Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Wie man geschäftskritische Daten erkennt und schützt

Sicherheitsarchitektur

Wie man geschäftskritische Daten erkennt und schützt

24. Februar 2020, 9:40 Uhr | Autor: Richard Werner, Trend Micro | Redaktion: Cornelia Meier
© Sergey Nivens | shutterstock.com

Für die Entwicklung einer effektiven Sicherheitsarchitektur ist es unerlässlich, geschäftskritische Informationen zu kennen und zu schützen. Welche Daten die beste Verteidigung und den umfassendsten Schutz benötigen, weiß Richard Werner, Business Consultant bei Trend Micro.

Der Schutz von Daten und Informationen war noch nie so wichtig wie heute. Das Aufkommen strenger Datenschutzgesetze wie der Datenschutzgrundverordnung (DSGVO) unterstreicht die Bedeutung von Daten und erhöht gleichzeitig die Ansprüche an die Sorgfalt derjenigen, die sie erheben, verarbeiten und speichern. Einer IBM-Studie zufolge sind die Kosten für einen Datendiebstahl gestiegen und betrugen 2018 im Durchschnitt 3,86 Millionen US-Dollar. Jedoch ist zu erwarten, dass noch höhere Kosten auf Unternehmen zukommen, wenn sie Strafen für Verstöße gegen Datenschutzgesetze zahlen müssen.

Immer wieder wird auf die Kontinuität der Bedrohungen, die teuren Auswirkungen von Angriffen und das Vorhandensein von Sicherheitslücken hingewiesen, die Einbrüche möglich machen. Angesichts dieser Faktoren müssen Unternehmen prüfen, ob ihre Ressourcen ausreichen, um die Daten zu schützen, die sie sammeln, speichern und verarbeiten.

Anbieter zum Thema

Panduit
Zyxel Networks A/S
dtm Datentechnik Moll GmbH
HP Deutschland GmbH
nexspace data centers GmbH
Matchmaker+
zu Matchmaker+

Welche Informationen gelten als kritisch?

Zunächst muss definiert werden, welches die unternehmenskritischen Informationsbestände des Unternehmens sind. Dabei handelt es sich um solche, die dem Geschäftsbetrieb im Falle einer Kompromittierung großen Schaden zufügen würden. Diese können sich abhängig von der Branche oder auch dem konkreten Unternehmen unterscheiden – hier eine allgemeine Klassifizierung:

  • Wettbewerbskritische Informationen: Diese Daten sind das Herzstück eines jeden Unternehmens. Sie umfasst Geschäftsgeheimnisse, Erkenntnisse aus Forschung und Entwicklung sowie jede Art von Informationen, die einem Unternehmen seinen Wettbewerbsvorteil sichern. Dabei kann es sich um lang gehegte Geschäftsgeheimnisse handeln, die die Identität des Unternehmens definieren. Aber auch gesammelte operative Daten wie Informationen über Wettbewerber, Projektionsdaten und Kundenkennzahlen, die die Entscheidungsfindung im Unternehmen beeinflussen, gehören in diese Kategorie.
  • Juristische Informationen: Dokumente wie Urheberrechte und Verträge, die rechtliche Wirkung haben, gehören zu den vertraulichsten und wichtigsten Informationen, die Unternehmen schützen müssen. Solche Dokumente enthalten Vereinbarungen, die das Unternehmen mit Dritten wie Kunden, Zulieferern oder Mitarbeitern getroffen hat. Sie dienen auch dem rechtlichen Schutz des geistigen Eigentums eines Unternehmens und anderer Vermögenswerte.
  • Personenbezogene Daten: Diese besondere Art von Informationen steht im Mittelpunkt vieler Datenschutzgesetze, insbesondere der DSGVO. Dabei handelt es sich um Kunden- oder Mitarbeiterdaten, die die Identifizierung einzelner Personen ermöglichen.
  • Daten aus dem täglichen Betrieb: Abhängig vom Unternehmen können auch alle anderen oben genannten Arten von Informationen in diese Kategorie fallen. Jede Abteilung im Unternehmen hat spezifische Daten, die sie täglich verarbeitet und die für den Betrieb des Unternehmens notwendig sind. Die Personalabteilung bearbeitet beispielsweise Daten wie Gehalts- oder Gesundheitsinformationen und ist daher maßgeblich am Umgang mit den personenbezogenen Daten der Mitarbeiter beteiligt.

