secida im September

secida im September

Technologische Grundlagen für Datensicherheit und Privacy

Herzlich Willkommen zu unserem Newsletter!

Am Anfang jeden Monats geben wir hier einen Überblick über geplante Aktivitäten und beleuchten einen Aspekt sicherer Digitalisierung.

 Interessante Aktivitäten im September:

LinkedIn-Livestream am 21.09.2022, 12:00h: „Jetzt mal Tacheles: Cybersicherheits-Essentials für den Mittelstand“ – mit Alpha Barry, CEO secida AG, und Jan Becher, Director Channel Sales EMEA Central. Melden Sie sich hier an

Sichere Digitalisierung im September: Technologische Grundlagen für Datensicherheit und Privacy

Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier: https://www.linkedin.com/video/event/urn:li:ugcPost:6963495530458972160/

Die Absicherung kritischer Daten – ob personenbezogen (DSGVO) oder wettbewerbskritisch – ist häufig herausfordernd: Kein Unternehmen möchte das Risiko eingehen, sensitive Informationen bei einem Hackerangriff oder durch Fehlentscheidungen Mitarbeitender zu verlieren. Die richtige Technologie ist eine essenzielle Grundlage für den Schutz kritischer Daten.

Daten müssen gespeichert werden. Sie befinden sich immer auf einem Server innerhalb der firmeneigenen IT-Infrastruktur. Dieser Server:

  • wird direkt von der Unternehmens-IT verwaltet,
  • steht im Rechenzentrum eines externen Dienstleisters oder
  • läuft virtualisiert in der Cloud.

Die erste wesentliche Frage zum technologischen Schutz kritischer Daten ist: Wer hat physischen Zugriff auf die Server?

Wer physischen Zugriff auf den jeweiligen Server hat, kann auf die dort gespeicherten Informationen zugreifen. Es sollten deswegen ausschließlich Personen physischen Zugriff auf ihre Server haben, die ihn wirklich benötigen. Das heißt:

Bei unternehmensinternen Rechenzentren: Wo stehen unsere Server?

  • In einem separaten, abgeschlossenen Raum?
  • Wer kann diesen Bereich betreten?
  • Wie wird der Zutritt kontrolliert und getrackt?
  • Wird an den jeweiligen Servern getrackt, wer physisch auf Daten zugreifen will
  • Wird nochmals separat eine Erlaubnis erteilt?
  • Kann exakt nachweisen werden, wer, wann, auf welche Daten zugegriffen hat?

Bei externen Dienstleistern – unabhängig von physischem Rechenzentrum oder Cloud:

  • Wie wird sichergestellt, dass nur Mitarbeitende mit berechtigtem Interesse Zugang zu den Servern haben?
  • Wie kontrolliert der Dienstleister die physische Zugangssicherung?
  • Welche weiteren Sicherheitszusicherungen gibt es? Stimmen diese Zusicherungen mit den für meine Firma geforderten Sicherheitsnormen und -standards überein?

Je kleiner das Unternehmen ist, desto herausfordernder kann es sein, die oben genannten Sicherheitsbedingungen, vollumfänglich einzuhalten.

Nachdem der Schutz vor physischem Zugriff geklärt ist, schließt sich eine weitere wichtige Frage direkt an: Wer darf als Administrator auf diesen Server zugreifen? Inhaber administrativer Rechte für einem Server können in weitrechendem Umfang auf dort gespeicherte Daten zugreifen: Daten können gelöscht, verändert und/oder an andere Orte abgeleitet werden.

Folgende Fragen sollten Sie gemeinsam mit ihrer IT beantworten:

  • Wer hat heute administrative Zugriffsrechte?
  • Müssen die aktuellen Rechteinhaber diese Rechte zwingend haben?
  • Können die Rechte weiter konkretisiert werden (braucht der Mitarbeitende vollumfängliche Zugriffsrechte, oder sich Zugriffsrechte für bestimmte auf dem Server liegende Informationen und Anwendungen ausreichend?)
  • Können diese Rechte auch befristet und aufgabenspezifisch zugeteilt werden?
  • Können wir kontrollieren (und ggf. stoppen), was die Inhaber administrativer Rechte tatsächlich mit unseren Daten machen?

