Data Governance – Datensicherheit hat Vorrang

Es folgt die Einschätzung von Arne Jacobsen, Director DACH, Varonis Systems:

Der US-amerikanische Sicherheitsanbieter Varonis diskutiert mit seinen Kunden wie sie sich mithilfe von automatisierten Datenmanagementlösungen einen Überblick über ihre digitalen Objekte verschaffen. Im Rahmen dieser Projekte planen IT-Verantwortliche drastische Maßnahmen, um die Datensicherheit zu garantieren. Tatsächlich ist es kein Tabu mehr gefährdete Server auszuschalten oder den Zugriff auf E-Mails zu sperren.

Ein Varonis Kunde hat vor kurzem die Richtlinie „Kein sichtbarer Audit-Trail – keine E-Mails“ eingeführt. Die neue Regel lautet: Kann die IT-Abteilung bestimmte Nachrichten nicht zurückverfolgen und überprüfen, dürfen die Mitarbeiter sie nicht verwenden. Gleichzeitig sperren die IT-Verantwortlichen den E-Mail-Server möglicherweise.

Für ein anderes Unternehmen ist die Auditing-Funktion derart wichtig, dass die IT-Abteilung nun Richtlinien für Dateisysteme definiert. Ab diesem Jahr schalten die Verantwortlichen Server ab und ziehen E-Mails aus dem Verkehr, wenn sie die damit verbundenen Risiken nicht abschätzen können.

Wie groß die Risiken sein könnten zeigt eine Untersuchung von Varonis – in typischen Unternehmen sind für mehr als 50 Prozent der Daten auf Dateisystemen, NAS-Geräten, SharePoint-Sites und E-Mail-Systemen keine Data Owner festgelegt. Und diese Zahlen machen eindrucksvoll klar – um die Datenrisiken in den Griff zu bekommen, ist das Sperren nur ein erster kleiner Schritt, dem weitere folgen.

Eine Empfehlung ist es die Zugriffsberechtigungen für das Personal stark zurückzunehmen. Heute kann jeder Mitarbeiter auf weit mehr Daten zugreifen, als dies der Fall sein sollte. Die Folgen? Viele IT-Abteilungen bemerken nicht, wenn ein Mitarbeiter auf einen Schlag tausende von Dateien löscht oder aus den Speichern kopiert. Dabei sind die Organisationen gezwungen sich mit der Frage zu befassen, wer wann auf welche Daten zugreift – und zu welchem Zweck er die Daten nutzt.

Bedrohungen von innen bereiten Unternehmen große Sorgen

Denn die Bedrohungen von innen stellen eine mindestens genauso große Gefahr dar wie Angriffe von außen. Bei vielen Sicherheitsvorfällen im Jahr 2011 waren Mitarbeiter oder Lieferanten in der Lage, tausende von Dateien zu löschen oder herunterzuladen, ohne dass ein Data Owner oder eine IT-Abteilung auch nur Verdacht geschöpft hätte.
Bei der Untersuchung vieler Angriffe konnte niemand feststellen, auf welche sensiblen Daten welcher Mitarbeiter Zugriff hatte oder noch hat. Auch konnten die IT-Abteilungen keinen Audit-Trail erstellen, um im Nachhinein zu ermitteln, was genau die Einbrecher gestohlen haben.

In einem ersten Schritt erkennen jetzt die Organisationen, dass die manuellen und Jahrzehnte alten Ansätze beim Datenmanagement und -schutz nicht mehr funktionieren. Gemeinsam mit Varonis diskutieren sie die Bedrohungen aus dem Inneren ihres Unternehmens und prüfen was sie mit Verbesserungen in den Bereichen Zugriffskontrolle, Auditing, Klassifizierung, Data Ownership und Autorisierung bewirken.

Automatisierung des Datenmanagements

Ein anderes Beratungsprojekt von Varonis hat die Gefahren sehr plastisch gemacht. Der Kunde führte ein Experiment durch: Management und IT-Abteilung sollten versuchen, die Data Owner von 7.000 Verzeichnissen zu finden. Beim Einsatz der herkömmlichen Methoden lag die Erfolgsrate erschreckend niedrig. Lediglich für 22 Prozent der Daten konnte das Management die Verantwortlichen bestimmen. Im Umkehrschluss heißt das, dass die Organisation mehr als Dreiviertel der Daten keinem Data Owner zuordnen kann.

Und dies ist nur die Bestandsaufnahme für einen kleinen Augenblick – denn das Datenvolumen in diesem und in allen anderen Unternehmen steigt von Tag zu Tag rasant an. Und ist es für die Organisationen schon schwierig einen Data Owner zu identifizieren, stellt sich die Frage, ob die Führung des Unternehmens in Zukunft überhaupt irgendeine Entscheidung zum Datenmanagement und -schutz treffen kann.

Die Lösung, die Varonis dem Kunden vorschlug, war die Automatisierung des Datenmanagements. Mithilfe von Automatisierungstools sammeln die Verantwortlichen Wissen über ihre Daten – wo sind sie gespeichert? Wer hat Zugriff darauf? Wie können sie genutzt werden? Wer darf sie nutzen?

Zehn Thesen zu Data Governance:

– Die meisten Geschäftsprozesse basieren auf digitaler Zusammenarbeit und Datenaustausch und erzeugen riesige Datenmengen – allerdings werden die IT-Budgets nicht erhöht.
– Über 95 Prozent aller Dateizugriffsaktivitäten werden von niemandem im Unternehmen überprüft. Diese Situation muss sich schnell ändern.
– Mehr Automatisierung bei der Datenanalyse und beim Datenmanagement wird kostenintensive ineffektive manuelle Vorgänge ersetzen.
– Fachverantwortliche sollten sowohl für die Bereinigung und Löschung veralteter Informationen zuständig sein, wie auch für Vergabe von Zugriffsrechten und Datenüberwachung.
– Organisationen erkennen, dass die Nutzung von Metadaten das A und O beim Management und Schutz von Daten ist.
– Damit Unternehmen das Potenzial von „Big Data“ ausschöpfen, analysieren sie massive Datenmengen und durchsuchen sie nach Mustern.
– Unstrukturierte Daten stellen vollständige Informationsprodukte dar, die Ideen, Geschäftspläne, Budgets, Entwürfe und Prozessbeschreibungen enthalten. Sie sind das Herzstück jedes Geschäftsprozesses.
– Einige IT-Abteilungen werden Risiken minimieren und dafür drastische Maßnahmen ergreifen – beispielsweise Server abschalten oder den Zugriff auf E-Mails sperren.
– Häufig haben Unternehmen für mehr als 50 Prozent der Daten auf Dateisystemen, NAS-Geräten, SharePoint-Sites und E-Mail-Systemen keine Data Owner festgelegt.
– Organisationen werden sich der Bedrohungen von innen zunehmend bewusst. Dies wird eine Verbesserung der Bereiche Zugriffskontrolle, Auditing, Klassifizierung, Data Ownership und Autorisierung bewirken.