Top Ten für Datenschutz und -sicherheit

Eine Strategie für Datenschutz und -sicherheit ist eine Selbstverständlichkeit, die in der Praxis oft fehlt. Eine solche Strategie muss neben Maßnahmen für Datenschutz und -sicherheit auch konkrete Pläne für den Katastrophenfall und eine schnelle und zuverlässige Wiederherstellung verlorener oder kompromittierter Daten beinhalten. Spezielle Aufmerksamkeit verdienen sensible Daten von Kunden und Partnern.

2. Verschlüsselung

Verschlüsselung ist die wichtigste Einzelmaßnahme zum Schutz von Daten. Sie trägt der Tatsache Rechnung, dass sich ein illegaler Zugriff auf Daten nicht mit hundertprozentiger Sicherheit verhindern lässt. Zwar können auch verschlüsselte Daten Cyberkriminellen in die Hände fallen. Sie sind für diese aber absolut wertlos. Sensible Daten sollten während ihrer gesamten Lebensdauer verschlüsselt sein, im Ruhezustand ebenso wie bei der Übertragung. Überspitzt gesagt: Verschlüsseln Sie Ihre Daten, bevor es ein Ransomware-Krimineller tut!

3. Multi-Personen-Authentifizierung

Die Nützlichkeit von Multi-Faktor-Authentifizierung (MFA) hat sich inzwischen herumgesprochen. Multi-Personen-Authentifizierung (MPA) geht einen Schritt weiter, indem kritische Aufgaben die Genehmigung mehrerer Befugter benötigen. Dies ist eine der einfachsten Möglichkeiten, Datenexfiltration oder -löschung zu verhindern. Warum sollten Ihre Daten auch nicht so sicherer sein, wie die Atomraketen der Großmächte?

4. Unveränderliche Datenspeicherung

Bei unveränderlicher Speicherung können bestimmte Daten geschrieben, aber nicht verändert oder gelöscht werden. In Kombination mit MPA kreiert die unveränderliche Speicherung eine hochsichere Datenspeicherebene, die sich perfekt für die Speicherung vertraulicher Daten eignet. Entsprechend entwickelt sich unveränderliche Speicherung schnell zu einem Standardbestandteil von Data-Governance-Vorschriften wie GDPR und HIPAA.

5. Datensouveränität

Allzu häufig verstoßen Organisationen gegen Vorschriften, die den Ort der Verarbeitung und Speicherung ihrer Daten festlegen. Jeder Ort, an dem sich private Daten befinden, auch wenn sie dort nur vorübergehend gespeichert sind, muss sich gemäß den gesetzlichen Bestimmungen in einer bestimmten Region befinden. Bei Missachtung riskieren Organisationen einen Image-Schaden, und empfindliche finanzielle Strafzahlungen. Gegebenenfalls hat eine Geschäftsführerin oder ein Geschäftsführer auch persönlich für etwaige Verstöße zu haften.

6. Data Governance & Kontrolle

Eine kürzlich durchgeführte Studie fand heraus, dass knapp ein Viertel der deutschen Unternehmen keinen genauen Überblick hat, wo seine sensibelsten Daten gespeichert sind. Um ihre Daten effizient schützen zu können, müssen Organisationen aber zunächst einmal wissen, welche Daten sie haben, wo sie sich befinden und welche Daten gefährdet sind. Man kann nicht schützen, was man nicht kennt!

7. Klassifizierung von Daten

Zu wissen, welche Daten vorhanden sind und wo sie sich befinden, ist nur ein Teil der Lösung. Organisationen müssen überlegen, welche Daten sensible Kundendaten, geschäftskritische Daten usw. sind und welche Bedeutung sie für die Organisation und ihre Kunden haben. Wenn ein Unternehmen nur Daten vor Ort schützt, entgehen ihm möglicherweise einige wichtige Kundendaten, die in seiner SaaS-basierten CRM-Lösung gespeichert sind. Apropos, Sie können sich nicht nur auf Ihren SaaS-Anbieter oder Ihren IaaS-Cloud-Provider verlassen, wenn es um den Datenschutz für Ihre Daten geht. Die Verantwortlichkeit für Ihre Daten liegt letztlich immer bei Ihnen, auch im Falle sogenannter „shared responsibility“.

8. Aufbewahrungsdauer

Es ist von entscheidender Bedeutung zu wissen, welche Daten vorhanden sind und wie wichtig sie sind, aber auch, wie lange sie relevant bleiben? Diese Frage ist für die meisten Organisationen schwer zu beantworten und findet seinen Niederschlag im Kauf immer größerer Speichersysteme. Die Möglichkeit, Daten eine voraussichtliche Lebensdauer zuzuordnen, kann sich erheblich auf die Bilanz eines Unternehmens auswirken und die privaten Daten der Kunden schützen. Systeme zum automatischen Auffinden, Klassifizieren und Festlegen von Aufbewahrungsfristen verringern das ungebremste Wachstum der Datenmenge, verkürzen die Zeit für die Wiederherstellung ungenutzter Daten und senken die Kosten.

9. Testen und aktualisieren

Das Testen und Aktualisieren von Resilienzplänen, oft auch als „Runbooks“ bezeichnet, ist ein regelmäßig übersehener Aspekt einer Datenschutzstrategie. Die Zusammenarbeit mit Lösungsanbietern oder strategischen Datenschutzunternehmen, die Erfahrung mit der Erstellung eines Plans haben, kann den Zeitaufwand für die Aktualisierung erheblich verringern. Manche mögen Runbooks für überholt halten. Im Fall der Fälle erweisen sie sich aber immer wieder als zentrale Ressource, um alle Maßnahmen und Beteiligten zu koordinieren.

10. Risikobewertung

Wie erwähnt sollten Organisationen mit strategischen Partnern zusammenarbeiten, um halbjährlich oder jährlich eine Risikobewertung durchzuführen. Regelmäßige Assessments können dazu beitragen, das Muskelgedächtnis für eine solide Datensicherheit und eine solide Einstellung zum Datenschutz aufzubauen. Der Vorteil der Zusammenarbeit mit etablierten Anbietern für Datenschutz und -sicherheit besteht u.a. darin, dass sie über die neuesten Bedrohungen und Strategien zur Risikominderung auf dem Laufenden sind.