Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Die genaue Datensicherheits-Roadmap, die wir mit über 7.000 CISOs verwendet haben

Geschrieben von Rob Sobers | Jun 15, 2023 2:18:58 PM

Die Daten Ihres Unternehmens vor Angreifern zu schützen und gleichzeitig alle Datenschutzgesetze einzuhalten ist eine schwierige Aufgabe für jeden CISO. Häufig fühlt es sich völlig unmöglich an, als müsste man einen Boxkampf gewinnen, während man Einrad fährt und Bälle jongliert.

Aber Sie sind nicht allein!

Bei einer ganzen Reihe namhafter Marken kam es allein in den letzten sechs Monaten zu aufsehenerregenden Datenschutzverstößen.

Doch Unternehmen haben überall damit zu kämpfen, dass der traditionelle Ansatz zur Informationssicherheit mangelhaft und veraltet ist.

Wir sehen oft, wie ein CISO seine ganze Zeit damit verbringt, sich auf Endpoints, Perimeter und Firewalls zu konzentrieren, wobei die Datensicherheit selbst in den Hintergrund tritt.

Bis es zu einem Vorfall kommt.

Herkömmliche Sicherheitsmaßnahmen sorgen vielleicht für gesetzliche Compliance und beruhigen das Management – sie verdecken jedoch oft die Probleme nur, bis es dann zu einem Vorfall kommt, oder bis Datenschutzvorschriften wie CCPA und DSGVO einen zum Kurswechsel zwingen.

Sichern Die sich Ihre Datenrisikoprüfung gratis

Bis dahin ist man extrem überfordert davon, seine Datensicherheit in Ordnung zu bringen, und man weiß kaum, wo man ansetzen soll.

In diesem Artikel beantworten wir die folgenden Fragen:

  • Warum CISOs Schwierigkeiten haben, ihre Datensicherheit zu bewältigen
  • Warum der traditionelle Ansatz zur Cybersicherheit mangelhaft und riskant ist
  • Wie die Datensicherheits-Roadmap von Varonis funktioniert, mit der wir schon über 7.000 CISOs geholfen haben, und wie Sie sie in Ihrem Unternehmen umsetzen können

Mit diesem Artikel können Sie einen umsetzbaren Plan zum Schutz Ihrer Daten entwickeln, nach einer Roadmap, die wir in unseren fünfzehn Jahren im Bereich der Cybersecurity stetig weiterentwickelt haben.

Die Zeiten ändern sich

Die meisten Unternehmen tendieren bei der Planung und Definition ihres Cybersecurity-Playbooks dazu, nach dem gängigen Muster zu arbeiten. Hierbei arbeitet man von außen nach innen, konzentriert sich auf externe Geräte und versucht zu verhindern, dass sie auf die eigenen Daten zugreifen.

Die Maßnahmen hierzu umfassen beispielsweise Endpunkt-Schutz, SIEM, Datenverlustprävention und Firewalls.

Und dieser Ansatz war lange Zeit effektiv. Nämlich solange das Team all seine Dateien und Daten auf seinen eigenen Computern, lokal verwalteten Servern oder lokalen Rechenzentren gespeichert hatte.

Doch in den letzten Jahren hat sich vieles daran geändert, wie Unternehmen Daten erstellen, speichern und darauf zugreifen.

Heutzutage werden Daten an verschiedenen Standorten, in Cloud-Speichern und in SaaS-Anwendungen gespeichert. All diese Speicherorte speichern und verarbeiten verschiedene Versionen Ihrer Daten.

Aus diesem Grund schützt dieser weit verbreitete Ansatz Ihre Daten einfach nicht mehr effektiv.

Als CISO können Sie Ihre Daten nicht zuverlässig schützen, wenn Sie nicht einmal wissen, dass Paul aus der Buchhaltung das Team schon wieder bei einer nicht genehmigten SaaS-App angemeldet hat.

Das macht Ihre Daten angreifbar, und solche Probleme lassen sich mit dem herkömmlichen Ansatz nicht lösen.

Mehr als nur ein technisches Problem

Aber es ist nicht (ausschließlich) Pauls Schuld.

Ihre Organisation ist voll von Menschen, die jeweils eigene Prioritäten, Verantwortlichkeiten und Fehler haben. Sie treffen Entscheidungen, die ihrer Arbeitsweise und ihren Zielen entsprechen.

Deshalb können Sie die Datensicherheit nicht ausschließlich als technisches Problem betrachten.

