren“. Die Aufsichtsbehörden könnten verlangen, dass solche Richtlinien festgelegt werden – „wenn die Daten von Verbrauchern stammen, können sogar noch strengere Anforderungen an die Beschreibung der Erfassungsrichtlinien gestellt werden (siehe Nr. 4)“.
3. Tipp: Erstellen von Datenschutzrichtlinien
„Information der Kunden darüber, welche Daten gesammelt werden, wofür sie verwendet werden und wie und wie lange sie gespeichert werden.“ Kunden sollten auch drüber informiert werden, wie sie Zugang zu ihren persönlichen Daten erhalten oder „vergessen“ werden können, „d.h. wie ihre Daten aus den Systemen entfernt werden“.
4. Tipp: Verstärken des Engagements für die Offenlegung
„Öffentlich zugängliche Datenschutzrichtlinien weitergeben, diese veröffentlichen und pflegen.“
5. Tipp: Auf dem Laufenden über die neuesten gesetzlichen Bestimmungen, die sich auf die „Compliance“ auswirken, bleiben
Ein „Privacy by Design“-Betriebsmodell könne helfen, mit den sich ständig ändernden Vorschriften Schritt zu halten und sich an sie anzupassen. „Das bedeutet, dass Sie den Datenschutz in die Entwicklung und den Betrieb von IT-Systemen, Infrastrukturen und Geschäftspraktiken einbeziehen, anstatt zu versuchen, ihn nachträglich einzubauen.“
6. Tipp: Richtlinien zur Aufbewahrung und Löschung von Daten festlegen
Dieser Schritt sei von entscheidender Bedeutung. „Aufbewahrungszeitpläne legen fest, wie lange Daten auf einem System gespeichert werden, bevor sie gelöscht werden, und die Zeitpläne können je nach Branche variieren.“ Ein regelkonformes, ausgereiftes und sicheres Unternehmen zeichne sich dadurch aus, dass es solide Richtlinien für die Datenaufbewahrung und -löschung entwickele, die ständig überprüft würden.
7. Tipp: Ein Datenverschlüsselungsprotokoll wählen
„Festlegen, welche Art von Datenverschlüsselung eingesetzt werden soll und wo – vor Ort, in der ,Cloud‘ etc.“ Je nachdem, wo die Daten gespeichert sind, könnten die Entscheidungen unterschiedlich ausfallen.
8. Tipp: Mit dem CISO über Netzwerkkontrollen sprechen
Da „Compliance“ eng mit Sicherheit zusammenhänge, sollten Unternehmen ihren CISO in Gespräche über die Konfiguration von Netzwerkgeräten, die Zugriffskontrolle mit minimalen Rechten, die Ereignisprotokollierung und die mehrstufige Authentifizierung miteinbeziehen.
9. Tipp: Anonymisierung sensibler Daten
Falls erforderlich, sollten Daten anonymisiert werden, um persönliche Identifizierungsdaten durch Maskierung, Tokenisierung, Hashing oder Anonymisierung zu entfernen.
10. Tipp: Dokumentieren, wie alle von einer Sicherheitsverletzung betroffenen Parteien benachrichtigen werden
Entsprechend der DSGVO seien solche Benachrichtigungen obligatorisch – „und Unternehmen möchten auf jeden Fall, dass der Benachrichtigungsprozess reibungslos abläuft“. Es gelte festzulegen, „wer für die Benachrichtigung verantwortlich ist, wie man das Problem löst und was man tun, um weitere Vorfälle zu verhindern“.
Fazit zu den Tipps von Pure Storage
Die Nutzung von Daten sei mit immensen Möglichkeiten verbunden, aber auch mit Verantwortung: „Unternehmen, die an die Weisheit ,Daten sind das neue Öl‘ glauben, müssen auch die ,Compliance‘ berücksichtigen, denn anderenfalls gehören die Daten vielleicht nicht mehr lange dem Unternehmen.“
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren