Daten sind das neue Gold. Der Wert sensibler Informationen und personenbezogener Daten mag nicht so groß erscheinen, aber ihr Verlust ist eine der kostspieligsten Katastrophen für alle Arten von Organisationen – Unternehmen, Regierungen und andere Institutionen. Das Fehlen eines angemessenen Datenschutzes ist eine Fahrlässigkeit, auf die Cyberkriminelle auf der Suche nach einer Möglichkeit, sensible Daten in die Hände zu bekommen warten. Um diese dann an andere kriminelle Organisationen für verschiedene Zwecke zu verkaufen.
Zusätzlich zu den direkten finanziellen Folgen, die sich aus Datenschutzverletzungen ergeben können, müssen Unternehmen, die ihnen zum Opfer fallen, auch mit Reputationsverlusten rechnen und hohe Geldstrafen an Aufsichtsbehörden für die Nichteinhaltung von Datenschutzgesetzen, Datenschutzgesetzen und anderen Datenschutzvorschriften wie der DSGVO (EU Datenschutzgrundverordnung ) der Europäischen Union für EU-Bürger, dem HIPAA (Health Insurance Portability and Accountability Act), dem California Consumer Privacy Act (CCPA) und anderen zahlen.
Alles in allem besteht eines der Hauptanliegen der Cybersicherheit heute darin, zu verhindern, dass personenbezogene Daten von Betroffenen in die Hände von Hackern fallen.
Im Folgenden finden Sie die 5 grundlegenden Regeln, die unserer Meinung nach befolgt werden sollten, um die Datensicherheit und den Datenschutz in Ihrem Unternehmen zu gewährleisten.
Verhindern Sie Datenverluste dort, wo sie am häufigsten auftreten
Wenn wir uns auf die sensationellen Informationen in den Medien konzentrieren würden, könnte man leicht glauben, dass der Hauptgrund für Datenverluste Cyberangriffe sind, die von erfahrenen, professionellen Black-Hat-Hackern durchgeführt werden. Dies entspricht jedoch bei weitem nicht der Wahrheit. Die meisten Datenschutzverletzungen sind auf menschliches Versagen zurückzuführen, nicht auf böswillige Aktivitäten.
Wenn wir die Gründe für die größten historischen Fälle analysieren, zum Beispiel auf der Grundlage der in Wikipedia gesammelten Daten, sind die beiden häufigsten Gründe „gehackt“ und „mangelhafte Sicherheit“. Die Kategorie mangelhafte Sicherheit bezieht sich auf Fälle, in denen die Daten beispielsweise unverschlüsselt in einer ungeschützten Datenbank verfügbar waren, auf die ohne jegliche Authentifizierung zugegriffen werden konnte. Diese Daten warteten nur darauf, entwendet zu werden.
Wenn wir die Liste nach der Anzahl der Datensätze abwärts gehen, sehen wir immer mehr Fälle von versehentlicher Veröffentlichung, verlorenen/gestohlenen Medien und Insider-Jobs. Auch wenn die größten Sicherheitsverletzungen wie die von Capital One auf vorsätzliche Handlungen zurückzuführen sind, gehen die meisten Daten aufgrund von Missgeschicken verloren, die sich leicht verhindern lassen, indem automatisierte Schutzmaßnahmen eingeführt werden, die nicht gegen Hackerangriffe, sondern gegen Gedankenlosigkeit schützen.
Fazit: Achten Sie bei der Festlegung Ihrer Sicherheitsstrategie darauf, dass Sie potenziell riskante autorisierte Zugriffe mindestens genauso gut verhindern können wie den Schutz vor absichtlichen unbefugten Zugriffen. Erteilen Sie Berechtigungen nur dort, wo es notwendig ist.