Wenn wir über Cybersicherheit sprechen, konzentrieren wir uns meistens auf Apps, Datenbanken und APIs. Das ist ein wichtiger Teil des Ganzen, aber es zeigt nicht das ganze Bild. Die Menschen in Ihrem Unternehmen spielen eine ebenso große Rolle und können oft ein noch größeres Risiko darstellen als die Technik.

Interne Sicherheitsrichtlinien sind ein gutes Beispiel.

Jedes Unternehmen weiß, dass es Sicherheitsrichtlinien haben sollte, und die meisten brauchen diese für die Compliance mit Standards und gesetzlichen Vorschriften. Aber oft läuft es darauf hinaus, solche Richtlinien nur als Dokumente zu erstellen und sie nicht effektiv zu implementieren.

Und jeder CISO weiß: Nur weil man jemanden dazu bringt, ein Dokument zu unterschreiben, heißt das noch lange nicht, dass er oder sie sich auch tatsächlich daran halten wird.

Ein weiteres Problem, mit dem Sie konfrontiert werden, besteht darin, dass Ihr Unternehmen jeden Tag riesige Datenmengen erzeugt. Es ist schlichtweg sinnlos, zu versuchen, den Überblick darüber zu behalten, wer was erstellt, speichert, darauf zugreift usw.

Wenn Sie beispielsweise eine Datei mit sensiblen Daten haben, woher wissen Sie, wer darauf zugreifen kann? An Tag 1 hat womöglich nur eine Person Zugriff darauf und Sie halten somit alle Richtlinien und Vorschriften ein.

Aber dann teilt diese Person die Datei mit einem Kollegen in einem anderen Team. Dieser teilt sie dann mit einer größeren Gruppe, ohne zu wissen, dass sie sensible Daten enthält. Wenn dann jemand in dieser Gruppe den Inhalt für eine Verkaufspräsentation verwendet, ist Ihre Compliance plötzlich nicht mehr gesichert, und Sie setzen sich einem Risiko aus.

Das klingt vielleicht übertrieben, ist es aber nicht. Solche Situationen entstehen sehr schnell, und oft scheint es unmöglich, sie zu verhindern.

Der erste Schritt besteht darin, zu verstehen, dass es keine Patentlösung für dieses Problem gibt (so sehr wir uns das auch wünschen würden). Die Realität ist, dass Ihr Unternehmen auch weiter neue Daten erstellen, neue Mitarbeitende hinzufügen und leider auch Mitarbeitende aus dem Team entfernen wird.

Anstatt am alten Schema festzuhalten und zu hoffen, dass alles gutgeht, müssen Sie vielmehr umdenken und einen datenorientierten Ansatz verfolgen.

Dazu müssen Sie die Daten, die bereits gefährdet sind, identifizieren, Ihre Daten sichern und Frameworks und Tools zur automatischen Sicherung Ihrer Daten implementieren.

Die Datensicherheits-Roadmap von Varonis

Im letzten Abschnitt haben wir den Kern des Problems erläutert: Niemand kann erwarten, dass herkömmliche Cybersicherheitsstrategien im Cloud-Zeitalter noch effektiv sind.

Deshalb haben wir eine Roadmap für Datensicherheit entwickelt, mit der einige der größten Unternehmen weltweit, beispielsweise Coca-Cola, ING und Toyota, ihre Datensicherheit optimiert haben. Außerdem konnten wir diesen Unternehmen dabei helfen, auch langfristig eine starke Datensicherheitslage umzusetzen.

Wir haben diese Roadmap über fünfzehn Jahre hinweg weiterentwickelt, speziell um Unternehmensdaten zu schützen und die Einhaltung aller einschlägigen Vorschriften wie DSGVO, HIPAA und SOX zu gewährleisten.

Sichtbarkeit in Echtzeit

Bevor wir etwas anderes unternehmen, müssen wir uns ein klares Bild davon machen, wie viele Ihrer Daten gefährdet sind. Das erreichen wir, indem wir alle Ihre Daten automatisch auswerten und die Ergebnisse in einem Bericht zusammenfassen.

Wir haben bereits darüber gesprochen, dass es schwierig ist, zu wissen, womit man anfangen soll. Diesen ersten Schritt übernimmt die Datenermittlung.

Wir analysieren, wo sich Ihre Daten befinden, wie die Umgebung aussieht und wie alles konfiguriert ist.

Wir sehen uns auch den Zugriff und die Berechtigungen Ihrer Daten an – und zwar über Ihre verschiedenen Cloud-Speicher, SaaS-Anwendungen usw. Wir analysieren, wer auf welche Daten zugreift, wie diese Daten genutzt werden und welche Verhaltenstrends vorliegen.

