Datenschutz und Planung für den Fall von Datensicherheitsverletzungen bei Unternehmen

Datenschutz und Planung für den Fall von Datensicherheitsverletzungen bei Unternehmen

By Jai Dargan | February 02, 2017

Im neuen Memorandum des Office of Management and Budget (dem US-amerikanischen Amt für Verwaltung und Haushaltswesen - OMB) sind Datensicherheitsverletzungen und Standards für die Sicherung personenbezogener Informationen definiert; diese können IT-Teams helfen, besser auf Datensicherheitsverletzungen, wovon personenbezogene Daten betroffen sind, vorbereitet zu sein. Wenn Sie erhebliche Bedenken angesichts Ihrer Datensicherheit haben, können Sie unser eBook „5-Schritte-Plan zur Sicherung von SharePoint“ downloaden; dieses enthält eine Reihe praktischer Informationen darüber, wie Sie die Sicherheit Ihrer SharePoint-Inhalte gewährleisten können.
5 schritte plan zur sicherung von sharepoint
Der jährliche Datenschutztag am 28. Januar soll das Bewusstsein von Privatpersonen und Unternehmen über die Wichtigkeit des Online-Datenschutzes stärken. Dass der „Data Privacy Day“ (DPD) noch nicht sehr stark bekannt ist, ist deswegen sehr bedauerlich, da die Wahrnehmung der Datensicherheit ein wichtiger Aspekt für die Möglichkeit von Datensicherheitsverfehlungen ist.

Als aufmerksamer Beobachter von willkürlich festgelegten weltweiten Aktions- und Thementagen schätze ich das Sentiment des DPD, insbesondere angesichts eines allgemeinen Risikoumfeldes, in dem die Datensicherheit durch zunehmende Gefährdungen bedroht ist. Datensicherheitsverfehlungen nehmen stets weiter zu, sensible Daten werden exponiert, Identitätsdiebstähle ereignen sich und Unternehmen (ganz zu schweigen von Privatverbrauchern) sind mit der schwierigen Herausforderung konfrontiert, angesichts einer wachsenden Bedrohungsoberfläche stets einen Schritt voraus zu sein.

Doch während Aktions- und Thementage durchaus eine gute Absicht verfolgen, so reichen diese alleine nicht aus, um Privatverbraucher und Unternehmen an die Wichtigkeit ihres Online-Datenschutzes zu erinnern. Insbesondere Unternehmen müssen darauf achten, wie sie personenbezogene Informationen ihrer Mitarbeiter, Kunden und Geschäftspartner speichern und die Wirksamkeit ihrer Sicherheitspraktiken kontinuierlich neu bewerten.
In dieser Hinsicht wurden vom „Office of Management & Budget“ (OMB) der Regierung unter Obama neue Richtlinien für die US-amerikanischen Exekutivorgane über die Vorbereitung und Reaktion auf Datensicherheitsverfehlungen herausgegeben. Dieses Memorandum 17-12 ist auch für jedermann, der im kaufmännischen Sektor im Bereich des Datenschutzes und der IT-Sicherheit tätig ist, durchaus relevant.
Secure your Sharepoint
Was ich persönlich an dem M-17-12 schätze, ist die Tatsache, dass es eine kohärente, fokussierte Grundlage für die Planung der Datensicherheit im Zusammenhang mit personenbezogenen Informationen bietet. Dies ist wichtig, weil personenbezogene Informationen einen Vermögenswert ebenso wie eine Verbindlichkeit des Unternehmens darstellen.

Unternehmen haben sehr stichhaltige Gründe für die Einholung und Speicherung solcher Informationen, insbesondere von ihren Mitarbeitern und Kunden. Doch diese Daten sind allzu oft nicht angemessen klassifiziert und unzureichend gesichert und somit exponiert, was nicht nur erhebliche finanzielle und rechtliche Risiken, sondern auch Risiken in Bezug auf das Ansehen für die Verwalter dieser Daten in den Unternehmen mit sich bringt.

Warum Definitionen von Daten und Datensicherheitsverfehlungen wichtig sind

In einem früheren Blog habe ich erklärt, warum organisatorische Stakeholder eine einheitliche Definition des Konzepts "sensibler Daten" finden müssen, bevor sie einen Information Governance-Prozess einleiten. Keine zwei Mitarbeiter in einem Team, geschweige denn innerhalb desselben Unternehmens, werden ein und dieselbe gemeinsame Definition "sensibler Informationen" haben. Diese mangelnde Eindeutigkeit ist einer der vielen Gründe, weshalb Initiativen zur Klassifizierung von Informationen in den meisten Unternehmen scheitern.

Außerdem ist es auch nicht die Aufgabe der IT-Abteilung, zu bestimmen, welche Informationen geschützt werden müssen; die Klassifizierung und der Schutz von Informationen ist eine Aufgabe der Leiter von Geschäftszweigen, die im Rahmen ihrer Stellenbeschreibungen Inhalte erstellen, speichern und an andere freigeben.

In vielen Unternehmen müssen insbesondere stark reglementierte Geschäftsbereiche, juristisches Personal, Mitarbeiter des Personalwesens und Compliance-Teams an diesen Verfahrensweisen beteiligt sein. IT-Führungskräfte müssen geeignete Sicherheitsmaßnahmen implementieren, um zu gewährleisten, dass die Business User die Informationssysteme des Unternehmens auf eine solche Art und Weise zu ihrem Vorteil nutzen, dass die Usability und Produktivität nicht beeinträchtigt werden; doch die Entscheidungen sollten nicht bei ihnen liegen.