Privileged-Access-Management-Lösungen (abgekürzt PAM) helfen Unternehmen abzusichern, dass Mitarbeitende auf den jeweiligen Servern ausschließlich notwendige und autorisierte Tätigkeiten ausführen. PAM-Systeme:

  • Überwachen, wer, wann Zugriff auf welche Systeme hat. Z.B. durch das Vier-Augen-Prinzip: Der Mitarbeitende fragt definierte Zugriffsrechte mit Begründung und Zeitrahmen beim Vorgesetzten an und enthält von diesem nach Prüfung eine spezifische, zeitgebundene Freigabe.
  • Dokumentieren. Die Handlungen der Mitarbeitenden werden getrackt, dokumentiert und gespeichert. Dies ist für Sicherheitsaudits oder forensische Analysen nach einem Vorfall wichtig. Hier hilft z.B. das Videorecording der Bildschirmaktivität: Eine direkte Videoüberwachung der Tätigkeiten des jeweiligen Mitarbeitenden durch eine Aufnahme von dessen Bildschirm hilft (auch im Nachgang) ggf. zu prüfen, ob das getan wurde, was freigegeben war und parallel keine anderen Handlungen vorgenommen wurden.

Für umfassenden technologiebasierten Schutz kritischer Daten muss auch der Mitarbeiter-Lebenszyklus berücksichtigt werden:

  • Welche Rechte bekommen neue Mitarbeiter in der IT-Administration?
  • Wie und wann werden administrative Rechte bei Rollenänderungen oder Ausscheiden des Mitarbeitenden aus dem Unternehmen wieder gelöscht?
  • Wie wird ein konstanter und korrekter Überblick über administrativ Berechtigte auf bestimmten Servern und ihre Aktivitäten gewährleistet, kontrolliert und dokumentiert?

Identity and Access-Systeme (abgekürzt IAM) sind hier hilfreich: Sie bündeln für jeden Mitarbeitenden sämtliche Zugriffsrechte und gewähren so zu jedem Zeitpunkt eine sehr gute Übersicht. Für spezifische Rollen können Zugriffsmodelle entwickelt werden, die dem Mitarbeitenden bei Onboarding direkt zugewiesen oder bei Rollenwechseln angepasst werden können. Bei Ausscheiden können in einem IAM-System sämtliche Zugriffe zum Ausscheidungsdatum direkt deaktiviert werden. So wird die Sicherheit deutlich erhöht und der Verwaltungs- und Dokumentationsaufwand deutlich reduziert.

Was aber tun, wenn es zu einer kriminellen Attacke kommt?

Es empfiehlt sich, ein Cybersicherheits-Monitoring einzuführen. Die IT-Infrastruktur eines Unternehmens muss konstant auf Cyberattacken überprüft werden, damit im Falle einer Attacke schnellstmöglich Maßnahmen getroffen werden können. Genauso wichtig ist es, regelmäßige Back-ups sensitiver Daten zu machen und diese offline zu speichern, sowie Notfallpläne zu entwickeln und zu trainieren, damit im Ernstfall schnell und effektiv agiert werden kann.

Besonders für kleinere Unternehmen empfiehlt es sich, einen externen Dienstleister zu beauftragen, bzw. die benötigten Server direkt extern betreuen zu lassen. Informieren Sie sich vorab über bestehende Cybersicherheitsmaßnahmen:

  • Gibt es Back-ups der Daten, die offline gespeichert werden?
  • Wird die Funktionalität dieser Back-ups regelmäßig getestet?
  • Gibt es eine Monitoring-Lösung, wie funktioniert diese?
  • Gibt es Notfallpläne, die im Falle eines Angriffs zum Tragen kommen?
  • Werden Cybersicherheits-Rollenspiele durchgeführt? Wie häufig?
  • Wie werden Kunden über Attacken informiert?
  • Welche Gewährleistungen sind vertraglich vereinbart?

Bei Speicherung der Daten auf unternehmensinternen Servern ist als zusätzliche Absicherung die Durchführung eines Penetration-Tests (Pen-Test) empfehlenswert. Ein Pen-Test ist eine autorisierte Hacking-Attacke durch einen seriösen Dienstleister, der einen Angriff auf die Firmensysteme durchführt und im Anschluss identifizierte Schwachstellen und Lösungsansätze aufzeigt.

Und zuletzt: Was ist mit dem Risiko des Datenzugriffs durch fremde Dienste?  Im Kontext Datenschutz ist auch diese Sorge ein valider Teil der Diskussion. Wie kann sichergestellt werden, dass z.B. ein fremder Staat (z.B. die USA bei einem amerikanischen Clouddienstleister) von einem Dienstleister nicht die Herausgabe von kritischen Daten verlangt?

Dies ist eine rechtliche Diskussion, für die wir keine Aussage treffen können. Wir empfehlen, die rechtlichen Grundlagen für das jeweilige Unternehmen zu analysieren und dann im Kontext das Risiko, das von professioneller Cyberkriminalität ausgeht, gegen das Risiko des Datenzugriffs durch einen anderen Staat für den spezifischen Fall abzuwägen.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert