Datenmanagement

Eines der größten Sicherheitsrisiken bleibt der Mitarbeiter

Autor:Autor: Kevin Switala / Redaktion: Diana Künstler • 9.9.2021 • ca. 2:55 Min

Inhalt

IAM als Brücke zwischen Datenschutz und -sicherheit
Eines der größten Sicherheitsrisiken bleibt der Mitarbeiter

Die Datensicherung hängt von der Art der Daten ab. Die meisten Unternehmen haben sowohl mit strukturierten als auch mit unstrukturierten Daten zu tun. Die größten Bedrohungen schlummern oft in internen Strukturen und sind ein Ergebnis des unsicheren Verhaltens von Mitarbeitern. Die Hauptursachen für Datenschutzverletzungen im Jahr 2020 waren kompromittierte Anmeldeinformationen (oft aufgrund von schwachen Passwörtern), Cloud-Fehlkonfigurationen (die sensible Daten für die Öffentlichkeit zugänglich machen) und Phishing-Betrug. Daher ist die effektivste Waffe gegen unstrukturierte Daten die Schulung von Mitarbeitern über die Gefahr von Social-Engineering-Taktiken, von USB-Laufwerken und sensiblen Informationen auf Zetteln, Handyfotos und Videos. Technologien sind zwar wichtig, doch die Wachsamkeit von Teams ist mindestens ebenso entscheidend.

Aber auch die maschinell erzeugten unstrukturierten Daten sollten Unternehmen in Hinblick auf ihre Sicherheitsstrategien nicht vergessen. Verfügt der Arbeitsplatz beispielsweise über Sicherheitskameras? Sind die Live-Feeds oder gesicherten Aufnahmen auf irgendeine Weise online zugänglich? Sensible Daten lassen sich beispielsweise leicht aus auf Videos einsehbaren Computerbildschirmen und aus aufgezeichneten Gesprächen von Mitarbeitern sammeln, weshalb auch in diesem Fall Zugriffsberechtigungen durch die Unternehmen verwaltet und gegebenenfalls entsprechend eingeschränkt werden sollten.

IAM als Bindeglied

Eine Datenschutz- und Sicherheitsverletzung kann schwerwiegende finanzielle Folgen haben – im ersten Halbjahr 2020 fielen durchschnittlich 3,17 Millionen Euro je Verletzung an. Der größte Teil der direkten Kosten, die mit einer Datenpanne verbunden sind, entsteht durch den daraus folgenden Verlust von Geschäften. Die Einhaltung von Datenschutzgesetzen, Datensicherheit und Sicherungsstandards wirkt sich daher direkt auf das Unternehmen aus. Ein umfassender Identity-Access-Management-Ansatz kann dabei als Bindeglied fungieren, um Nutzer zu authentifizieren, zu autorisieren und Funktionen wie Multi-Faktor-Authentifizierung, Erkennung von kompromittierten Passwörtern oder Single Sign-on als Schutzmaßnahmen gegen Sicherheitsverletzungen zu ermöglichen. Durch diesen Ansatz erhält der DPO einen Überblick darüber, wo Daten gespeichert sind, verteilt Zugriffsberechtigungen und lässt durch die IAM-Software kontrollieren, wer darauf zugreift, und stellt die Verschlüsselung der Daten sicher.

Kevin Switala, Enterprise Account Executive von Auth0

Komplementäres Trio

Datenschutz betrifft den Umgang mit personenbezogenen Daten, um eine missbräuchliche Verarbeitung zu verhindern, und wird über die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) geregelt. Die DSGVO verankert das Prinzip der Zweckbindung, der Datenminimierung und verlangt von Unternehmen, jederzeit offenlegen zu können, welche Daten sie besitzen, was sie damit machen und wie sie diese schützen. Die Daten müssen darüber hinaus vor unbefugter Einsicht bei der Datenverarbeitung oder im Falle eines Verstoßes geschützt werden. Hier kommt die Datensicherheit ins Spiel, die Cybersicherheitspraktiken wie Verschlüsselung oder Zugriffsbeschränkungen – sowohl physisch als auch digital – umfasst. Die Verschlüsselung sichert jedoch nicht die Verfügbarkeit der Daten. Werden verschlüsselte Daten gelöscht oder beschädigt und wurden nicht in die Datensicherung eingebunden, sprich dupliziert oder in einem Back-up gesichert, sind sie verloren. Bei Datenschutz, Datensicherheit und Datensicherung handelt es sich um sich ergänzende Konzepte, die Führungskräfte berücksichtigen müssen, wie das Unternehmen mit den Daten ihrer Mitarbeiter, Partner oder Kunden umgeht. Dieser Verantwortung sollte sich ein Mitarbeiter in der Position eines Data Protection Officer (DPO) annehmen und die Belegschaft in aktuelle Datenrichtlinien unterweisen. Alle drei Konzepte können durch ein Identity Access Management, das verschiedene Sicherheitstechnologien integriert, adressiert und somit in Einklang gebracht werden. Durch ein gutes IAM ist ersichtlich, wer was im System verändert – und warum. Unternehmen sind so in der Lage, Nutzern, Partnern oder Aufsichtsbehörden jederzeit Auskunft zu geben und es bleibt Zeit, sich auf das eigentliche Geschäft zu konzentrieren.

1 2