Schluss mit Horten
Detox für Datenmessies
33.000 Exabytes, Tendenz steigend. Das weltweite Datenvolumen wächst ungebremst – ein Ende ist nicht in Sicht. Wer in der Datenflut nicht untergehen will, muss loslassen können.
Stellen Sie sich ein Unternehmen vor, das eine große Menge sensibler Daten in Papierform erstellt und in Aktenschränken lagert. Eine Weile lang geht das gut, aber irgendwann kommt es, wie es kommen muss. Obwohl dringend notwendig, werden die Akten jahrelang nicht ausgemistet. Viel zu anstrengend. Wer weiß, eines Tages werden die Daten doch noch einmal nützlich sein? Die Liste der Ausreden ist lang. Das Resultat jedoch, ist immer dasselbe: Überall stehen Aktenschränke, die aus allen Nähten platzen und Informationen beherbergen. Um Platz zu sparen, werden viele dieser Akten in einem separaten Speicher auf der anderen Seite der Stadt untergebracht. Währenddessen verlassen Mitarbeiter das Unternehmen und neue kommen hinzu. Bis irgendwann keiner mehr weiß, welche Dokumente wo abgelegt wurden.
Damit aber nicht genug. Die ganz Zeit über stehen zudem einige der Aktenschränke offen, weil es einfach praktischer für die Mitarbeiter ist, manche Mitarbeiter teilen ihre Schlüssel mit den Kollegen und überdies sind etliche Schlüssel im Laufe der Zeit auch verloren gegangen. Niemand hat eine klare Vorstellung davon, wer auf was zugreifen kann, oder ob diejenigen, die die Schlüssel zu den Aktenschränken haben, überhaupt noch für das Unternehmen arbeiten. Was wie ein Alptraum klingt, ist in der digitalen Welt oftmals Realität. Zwar ist das Chaos physisch nicht sichtbar, aber durchaus vorhanden – und damit ein große Sicherheitsrisiko.
Warum eine Detox-Kur für Daten wichtig ist
Für Unternehmen ist es essenziell, zu wissen, welche Informationen wo gespeichert sind. Denn nur so ist es ihnen einerseits möglich, die Daten richtig zu schützen. Andererseits fordert auch die Datenschutz-Grundverordnung (DSGVO), dass jedes Unternehmen, das personenbezogene Daten besitzt, in der Lage sein muss, die entsprechenden Personen über die gespeicherten Informationen zu informieren und diese gegebenenfalls zu entfernen. Das ist nur möglich, wenn man weiß, wo sämtliche die Person betreffende Daten zu finden sind.
Eines der zentralen Elemente der DSGVO ist die Datensparsamkeit. Der hier zugrunde liegende Privacy-by-Design-Ansatz läuft auf einen Begriff hinaus: Minimierung. Unternehmen sind angehalten, das Speichern von Verbraucherdaten, den Personenkreis, der darauf zugreifen kann, und die Aufbewahrungsdauer zu minimieren. Gerade hier hapert es in den meisten Unternehmen bei der Umsetzung.
Zugriff kontrollieren
Hat man die vollständige Transparenz darüber, was in den Unternehmenssystemen wo gespeichert wurde, ist es möglich, sich dem Personenkreis zu widmen, der auf die entsprechenden Daten zugreifen kann beziehungsweise zugreifen können sollte. Dabei sollte nach dem Need-to-know-Prinzip verfahren werden. Das heißt, Mitarbeiter erhalten nur Zugriff auf Daten, die sie tatsächlich für ihre Arbeit benötigen.
Dass dieses Least-Privilege-Modell nicht flächendeckend umgesetzt wird, zeigt der Datenrisiko-Report: So sind durchschnittlich 22 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich, in jedem zweiten Unternehmen (53 Prozent) können alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen und bei fast ebenso vielen (51 Prozent) unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung.
Loslassen heißt auch Löschen können
Was können Unternehmen also tun, um die Kontrolle über ihre Dateien wiederzuerlangen? Zunächst einmal muss eine gründliche Bestandsaufnahme durchgeführt werden. Dazu ist eine vollständige Analyse aller Dateien erforderlich. Nur so wird sichtbar, wo Daten gespeichert sind und was sie beinhalten (hier setzt dann eine entsprechende Klassifizierung an). Dabei müssen auch veraltete Ordner und Dateien identifiziert und markiert werden, ebenso wie die Mitarbeiter, die entsprechenden Zugriff haben.
Auf dieser Grundlage können Unternehmen dann beginnen, nicht mehr verwendete Ordner und Dateien zu löschen oder zu archivieren und die Berechtigungen für die Nutzer zu aktualisieren. Hierbei hilft die Einführung von Datenverantwortlichen, sogenannten Data Owner. Sie sind nicht in der IT-Abteilung, sondern in den entsprechenden Fachabteilungen oder Projektgruppen beheimatet und verantworten und gewähren die Zugriffsrechte. Dieses Vorgehen entlastet nicht nur das IT-Team, sondern hat auch den Vorteil, dass die Data Owner genau wissen, wer welchen Zugriff und wie lange benötigt.
Um die gerade gewonnene Ordnung nicht gleich wieder zu verspielen, sondern einen dauerhaft “ordentlichen“ Zustand zu bewahren, müssen diese Analysen jedoch regelmäßig durchgeführt werden. Ganz wie beim klassischen Frühjahrsputz.
Klaus Nemelka ist Technical Evangelist bei Varonis Systems.
Lesen Sie mehr zum Thema
