Production Perig - stock.adobe.c
Datensicherheit: Die wichtigsten Methoden im Überblick
Der Schutz von Daten in Unternehmen ist geschäftskritisch. Mit diesen Verfahren und Methoden lassen sich Unternehmensdaten vor unangemessenem und unbefugtem Zugriff schützen.
Der wichtigste Aspekt der Cybersicherheitsstrategie eines jeden Unternehmens ist der Schutz der Unternehmensdaten und die Verhinderung von Datenverlusten. Dazu gehören Daten im ruhenden Zustand, bei der Übertragung und bei der Nutzung.
Technologien für die Datensicherheit gibt es in verschiedenen Formen, darunter die folgenden:
- Firewalls
- Authentifizierung und Autorisierung
- Verschlüsselung
- Datenmaskierung
- Hardware-basierte Sicherheit
- Datensicherung und Ausfallsicherheit
- Datenlöschung
Alle haben das gleiche Ziel: die Sicherheit und den Schutz der Daten.
Die Definition und Bedeutung der Datensicherheit
Unter Datensicherheit versteht man den Schutz von Daten vor Diebstahl, Verlust oder unberechtigtem Zugriff während ihres gesamten Lebenszyklus.
Datensicherheitsverletzungen sind ein ständiges Problem für Unternehmen. Einem Bericht von ThoughtLab zufolge wird die Zahl der Datensicherheitsverstöße und Cyberangriffe im Jahr 2021 gegenüber 2020 um 15,1 Prozent steigen. Probleme bei der Datensicherheit gefährden nicht nur Unternehmensdaten, sondern machen Unternehmen auch angreifbar für Klagen und Geldstrafen.
Datensicherheitspraktiken, -richtlinien und -technologien sind ebenfalls von entscheidender Bedeutung, um zu verhindern, dass interne Nutzer unzulässige Aktionen mit Daten durchführen.
Datensicherheit ist von großer Bedeutung, weil sie zu Folgendem beiträgt:
- das geistige Eigentum zu schützen;
- finanzielle Verluste zu verhindern;
- das Vertrauen der Kunden zu erhalten; und
- die Einhaltung verschiedener gesetzlicher Vorschriften zu gewährleisten.
Der letzte Punkt ist wichtig, da Unternehmen eine Vielzahl von Branchen- und Gesetzesvorschriften einhalten müssen, von der DSGVO (Datenschutz-Grundverordnung) und CCPA bis hin zum Sarbanes-Oxley Act und PCI DSS.
Verfahren und Technologien zur Datensicherheit
Datensicherheit ist von größter Bedeutung, denn Angreifer suchen unerbittlich nach allen möglichen Schwachstellen, um in Unternehmensnetzwerke einzudringen. Um die Daten angemessen zu schützen, können Unternehmen die folgenden Technologien nutzen.
1. Firewall
Eine Firewall ist die erste Sicherheitsschicht in einem System. Sie soll verhindern, dass nicht autorisierte Quellen auf Unternehmensdaten zugreifen. Eine Firewall dient als Vermittler zwischen einem persönlichen oder Unternehmensnetzwerk und dem öffentlichen Internet. Firewalls verwenden vorkonfigurierte Regeln, um alle Pakete zu prüfen, die in ein Netzwerk ein- und ausgehen, und verhindern so, dass sich Malware und anderer nicht autorisierter Datenverkehr mit Geräten in einem Netzwerk verbindet.
Zu den verschiedenen Arten von Firewalls gehören die folgenden:
- einfache paketfilternde Firewalls
- Gateways auf Leitungsebene
- Gateways auf Anwendungsebene
- Stateful-Inspection-Firewalls
- NGFW - Firewalls der nächsten Generation
2. Authentifizierung und Autorisierung
Um sicherzustellen, dass nur berechtigte Benutzer auf Unternehmensdaten zugreifen können, werden zwei Verfahren eingesetzt: Authentifizierung und Autorisierung.
Bei der Authentifizierung muss der Benutzer nachweisen, dass er derjenige ist, für den er sich ausgibt. Dieser Nachweis kann durch die Angabe eines Geheimnisses, zum Beispiel eines Passworts oder einer PIN, oder durch biometrische Authentifizierung erfolgen. Je nach Authentifizierungsszenario müssen die Benutzer bei der Anmeldung einen oder mehrere zusätzliche Faktoren angeben, was als Zwei-Faktor-Authentifizierung oder Multifaktor-Authentifizierung (MFA) bezeichnet wird.
Beispiele für die Authentifizierung sind die folgenden:
- Passwörter/PINs
- MFA
- biometrische Scans
- Verhaltensscans
Nachdem der Benutzer seine Identität nachgewiesen hat, wird durch die Autorisierung festgestellt, ob der Benutzer über die entsprechenden Berechtigungen für den Zugriff auf und die Interaktion mit bestimmten Daten verfügt. Durch die Autorisierung von Benutzern erhalten diese innerhalb des Systems die Berechtigung, verschiedene Ressourcen zu lesen, zu bearbeiten und zu schreiben.