Mithilfe dieser Informationen können wir potenzielle Probleme und Risiken identifizieren und priorisieren. Dieser Prozess ist extrem wichtig, da Probleme sich hinsichtlich Schwere und potenzieller Auswirkungen stark unterscheiden können.

Wir hatten zum Beispiel schon einen Fall, in dem ein Marketingteam die Social-Media-Passwörter seines Unternehmens in OneDrive speicherte, einen öffentlichen Link zu der Datei teilte und dieser dann von Google indexiert wurde.

In einem anderen Fall hatte ein Berater immer noch Zugang zu den Unterlagen bezüglich der Boni eines Unternehmens, obwohl er sechs Monate zuvor aufgehört hatte, für sie zu arbeiten. Er griff auch immer noch jeden Tag darauf zu.

Sie können sich unseren Beispielbericht einer Datenrisikobewertung hier ansehen, um eine bessere Vorstellung davon zu bekommen, welche Informationen dort enthalten sind.

Wenn der Zugriff intern auf eine kleine Anzahl von Personen beschränkt ist, ist die Wahrscheinlichkeit geringer, dass daraus Probleme entstehen. Aber wenn Daten extern geteilt werden, besteht ein viel größeres Risiko.

Das Ziel hier besteht darin, sich ein Bild von der Gesamtlage zu machen und Risiken von Anfang an zu erkennen. Bei Varonis nennen wir das „Day-1-Value“, weil Sie so von Anfang an Ihre Daten besser schützen können.

Wir hatten auch schon Kunden, die Varonis am Dienstagmorgen installierten und um 16 Uhr einen Anruf von unserem proaktiven Vorfallsreaktionsteam erhielten, dass soeben ein Ransomware-Angriff aufgehalten worden war.

Lernen und justieren

Sobald die Installationsphase abgeschlossen ist, sind Sie mit den meisten Cybersecurity-Tools auf sich allein gestellt. Leider hilft Ihnen das nicht wirklich. Tatsächlich ist es oft noch verwirrender, diese Ergebnisse zu interpretieren und zu priorisieren.

Machen Sie sich keine Sorgen, wir lassen Sie nicht im Stich.

Stattdessen wertet die Varonis-KI die Metadaten aus, die wir aus Ihren Umgebungen abgeleitet haben, und erstellt ein Modell, damit wir Ihre Daten kontinuierlich analysieren können. Ziel ist es, diese Verhaltensinformationen zu nutzen, um einen Informationskontext rund um Ihre Daten zu schaffen, damit Sie und Ihr Team bessere und fundiertere Entscheidungen treffen können.

Dazu verwenden wir drei Instrumente:

  • Sensibilität – wo befinden sich die sensiblen Daten und auf welche Art sind sie sensibel?
  • Berechtigungen – wer hat Zugriff auf welche Daten?
  • Aktivität – wie haben die Leute mit den Daten interagiert?

Anschließend kombinieren wir diese Verhaltensmodelle mit unserer Bedrohungserkennung, um automatisierte Berichte und Alerts einzurichten. Außerdem integrieren wir Cybersicherheitstechnologien wie SIEM, DLP und SOAR.

Wenn dieser Prozess genau abgestimmt und an Ihre Daten angepasst ist, erhalten Sie nicht nur eine Liste mit Empfehlungen für Verbesserungen und Änderungen, sondern auch über die Kontextinformationen, die Sie benötigen, um in der nächsten Phase fundierte Entscheidungen zu treffen.

Gegenmaßnahmen

Als CISO reicht es nicht aus, nur die Risiken und Probleme zu identifizieren – Sie müssen sie auch lösen. In der Vergangenheit konnte man das machen, indem man Fachkräfte auf bekannte Probleme ansetzte.

Aber selbst wenn Sie ein ganzes Heer von Subunternehmern anheuern, um die von Ihnen gefundenen Probleme zu beheben, ist Ihre Liste schon veraltet, sobald sie erstellt wird. Ganz zu schweigen vom enormen zeitlichen und finanziellen Aufwand.

Stattdessen behebt Varonis die Probleme automatisch für Sie, indem es die Empfehlungen aus der vorherigen Phase umsetzt und Risiken in allen Ihren Umgebungen reduziert.

Das geschieht mithilfe unserer DSPM-Funktionen (Data Security Posture Management), die veraltete und redundante Berechtigungen entfernen, Ihr Active Directory stärken und automatisch Richtlinien für die Datenspeicherung und Quarantäne erstellen.

Das Ziel besteht darin, den potenziellen Schaden so schnell und effizient wie möglich zu minimieren.

Wenn Sie zum Beispiel einen Mitarbeitenden haben, der kürzlich die Abteilung gewechselt hat, hat er wahrscheinlich immer noch die nötigen Berechtigungen, auf die Systeme und Daten seiner vorherigen Position zuzugreifen. Varonis weist nicht nur auf dieses Problem hin, sondern behebt es auch automatisch, sodass er nur auf das zugreifen kann, was er für seine neue Position benötigt.

Unsere automatische Sanierung deckt vier Arten von Risiken ab:

Daten-Exposure

Es ist schwierig, den Überblick darüber zu behalten, was jede Person in Ihrem Unternehmen tut. Oft kommt es vor, dass Personen unbeabsichtigt sensible Daten an Dritte weitergeben. Dies kann dazu führen, dass Ihre sensiblen Daten gestohlen, gelöscht oder bearbeitet werden.

Beispielsweise könnte jemand in Ihrem Unternehmen Zugangsdaten für Social Media in Microsoft 365 speichern und diese über „Anyone“-Links teilen. Das würde bedeuten, dass jeder, der über den Link verfügt, auf Ihre sensiblen Daten zugreifen und sich bei Ihren Social-Media-Konten anmelden könnte.

Fehlkonfiguration

Die Konfiguration Ihrer SaaS- und Cloud-Apps spielt eine große Rolle für Ihre Datensicherheit. Daher ist es wichtig, Fehlkonfigurationen zu erkennen und diese effizient zu beheben.

Wenn Ihr Unternehmen beispielsweise Zoom verwendet, wurde das möglicherweise versehentlich falsch konfiguriert, damit Teilnehmer ihre Meetings lokal aufzeichnen können. Dies könnte ein Risiko für Sie darstellen, wenn Sie sensible Informationen besprechen.

Identitätsrisiko

Je mehr ein Unternehmen wächst, desto mehr ist es auch Identitätsrisiken ausgesetzt. Mit diesem Begriff werden Schwachstellen in den Identitäts- und Zugriffsmanagementprozessen eines Unternehmens bezeichnet.

Wenn beispielsweise ein Mitarbeitender Ihr Unternehmen verlässt, sein Zugriff jedoch nicht beendet wird, sind Ihre sensiblen Daten gefährdet.

Die Schritte zum Erfolg

In der letzten Phase unserer bewährten Roadmap geht es weniger um große, bombastische Aktionen als vielmehr um die Aufrechterhaltung der Qualität, Beständigkeit und Compliance Ihrer Daten.

Bei den vorherigen Schritten ging es sozusagen darum, abzunehmen, und nun geht es darum das erreichte Gewicht zu halten.

Während Ihr Unternehmen wächst und sich weiterentwickelt, führen Sie neue Tools und Plattformen ein, und Ihre Daten wachsen weiter und breiten sich aus. Es werden auch neue Risiken und Vorschriften aufkommen, auf die Sie vorbereitet sein müssen.

In dieser Phase geht es darum, über alle Neuigkeiten auf dem Laufenden zu bleiben und gleichzeitig Ihre bestehenden Umgebungen zu warten. Unser Team arbeitet mit Ihnen zusammen, um regelmäßig neue und bestehende Risiken, den Geschäftswert und den Reifegrad Ihrer Sicherheitslage zu überprüfen.

Wir helfen Ihnen auch dabei, Ihre Tools sicher zu halten, ohne unnötige Updates durchführen zu müssen.

Im Wesentlichen durchlaufen wir die vorangegangenen Phasen iterativ, sodass Sie sich ständig in einem sicheren und konformen Zustand befinden, während sich das Umfeld ändert und Ihr Unternehmen sich weiterentwickelt.

Fazit

Angesichts des zunehmenden Drucks durch gesetzliche Vorschriften und des hohen Risikos von Datenschutzverletzungen müssen CISOs die Datensicherheit als eine der wichtigsten Säulen ihrer Sicherheits-Roadmap betrachten. Das bedeutet, dass wir nicht mehr von außen nach innen arbeiten dürfen, sondern uns eher auf einen Data-First-Ansatz konzentrieren müssen.

Doch angesichts der zunehmenden Datenerstellung und -speicherung in allen Branchen ist dies ohne einen Plan und eine geeignete Plattform eine quasi unmögliche Aufgabe.

Indem Sie der Datensicherheits-Roadmap von Varonis folgen, mit der wir bereits mehr als 7.000 Unternehmen helfen konnten, können Sie Ihre Datensicherheitslage erheblich verbessern.

Möchten Sie wissen, wie gefährdet Ihre sensiblen Daten sind? Erhalten Sie eine kostenlose Datenrisikobewertung im Rahmen einer Varonis-Testversion.