Schwerpunkte

Sicherheitsarchitektur

Wie man geschäftskritische Daten erkennt und schützt

24. Februar 2020, 09:40 Uhr   |  Autor: Richard Werner, Trend Micro | Redaktion: Cornelia Meier

Wie man geschäftskritische Daten erkennt und schützt
© Sergey Nivens | shutterstock.com

Für die Entwicklung einer effektiven Sicherheitsarchitektur ist es unerlässlich, geschäftskritische Informationen zu kennen und zu schützen. Welche Daten die beste Verteidigung und den umfassendsten Schutz benötigen, weiß Richard Werner, Business Consultant bei Trend Micro.

Der Schutz von Daten und Informationen war noch nie so wichtig wie heute. Das Aufkommen strenger Datenschutzgesetze wie der Datenschutzgrundverordnung (DSGVO) unterstreicht die Bedeutung von Daten und erhöht gleichzeitig die Ansprüche an die Sorgfalt derjenigen, die sie erheben, verarbeiten und speichern. Einer IBM-Studie zufolge sind die Kosten für einen Datendiebstahl gestiegen und betrugen 2018 im Durchschnitt 3,86 Millionen US-Dollar. Jedoch ist zu erwarten, dass noch höhere Kosten auf Unternehmen zukommen, wenn sie Strafen für Verstöße gegen Datenschutzgesetze zahlen müssen.

Immer wieder wird auf die Kontinuität der Bedrohungen, die teuren Auswirkungen von Angriffen und das Vorhandensein von Sicherheitslücken hingewiesen, die Einbrüche möglich machen. Angesichts dieser Faktoren müssen Unternehmen prüfen, ob ihre Ressourcen ausreichen, um die Daten zu schützen, die sie sammeln, speichern und verarbeiten.

Welche Informationen gelten als kritisch?

Zunächst muss definiert werden, welches die unternehmenskritischen Informationsbestände des Unternehmens sind. Dabei handelt es sich um solche, die dem Geschäftsbetrieb im Falle einer Kompromittierung großen Schaden zufügen würden. Diese können sich abhängig von der Branche oder auch dem konkreten Unternehmen unterscheiden – hier eine allgemeine Klassifizierung:

  • Wettbewerbskritische Informationen: Diese Daten sind das Herzstück eines jeden Unternehmens. Sie umfasst Geschäftsgeheimnisse, Erkenntnisse aus Forschung und Entwicklung sowie jede Art von Informationen, die einem Unternehmen seinen Wettbewerbsvorteil sichern. Dabei kann es sich um lang gehegte Geschäftsgeheimnisse handeln, die die Identität des Unternehmens definieren. Aber auch gesammelte operative Daten wie Informationen über Wettbewerber, Projektionsdaten und Kundenkennzahlen, die die Entscheidungsfindung im Unternehmen beeinflussen, gehören in diese Kategorie.
  • Juristische Informationen: Dokumente wie Urheberrechte und Verträge, die rechtliche Wirkung haben, gehören zu den vertraulichsten und wichtigsten Informationen, die Unternehmen schützen müssen. Solche Dokumente enthalten Vereinbarungen, die das Unternehmen mit Dritten wie Kunden, Zulieferern oder Mitarbeitern getroffen hat. Sie dienen auch dem rechtlichen Schutz des geistigen Eigentums eines Unternehmens und anderer Vermögenswerte.
  • Personenbezogene Daten: Diese besondere Art von Informationen steht im Mittelpunkt vieler Datenschutzgesetze, insbesondere der DSGVO. Dabei handelt es sich um Kunden- oder Mitarbeiterdaten, die die Identifizierung einzelner Personen ermöglichen.
  • Daten aus dem täglichen Betrieb: Abhängig vom Unternehmen können auch alle anderen oben genannten Arten von Informationen in diese Kategorie fallen. Jede Abteilung im Unternehmen hat spezifische Daten, die sie täglich verarbeitet und die für den Betrieb des Unternehmens notwendig sind. Die Personalabteilung bearbeitet beispielsweise Daten wie Gehalts- oder Gesundheitsinformationen und ist daher maßgeblich am Umgang mit den personenbezogenen Daten der Mitarbeiter beteiligt.

Laut dem Cyber Risk Index (CRI) von Trend Micro und Ponemon fallen die meistgefährdeten Arten von Daten – Ergebnisse von F&E, Kundenkonten, Geschäftsgeheimnisse und vertrauliche Unternehmensdaten – unter mindestens eine dieser Kategorien.

Wie kann man geschäftskritische Assets erkennen?

Unternehmen haben in der Regel unterschiedliche Kategorien für die Daten und Informationen, die sie speichern. Jedoch muss jedes Unternehmen eindeutige Parameter festlegen, anhand derer es den Bestand seiner unternehmenskritischen Informationen erfasst. Nachfolgend einige Faktoren, die sie dabei berücksichtigen sollten:

  • Wert: Daten, die ein Unternehmen erhebt und speichert, müssen einen inhärenten Wert haben. Dieser kann sich mit der Zeit ändern oder abnehmen. Aufgabe der Unternehmen ist es, abzuschätzen, welchen Wert ihm die Daten bringen.
  • Risiken: Eine gute Methode zur Prüfung der Wichtigkeit der Daten ist das Abschätzen, welchen Bedrohungen und Risiken sie ausgesetzt sind. Sind sie für böswillige Akteure von Interesse? Wie zugänglich sind sie? So kann ihr Risikoniveau bestimmt und gegebenenfalls der Schutz erhöht werden.
  • Auswirkung: Welche Konsequenzen hat die Kompromittierung oder der Diebstahl bestimmter Informationen? Sind die Auswirkungen so groß, dass sie über die Grenzen des Unternehmens hinausgehen und etwa die Safety oder Security von Kunden beeinträchtigen, müssen Informationen als kritisch geschützt werden.