Berücksichtigen Sie alle möglichen Quellen für Datenverluste
Heutzutage können wir uns kein Unternehmen mehr vorstellen, das nicht auf allen Endgeräten eine Antiviren-/Antimalware-Lösung einsetzt. Diese Art des Schutzes ist schon lange zur Norm geworden. Wir können uns auch kein Netzwerk ohne Firewall vorstellen, und fast jedes Unternehmen klärt seine Mitarbeiter über die Gefahren von Phishing auf. Dennoch gibt es immer noch Unternehmen und Institutionen, die nicht über diese grundlegenden Schutzmethoden hinausgehen.
Die beiden Bereiche, die von vielen Unternehmen nicht als potenzielle Quellen für Datenlecks angesehen werden, sind Webschnittstellen und typische Endpunktaktivitäten wie Chatten, E-Mailen, Posten in sozialen Medien oder die Verwendung eines USB-Sticks, um Daten zu verschieben. Viele Unternehmen wenden sehr strenge Regeln für den Informationszugang an und kontrollieren dennoch nicht, welche Daten über Messaging-Apps, E-Mails und angeschlossene Geräte ausgetauscht werden. Ohne vorbeugende Maßnahmen kann ein unvorsichtiger interner Benutzer leicht eine Tragödie verursachen, indem er sensible Daten an die falsche Person weitergibt oder sie versehentlich in einen Kommentar auf LinkedIn einfügt. Ohne ausreichenden Datenschutz kann ein böswilliger interner Benutzer leicht sensible Daten an seine private E-Mail-Adresse senden.
Fazit: Wenn Sie sich vor Datenlecks durch Phishing, offene Netzwerk-Ports, ungesicherte IP-Adressen, Viren und Trojaner schützen, sollten Sie anderen potenziellen Quellen von Datenlecks wie potenziell unverantwortlichen und versehentlichen Aktivitäten ebenso viel Aufmerksamkeit schenken.
Überwachen Sie alle potenziellen Quellen für sensible Informationen
Sensible Informationen sind nicht immer in einer einzigen Quelle konzentriert. Es ist zwar nicht sehr wahrscheinlich, dass Sie Kreditkartennummern in Textdateien auf den Festplatten Ihrer Mitarbeiter herumliegen haben, aber das ist sehr viel wahrscheinlicher, wenn es um andere Fälle der Verarbeitung personenbezogener Daten geht, die genauso unter Schutz stehen wie diese Kreditkartennummern – selbst so einfache wie das Geburtsdatum Ihrer Nutzer. Sie können immer noch eine saftige Geldstrafe an eine Datenschutzbehörde zahlen, wenn Sie Sozialversicherungsnummern und andere Arten von personenbezogenen Daten verlieren, und Sie können personenbezogene Daten nicht löschen, wenn ihr Besitzer das Recht hat, vergessen zu werden.
Vielen Unternehmen ist nicht bewusst, dass es beim derzeitigen Entwicklungsstand der Cybersicherheit Technologie möglich ist, solche sensiblen Informationen allein durch die Art und Weise, wie sie aufgebaut sind, zu identifizieren. Mit einer Datenprofilierungslösung, die sensible Daten erkennt, bevor sie über einen unsicheren Kanal wie z. B. soziale Medien gesendet werden, können Sie den Schutz der Privatsphäre umsetzen. Ihre Benutzer sind vielleicht ahnungslos, was den Online-Datenschutz angeht, und wissen nicht, dass bestimmte Daten beispielsweise als sensible Gesundheitsinformationen gelten oder biometrische Daten darstellen, aber eine intelligente IT-Lösung wird diesen Fehler nicht machen.
Fazit: Gehen Sie nicht davon aus, dass sensible Informationen nur in gut identifizierten Quellen enthalten sind. Nutzen Sie moderne Lösungen, um sie nicht anhand des Speicherorts, sondern anhand des Inhalts selbst zu identifizieren.