Laut dem Cyber Risk Index (CRI) von Trend Micro und Ponemon fallen die meistgefährdeten Arten von Daten – Ergebnisse von F&E, Kundenkonten, Geschäftsgeheimnisse und vertrauliche Unternehmensdaten – unter mindestens eine dieser Kategorien.

 

Wie kann man geschäftskritische Assets erkennen?

Unternehmen haben in der Regel unterschiedliche Kategorien für die Daten und Informationen, die sie speichern. Jedoch muss jedes Unternehmen eindeutige Parameter festlegen, anhand derer es den Bestand seiner unternehmenskritischen Informationen erfasst. Nachfolgend einige Faktoren, die sie dabei berücksichtigen sollten:

  • Wert: Daten, die ein Unternehmen erhebt und speichert, müssen einen inhärenten Wert haben. Dieser kann sich mit der Zeit ändern oder abnehmen. Aufgabe der Unternehmen ist es, abzuschätzen, welchen Wert ihm die Daten bringen.
  • Risiken: Eine gute Methode zur Prüfung der Wichtigkeit der Daten ist das Abschätzen, welchen Bedrohungen und Risiken sie ausgesetzt sind. Sind sie für böswillige Akteure von Interesse? Wie zugänglich sind sie? So kann ihr Risikoniveau bestimmt und gegebenenfalls der Schutz erhöht werden.
  • Auswirkung: Welche Konsequenzen hat die Kompromittierung oder der Diebstahl bestimmter Informationen? Sind die Auswirkungen so groß, dass sie über die Grenzen des Unternehmens hinausgehen und etwa die Safety oder Security von Kunden beeinträchtigen, müssen Informationen als kritisch geschützt werden.

Welche Daten sollten Unternehmen schützen?

Wurden die kritischen Daten identifiziert, muss eine geeignete Sicherheitsstruktur entworfen werden, um sie vor Kompromittierung zu schützen. Doch auch Daten, die nicht als geschäftskritisch identifiziert wurden, haben immer noch einen Eigenwert und müssen bei der Security-Planung berücksichtigt werden. Dazu gehören die Folgenden:

  • Öffentlich verfügbare Informationen: Unternehmen müssen bestimmte Informationen über sich öffentlich zugänglich machen. Viele Mitarbeiter haben zudem Social-Media-Accounts. All diese Informationen können Cyberkriminellen die Erkundung im Vorfeld eines Angriffs erleichtern.
  • Struktur und Kultur eines Unternehmens: Diese Informationen prägen ein Unternehmen und lassen sich nur schwer in Worte oder tatsächliche Daten fassen. Doch durch Beobachtung und Mundpropaganda werden sie dennoch ersichtlich. Diese Informationen sind für potenzielle Mitarbeiter und Kunden wichtig, doch auch Hacker können mit ihrer Hilfe den Social-Engineering-Aspekt ihrer geplanten Angriffe gestalten, etwa um sich als hochrangige Führungskraft auszugeben.
  • Netzwerkinfrastruktur: Hacker können auch Tools wie “NMAP” nutzen, um speziell zusammengestellte Pakete an Ziel-Hosts zu schicken und dann die Antworten zu analysieren. Dieses Tool kann damit auch für die Aufklärung hinsichtlich Hosts und Services oder Betriebssysteme genutzt werden. Das Wissen über die Netzwerkinfrastruktur eines Unternehmens ermöglicht es Hackern, eine effizientere Kampagne aufzusetzen.

Über diese Informationen muss ein Unternehmen die Kontrolle haben. Das bedeutet, es muss klar sein, dass diese Informationen vorhanden sind, wenn sie öffentlich zugänglich sind.

 

Wie können Unternehmen geschäftskritische Daten schützen?