Beispiele für Autorisierungen sind die folgenden:
- Prinzip der geringsten Privilegien beim Zugriff
- attributbasierte Zugriffskontrolle
- Rollenbasierte Zugriffskontrolle (RBAC)
3. Datenverschlüsselung
Bei der Datenverschlüsselung werden Daten in kodierten Geheimtext umgewandelt, um sie im Ruhezustand und bei der Übertragung zwischen zugelassenen Parteien zu schützen. Die Verschlüsselung von Daten stellt sicher, dass nur diejenigen, die über den richtigen Entschlüsselungsschlüssel verfügen, die Daten in ihrer ursprünglichen Klartextform einsehen können. Verschlüsselte Daten sind wertlos, wenn sie von Angreifern erbeutet werden.
Beispiele für die Verschlüsselung von Daten sind die folgenden:
- asymmetrische Verschlüsselung, auch bekannt als Public-Key-Verschlüsselung; und
- symmetrische Verschlüsselung, auch bekannt als Secret-Key-Verschlüsselung.
Zum Schutz der Daten im Ruhezustand gehört die Endpunktverschlüsselung, die über Dateiverschlüsselung oder Festplattenverschlüsselung erfolgen kann.
4. Datenmaskierung
Bei der Datenmaskierung werden Daten unkenntlich gemacht, so dass Kriminelle, selbst wenn sie die Daten exfiltrieren, nicht herausfinden können, was sie gestohlen haben. Im Gegensatz zur Verschlüsselung, bei der Daten mit Hilfe von Verschlüsselungsalgorithmen kodiert werden, werden bei der Datenmaskierung legitime Daten durch ähnliche, aber unechte Daten ersetzt. Diese Daten können vom Unternehmen auch in Szenarien verwendet werden, in denen die Verwendung echter Daten nicht erforderlich ist, zum Beispiel für Softwaretests oder Benutzerschulungen.
Die Tokenisierung ist ein Beispiel für die Maskierung von Daten. Dabei werden Daten durch eine eindeutige Zeichenfolge ersetzt, die keinen Wert hat und nicht zurückverfolgt werden kann, falls sie von böswilligen Akteuren erbeutet wird.
Weitere Beispiele für die Maskierung von Daten sind die folgenden:
- Datenentfernung (Deidentifizierung)
- Generalisierung von Daten
- Anonymisierung von Daten
- Pseudonymisierung
5. Hardwarebasierte Sicherheit
Bei der hardwarebasierten Sicherheit geht es um den physischen Schutz eines Geräts, statt sich nur auf die auf der Hardware installierte Software zu verlassen. Da Angreifer jede IT-Ebene ins Visier nehmen, müssen Unternehmen Schutzmechanismen in das IT-System integrieren, um sichere Geräte zu gewährleisten.
Beispiele für hardwarebasierte Sicherheit sind die folgenden:
- Hardware-basierte Firewalls
- Proxy-Server
- Hardware-Security-Module (HSM)
Hardwarebasierte Sicherheit läuft oft isoliert neben dem Hauptprozessor, wie zum Beispiel bei Apples Secure Enclave.
6. Datensicherung und Ausfallsicherheit
Unternehmen sollten mehrere Kopien von Daten speichern, vor allem wenn sie sich nach einer Datenpanne oder einer anderen Katastrophe vollständig wiederherstellen wollen. Mit Datensicherungen können Unternehmen ihre normalen Geschäftsabläufe schneller und mit weniger Problemen wieder aufnehmen. Um die Ausfallsicherheit der Daten zu gewährleisten, müssen die Unternehmen die gesicherten Daten sicher und einsatzbereit halten.
Ein Beispiel für den Schutz von Datensicherungen ist das Data Vaulting, bei dem Air-Gapped-Versionen der gesicherten Daten erstellt werden. Unternehmen sollten auch eine 3-2-1-Sicherungsstrategie verfolgen, die mindestens drei gespeicherte Kopien von Daten an verschiedenen Orten vorsieht.
Andere Arten des Schutzes von Backups sind folgende:
- Redundanz
- Cloud-Sicherung
- externe Festplatten
- Hardware-Appliances
7. Datenlöschung
Es ist wichtig, dass Unternehmen Daten ordnungsgemäß löschen und sicherstellen, dass gelöschte Daten nicht wiederherstellbar sind. Bei der Datenlöschung werden gespeicherte Daten vollständig überschrieben, so dass sie nicht wiederhergestellt werden können. Bei der Datenlöschung, die auch als Datenvernichtung bezeichnet wird, werden die Daten nach dem Löschen oft unlesbar gemacht.
Unternehmen müssen in der Lage sein, Daten ordnungsgemäß zu vernichten, insbesondere im Zuge von Vorschriften wie der DSGVO, die vorsehen, dass Kunden die Löschung ihrer personenbezogenen Daten verlangen können (siehe auch Ein Löschkonzept nach Datenschutz-Grundverordnung erstellen).
Zu den anderen Arten der Datenlöschung gehören die folgenden:
- Wiping von Daten
- Überschreiben
- Physische Zerstörung
- Entmagnetisierung