Kurzum, Definitionen sind wichtig, denn sie dienen als eine solide Grundlage und ein wichtiger Ausgangspunkt für die Information Governance und die Sicherheitsplanung des Unternehmens. Unstrukturierte Daten können mit sehr viel höherer Wahrscheinlichkeit geschützt werden, wenn alle Beteiligten verstehen, welche Inhalte zu sichern sind.

In dem Memorandum M-17-12 sind präzise Definitionen eines sogenannten "Datenvorfalls", im Vergleich zu einer "Datensicherheitsverfehlung", festgelegt. Diese Definitionen sind ein ausgezeichneter Ausgangspunkt für Unternehmen, um mit der Planung ihrer Information Governance und ihrer Datensicherheit zu beginnen oder diese neu zu bewerten:

Definition eines Vorfalls: Ein Ereignis, welches (1) ohne rechtmäßige Befugnis in einer tatsächlichen oder bevorstehenden Gefährdung der Integrität, Vertraulichkeit oder Verfügbarkeit von Informationen oder eines Informationssystems resultiert; oder welches (2) eine Verletzung oder bevorstehende Bedrohung oder Verletzung von Rechtsvorschriften, Sicherheitsverfahren oder akzeptablen Benutzerrichtlinien darstellt.

Definition einer Sicherheitsverfehlung: Der Verlust der Kontrolle, die Beeinträchtigung, unerlaubte Weitergabe, der unerlaubte Erwerb oder jedes ähnliche Ereignis, bei dem (1) eine andere Person außer einem rechtmäßigen Benutzer auf personenbezogene Informationen zugreift oder potenziell darauf zugreift; oder (2) ein rechtmäßiger Benutzer für einen anderen als den rechtmäßigen Zweck auf personenbezogene Informationen zugreift oder potenziell darauf zugreift.

Damit stehen bei dieser Unterscheidung eindeutig personenbezogene Informationen im Mittelpunkt. Mit anderen Worten: Eine Sicherheitsverfehlung muss also einen Verlust, eine Weitergabe oder einen 'unerlaubten Zugriff' auf personenbezogene Informationen beinhalten.

Dies ist eine sehr wichtige Unterscheidung. Doch damit wird auch ein recht niedriger Maßstab für das, was eine Sicherheitsverfehlung darstellt, gesetzt.
SharePoint

Aktive Schritte zu einem besseren Datenschutz

Betrachten wir einen beispielhaften Fall etwas näher:

Ein gewöhnlicher Endnutzer, der keinerlei bösen Absichten hat, stößt auf eine Excel-Datei. Diese enthält Einzelheiten über die Gehälter sowie die Sozialversicherungsnummern der gesamten Angestellten des Unternehmens. Diese Datei war in einer Dokumentenbibliothek innerhalb der SharePoint-Teamwebsite der Finanzabteilung gespeichert.

Leider waren die Zugriffsberechtigungen für diese Datei nicht mehr intakt, so dass dieser User auf die Datei ohne Hindernisse zugreifen konnte und Informationen zu sehen bekam, zu deren Einsichtnahme er keine Befugnis hatte.
Dieses würde ganz gewiss eine Datensicherheitsverfehlung gemäß der Definition von M-17-12 darstellen. Und je nach einer Reihe sonstiger Regulierungsaspekte könnte dies auch in der Auslösung von Meldepflichten wegen einer Datensicherheitsverfehlung resultieren.

Sicherheitsverfehlungen müssen nicht durch externe Personen verursacht werden, und sie müssen auch keine bösartigen Handlungen sein. Tatsächlich beinhaltet die Definition einer Datensicherheitsverfehlung gemäß M-17-12 keine vorsätzliche Handlung; eine Sicherheitsverfehlung kann eintreten, z. B. weil ein Administrator die Berechtigungsverwaltung für eine Website mit Dateien voller personenbezogener Informationen unterlassen hat.

Auf mögliche Datensicherheitsverfehlungen vorbereitet zu sein und der Datenschutz sind zwei ineinandergreifende Ziele.

Ein Unternehmen, das seine Pflichten in Bezug auf den Datenschutz kennt und das aktive Maßnahmen zum Schutz seiner personenbezogenen Informationen ergreift, ist im Vergleich zu einem Unternehmen, das lediglich darüber nachdenkt, wie es einen Netzwerkumkreis gegen einen möglichen Angriff verteidigen kann, Lichtjahre voraus.

Was bedeutet dies für Sie?

Bei Metalogix vertrauen viele der größten Banken, Organisationen des Gesundheitswesens und Regierungsbehörden auf unsere Lösungen und unsere Beratung zur Verwaltung und zum Schutz ihrer firmenbezogenen Inhalte innerhalb von Microsoft SharePoint, Office 365 und Filesharing-Systemen.

Der Datenschutz ist heute ein so wichtiger Aspekt, der nicht mehr zu vernachlässigen ist, und wir sind hier, um Sie in dieser Hinsicht zu unterstützen.
Falls Sie gerne mehr darüber erfahren möchten, werfen Sie gern auch einen Blick in unser eBook „5-Schritte-Plan zur Sicherung von SharePoint“.


Jai Dargan

Jai Dargan is a Senior Director of Product Management at Metalogix, where he directs the strategy Metalogix’s security and compliance solutions. In this capacity, Jai guides the direction of Metalogix products aimed at securing content collaboration, including ControlPoint, Sensitive Content Manager, and Insider Threat Index. Prior to Metalogix, Jai was a co-founder at Pim Labs, LLC, a startup company (acquired by Metalogix) that built solutions for securing social networks and sensitive content. He holds a Masters Degree from Georgetown University and an undergraduate degree from New York University.

Written By: Jai Dargan

Leave a Comment

Add new comment