Vorbeugen ist besser als heilen – verwenden Sie Verschlüsselung, wo immer möglich
Während vor 20 Jahren die Verschlüsselung von Informationen als seltene Erscheinung galt und nur mit der Übertragung von Geheimnissen in Verbindung gebracht wurde, leben wir heute im Zeitalter der Datenübertragbarkeit, in dem fast jede Datenübertragung verschlüsselt ist. So verwenden beispielsweise die meisten Webseiten, die Sie heute besuchen, SSL/TLS (HTTPS)-Verbindungen, die garantieren, dass niemand die Kommunikation zwischen Ihrem Browser und der Website oder Webanwendung abhören kann. Auch E-Mail-Server kommunizieren miteinander, und viele Instant-Messaging-Plattformen setzen Verschlüsselung ein und ermöglichen es Ihnen sogar, Nachrichten mit begrenzter Speicherdauer zu versenden, indem sie Ihnen die Option bieten, diese nach einem bestimmten Zeitraum automatisch zu löschen.
Obwohl alle diese Mechanismen zur Verfügung stehen, werden viele von ihnen nicht durchgesetzt. Nicht jede Website erlaubt nur sichere Verbindungen, viele ermöglichen immer noch eine unverschlüsselte Datenübertragung. Der Inhalt von E-Mails ist fast nie verschlüsselt, und es gibt bekannte Messaging-Plattformen, die sich bei der Verschlüsselung auf Kommunikationskanäle Dritter verlassen. Daher sollten Sie Verschlüsselung durchsetzen, wo immer Sie können, insbesondere wenn Sie vermuten, dass sensible Informationen in Ihrer Datensammlung enthalten sein könnten.
Fazit: Erzwingen Sie Verschlüsselung, wo immer Sie können. Selbst wenn Sie sichere Kanäle verwenden, schadet eine zusätzliche Datenverschlüsselung niemandem und bietet Ihnen eine zusätzliche Schutzschicht.
Betrachten Sie Sicherheit als Investition, nicht als Belastung
All die zusätzlichen Sicherheitsmaßnahmen mögen wie eine Last erscheinen. Früher brauchte man nur gute Schlösser an der Tür, und jetzt muss man auch noch an all diese potenziellen Quellen für Datenlecks denken. Viele Unternehmen sind nicht glücklich darüber, viel Geld für Cybersicherheit auszugeben, und beschließen, diese Ausgaben zu begrenzen und ein kalkuliertes Risiko einzugehen. Doch genau solche Unternehmen stehen auf den Listen der größten Datenschutzverletzungen.
Einer der wichtigsten Aspekte der Sicherheit, nicht nur des Datenschutzes und der Datensicherheit, ist Ihre Einstellung. Wenn Sie die Cybersicherheit als eine Investition betrachten, wird sie sich auszahlen, denn sie hilft Ihnen, unvorhergesehene Kosten zu vermeiden, die Ihr Unternehmen in den Ruin treiben könnten.
Fazit: Beginnen Sie Ihre Cybersicherheitsinitiativen mit der richtigen Einstellung, indem Sie Sicherheitsmaßnahmen wie Sicherheitsgurte behandeln – als eine Investition, die Ihnen helfen wird, potenziell tragische Konsequenzen zu vermeiden.
Schützen Sie sich mit Endpoint Protector
Um alle in den obigen Empfehlungen erwähnten Bedenken auszuräumen, benötigen Sie verschiedene Arten von Lösungen oder externen Dienstleistern. Viele dieser Bedenken, vor allem jene, die sich auf versehentliche Datenverluste durch unverantwortliche oder böswillige Aktivitäten interner Benutzer beziehen, lassen sich jedoch durch den Einsatz von Endpoint Protector ausräumen, das Ihnen helfen kann, potenzielle Informationsverluste über verbundene Geräte und moderne Kommunikationskanäle zu kontrollieren. Darüber hinaus kann er Ihnen helfen, persönliche Informationen zu identifizieren, die in lokalen Datenquellen gespeichert sind.
Mit dem Endpoint Protector können Sie sicher sein, dass Sie keine klaffenden Sicherheitslücken hinterlassen, die der Grund für so viele reale Datenverlustszenarien waren.