Die folgenden Schritte zu einem wirksamen Schutz sind empfehlenswert:

  1. Mapping der Daten: Dazu gehört das Wissen, welche Daten gesammelt werden und wo sie gespeichert sind. Zu diesem Schritt gehört auch die Frage, welche Informationen aus der Kombination verschiedener Daten gewonnen werden können, wenn sie gemeinsam analysiert werden. Damit lässt sich ein Überblick darüber gewinnen, welche Bereiche oder Abteilungen über kritische Daten verfügen.
  2. Identifizieren kritischer Daten: Ausgehend von den erfassten Daten können Unternehmen beginnen, ihre unternehmenskritischen Daten zu identifizieren oder neu zu bewerten. Darauf aufbauend können sie Sicherheitsressourcen priorisieren und das Risikoniveau ermitteln, das sie für den Schutz dieser Vermögenswerte eingehen würden.
  3. Bewerten von Bedrohungen: Unternehmen müssen die möglichen Bedrohungsakteure, die es auf ihre Informationen abgesehen haben, antizipieren und erkennen. Das kann dabei helfen, Abwehrmaßnahmen zu entwerfen, mit denen sie sich vor bekannten Angriffstechniken schützen können.
  4. Planung und Einführung erforderlicher Sicherheitsmaßnahmen: Mit diesem Wissen sind Unternehmen in der Lage, Sicherheitsmaßnahmen aufzusetzen. Ein guter erster Schritt ist beispielsweise,  die Verschlüsselung von Daten sowohl im Speicher als auch während der Übertragung sicherzustellen. Damit können die negativen Folgen verringert werden, die dadurch entstehen, dass sie in die falschen Hände geraten.

Unternehmen sind insgesamt angehalten, einen starken Netzwerkschutz implementieren, der Bedrohungen von verschiedenen Einstiegspunkten aus blockiert und verhindert, dass sie die geschäftskritischen Informationen erreichen. Eine mehrschichtige Netzwerk-Sicherheitslösung und vollständige Sichtbarkeit des gesamten Netzwerkverkehrs sowie ein Intrusion Prevention System (IPS) helfen Unternehmen, den Bedrohungen einen Schritt voraus zu sein.

Um stattgefundene Angriffe schnellstmöglich zu erkennen und zu beseitigen, bevor wertvolle Daten abfließen, sollten Unternehmen zudem in Fähigkeiten für Detection and Response investieren. Dabei sollte neben den Endpunkten die gesamte IT-Infrastruktur mit E-Mails, Netzwerk, Server und (hybriden) Cloud-Workloads in den Blick genommen werden.

Richard Werner ist Business Consultant bei Trend Micro.

 

Lesen Sie mehr zum Thema

TREND MICRO Deutschland GmbH TREND MICRO Deutschland GmbH Sicherheit Viren-/Malware-Schutz
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu TREND MICRO Deutschland GmbH

Sicherheitslücken gefährden 5G-Netze

Studie: Einsatz privater drahtloser Netzwerke wächst stark

Eine Herausforderung unserer Zeit 

KI-generierten Betrug verhindern

VicOne und ZDI: Pwn2Own Automotive 2025

Ethical Hacking für mehr Cybersicherheit in Fahrzeugen

Bericht von Trend Micro

So entwickelt sich der Cyber-Untergrund

CES 2025: Trend Micro und Intel

Gemeinsam gegen versteckte Bedrohungen

Weitere Artikel zu TREND MICRO Deutschland GmbH

Cybersicherheitsvorhersagen für 2025

Bedrohung durch bösartige digitale Zwillinge

Trend Micro: Earth Estries aktiv

Gefahr durch langfristige und gezielte Angriffe

Advertorial

Im Compliance-Dschungel den Überblick behalten

Trend Micro kommentiert BSI-Bericht 

Kann eine NIS2-Ausweitung helfen?

Zunehmender Missbrauch von GenAI

Deepfake-Tools werden allgegenwärtig

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Matchmaker+
Securepoint GmbH

Securepoint GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
easybell GmbH

easybell GmbH
Vertiv GmbH

Vertiv GmbH
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.