Viele Unternehmen übersehen, dass sich außer den strukturierten Daten in ihren Datenbanken jede Menge sogenannte unstrukturierte Daten auf den Arbeitsplatzrechnern der Mitarbeiter befinden. Falls personenbezogene oder andere sensible Daten darunter sind, beispielsweise das Firmen-Know-how betreffend, kann dies schwerwiegende Folgen für die Unternehmen haben.
Grundsätzlich lassen sich Daten in strukturierte, semistrukturierte und unstrukturierte Daten unterscheiden. Bei strukturierten Daten sind die Inhalte in voneinander abhängigen Feldern in Zeilen und Spalten geordnet. Sie sind bzw. werden in relationalen Datenbanken gespeichert. Semistrukturierte Daten sind in Teilen geordnet; E-Mails beispielsweise haben eine Struktur für Angaben wie Absender und Adressat, der eigentliche Inhalt im Body jedoch ist aus Sicht einer Datenbank unbrauchbar. Bei unstrukturierten Daten, auch Dark Data, ist lediglich der Dateityp bekannt, wie ihr Inhalt geordnet ist, kann nicht identifiziert werden.
Unstrukturierte Daten nehmen zu
Viele Unternehmen sind überzeugt, dass sie aufgrund zentraler Systeme wie ERP oder CRM ihre Daten strukturiert und im Griff haben. Tatsächlich aber handelt es sich laut einer IBM-Studie nur bei 20 Prozent der Daten in Unternehmen um strukturierte Daten, der überwiegende Anteil sind „dunkle“, also unstrukturierte Daten. IDG geht davon aus, dass 93 Prozent der Daten bis zum Jahr 2022 in unstrukturierter Form vorliegt.
Unstrukturierte Daten entstehen im ganz normalen Geschäftsbetrieb und nehmen infolgedessen auch unaufhaltsam zu. So werden sie beispielsweise dadurch generiert, dass Mitarbeiter Daten aus Datenbanken herunterladen, die sie für Berichte, Präsentationen und andere Ausarbeitungen benötigen, dass sie Protokolle von Gesprächen und Meetings schreiben, Teilnehmerlisten und Übersichten erstellen, Stellungnahmen und Beurteilungen verfassen. Unstrukturierte Daten finden sich in Textnachrichten oder im Body oder als Anhang von E-Mails, sie kommen als Text-, Bild-, Audio-, Videodateien sowie in anderen Dateiformaten vor. Alle diese Dateien werden zumeist auf Arbeitsplatzrechnern abgelegt.
Vertraulichkeit sensibler Daten ist bedroht
Dort sind die Daten Bedrohungen im Hinblick auf ihre Vertraulichkeit ausgesetzt. Vom Desktop aus lassen sie sich sehr einfach auf Speichermedien transferieren, per E-Mail versenden oder in browserbasierte Anwendungen laden, kurz: anderen Personen zur Verfügung stellen –auch Kollegen oder Externen, für die sie nicht bestimmt sind:
- Ein Kollege tut einem anderen einen Gefallen und schickt ihm eine interne Ausarbeitung mit vertraulichen Informationen, beispielsweise aus der Entwicklungsabteilung, weiter.
- Mit einem Klick wird versehentlich eine falsche Datei mit personenbezogenen Daten an eine E-Mail angehängt oder in einen Cloud-Speicher geladen, oder eine E-Mail mit sensiblem Inhalt geht an den falschen Adressaten.
- Mitarbeiter nehmen von ihrem Arbeitsplatzrechner aus Dateien auf USB-Sticks oder ihrem privaten Laptop mit, um zuhause weiterzuarbeiten.
- Bei einer Cyberattacke bekommt der Angreifer die Daten auf Desktop-Rechnern auf dem Silbertablett serviert, weil er dort leichter einen Zugang findet als zu den Datenbanken.
Meist werden diese Daten auf der Festplatte des Rechners schnell vergessen – die Ausarbeitung ist beim Chef, die Liste in der Personalabteilung, das Protokoll bei den Abteilungsleitern. Irgendwann wechselt der Mitarbeiter, der die Daten exportiert und die Ausarbeitung, das Protokoll, die Liste erstellt hat, den Arbeitsplatz. Oder er bekommt einen neuen, schnelleren Rechner und am alten sitzt jetzt der Praktikant, ohne dass sich jemand die Mühe gemacht hätte, sich die Daten darauf näher anzuschauen.
Anforderungen an den Schutz personenbezogener Daten und von Geschäftsgeheimnissen
Laut DSGVO müssen Unternehmen und Organisationen die Vertraulichkeit personenbezogener Daten sicherstellen; zudem müssen sie auf Anfrage von Kunden und anderen Anspruchsberechtigten Informationen zu deren personenbezogenen Daten im Unternehmen bereitstellen und die Daten gegebenenfalls löschen können. Kommen sie ihren Pflichten nicht nach, indem sie beispielsweise unstrukturiert vorliegende personenbezogene Daten ignorieren, müssen sie mit hohen Bußgeldern rechnen.
Daneben müssen Unternehmen auch ihr geistiges Eigentum vor Datendiebstahl und unerwünschtem Datenabfluss schützen. Falls es zu Schutzverletzungen kommt, sind sie in der Pflicht nachzuweisen, dass sie ihrem Know-how angemessenen Schutz haben angedeihen lassen. Nur dann können sie nach dem Geschäftsgeheimnisschutzgesetz gegen Verursacher von Verletzungen Ansprüche geltend machen, und dabei können erhebliche Summen ins Spiel kommen.
Das Risiko, das die Speicherung von unstrukturierten sensiblen Daten auf Arbeitsplatzrechnern darstellt, bleibt dauerhaft bestehen. Denn Unternehmen können Daten nur dann angemessen schützen, wenn sie wissen, wo sie liegen. Wie eine DLP-Lösung dabei helfen kann, unstrukturierte sensible Daten auf Arbeitsplatzrechnern zu lokalisieren und zu schützen, stellen wir in einem der kommenden Posts vor.