Welche Daten sollten Unternehmen schützen?

Wurden die kritischen Daten identifiziert, muss eine geeignete Sicherheitsstruktur entworfen werden, um sie vor Kompromittierung zu schützen. Doch auch Daten, die nicht als geschäftskritisch identifiziert wurden, haben immer noch einen Eigenwert und müssen bei der Security-Planung berücksichtigt werden. Dazu gehören die Folgenden:

  • Öffentlich verfügbare Informationen: Unternehmen müssen bestimmte Informationen über sich öffentlich zugänglich machen. Viele Mitarbeiter haben zudem Social-Media-Accounts. All diese Informationen können Cyberkriminellen die Erkundung im Vorfeld eines Angriffs erleichtern.
  • Struktur und Kultur eines Unternehmens: Diese Informationen prägen ein Unternehmen und lassen sich nur schwer in Worte oder tatsächliche Daten fassen. Doch durch Beobachtung und Mundpropaganda werden sie dennoch ersichtlich. Diese Informationen sind für potenzielle Mitarbeiter und Kunden wichtig, doch auch Hacker können mit ihrer Hilfe den Social-Engineering-Aspekt ihrer geplanten Angriffe gestalten, etwa um sich als hochrangige Führungskraft auszugeben.
  • Netzwerkinfrastruktur: Hacker können auch Tools wie “NMAP” nutzen, um speziell zusammengestellte Pakete an Ziel-Hosts zu schicken und dann die Antworten zu analysieren. Dieses Tool kann damit auch für die Aufklärung hinsichtlich Hosts und Services oder Betriebssysteme genutzt werden. Das Wissen über die Netzwerkinfrastruktur eines Unternehmens ermöglicht es Hackern, eine effizientere Kampagne aufzusetzen.

Über diese Informationen muss ein Unternehmen die Kontrolle haben. Das bedeutet, es muss klar sein, dass diese Informationen vorhanden sind, wenn sie öffentlich zugänglich sind.

Wie können Unternehmen geschäftskritische Daten schützen?

Die folgenden Schritte zu einem wirksamen Schutz sind empfehlenswert:

  1. Mapping der Daten: Dazu gehört das Wissen, welche Daten gesammelt werden und wo sie gespeichert sind. Zu diesem Schritt gehört auch die Frage, welche Informationen aus der Kombination verschiedener Daten gewonnen werden können, wenn sie gemeinsam analysiert werden. Damit lässt sich ein Überblick darüber gewinnen, welche Bereiche oder Abteilungen über kritische Daten verfügen.
  2. Identifizieren kritischer Daten: Ausgehend von den erfassten Daten können Unternehmen beginnen, ihre unternehmenskritischen Daten zu identifizieren oder neu zu bewerten. Darauf aufbauend können sie Sicherheitsressourcen priorisieren und das Risikoniveau ermitteln, das sie für den Schutz dieser Vermögenswerte eingehen würden.
  3. Bewerten von Bedrohungen: Unternehmen müssen die möglichen Bedrohungsakteure, die es auf ihre Informationen abgesehen haben, antizipieren und erkennen. Das kann dabei helfen, Abwehrmaßnahmen zu entwerfen, mit denen sie sich vor bekannten Angriffstechniken schützen können.
  4. Planung und Einführung erforderlicher Sicherheitsmaßnahmen: Mit diesem Wissen sind Unternehmen in der Lage, Sicherheitsmaßnahmen aufzusetzen. Ein guter erster Schritt ist beispielsweise,  die Verschlüsselung von Daten sowohl im Speicher als auch während der Übertragung sicherzustellen. Damit können die negativen Folgen verringert werden, die dadurch entstehen, dass sie in die falschen Hände geraten.

Unternehmen sind insgesamt angehalten, einen starken Netzwerkschutz implementieren, der Bedrohungen von verschiedenen Einstiegspunkten aus blockiert und verhindert, dass sie die geschäftskritischen Informationen erreichen. Eine mehrschichtige Netzwerk-Sicherheitslösung und vollständige Sichtbarkeit des gesamten Netzwerkverkehrs sowie ein Intrusion Prevention System (IPS) helfen Unternehmen, den Bedrohungen einen Schritt voraus zu sein.

Um stattgefundene Angriffe schnellstmöglich zu erkennen und zu beseitigen, bevor wertvolle Daten abfließen, sollten Unternehmen zudem in Fähigkeiten für Detection and Response investieren. Dabei sollte neben den Endpunkten die gesamte IT-Infrastruktur mit E-Mails, Netzwerk, Server und (hybriden) Cloud-Workloads in den Blick genommen werden.

Richard Werner ist Business Consultant bei Trend Micro.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

TREND MICRO Deutschland GmbH, TREND MICRO Deutschland GmbH