Wie kommt es, dass so viele Unternehmen sich auf die Verteidigung der IT-Umgebung konzentrieren, aber nur wenig tun, um die Zieldaten innerhalb dieser Umgebung zu schützen? Wäre es nicht eine gute Sache, sensible Daten selbst bei einem Einbruch in das Netzwerk zu schützen?
Anstatt erneut Statistiken und Beweise für kürzlich erfolgte Datenverletzungen in mehreren Branchen anzuführen, gehen wir einfach davon aus, dass wir alle wissen, dass sensible Daten, gleichgültig ob Finanzdaten, klinische Daten oder personenbezogene Daten das primäre Ziel von Cyber-Kriminellen sind. Es gibt viele Beispiele für erfolgreiche Sicherheitsverletzungen, und es ist wenig überraschend, dass menschliche Fehler und/oder mangelnde Sicherheit häufig die Ursache sind.
Es ist etwas zu optimistisch, darauf zu vertrauen, dass ein bestimmtes Unternehmen nie von einer Datenverletzung betroffen sein wird. Ganz sicher jedoch können Unternehmen es Hackern erschweren, davon zu profitieren.
Wenn gehackte Unternehmen Daten nicht verschlüsseln, handeln sie meiner Meinung nach fahrlässig. Wenn die Sicherheit sensibler Daten beim Speichern und Übertragen nicht beachtet wird, könnten wir uns fragen, ob die Verantwortlichen die Hacker-Mentalität wirklich verstehen. Welche Art von Datensicherheitsplan ist notwendig, um den umfassenden Schutz von Kunden, Anbietern und sonstigen Kontakten sicherzustellen?
Dem Cybersicherheitsplan Datenschutz hinzufügen
Gegenwärtig haben die meisten Unternehmen einen Cybersicherheitsplan implementiert, höchstwahrscheinlich mit dem Fokus auf mögliche Angriffsvektoren, dem Schutz der IT-Infrastruktur gegen bekannte Schwachstellen und, in einigen Fällen, Security Awareness-Schulungen für Mitarbeiter. IT-Mitarbeiter verwenden möglicherweise Crowdsourcing- oder automatisierte Threat Intelligence-Lösungen, um über die neuesten Bedrohungen auf dem Laufenden zu bleiben. Alle diese Aktivitäten sind zwar notwendig, aber für geduldige Hacker nicht unüberwindlich. Interne Bedrohungen sind extrem schwer abzuwehren, gleichgültig ob es sich um einen menschlichen Fehler handelt, der erfolgreiche Phishing-Angriffe nach sich zieht, das Starten von Ransomware oder benutzerinstallierter, aber nicht autorisierter Software, die einen Netzwerkzugriff ermöglicht. Sobald der Hacker in das Netzwerk eingebrochen ist, besteht der nächste Schritt im Suchen und Herunterladen von sensiblen Daten.
Wenn diese Daten nicht geschützt sind und das Unternehmen nur auf die Sicherheit der Infrastruktur baut, ist der Zugriff auf diese Daten für einen versierten Hacker ein Kinderspiel. Außerdem sollte unbedingt beachtet werden, dass Hacker häufig an entdeckten Sicherheitslücken ausharren und auf den richtigen Zeitpunkt warten, um sie zu nutzen, anstatt sich an einem Bug-Bounty-Programm zu beteiligen oder ihren Fund anderweitig von eifrigen Sicherheitsunternehmen entdecken zu lassen. Zwischen der Security-Branche und Hackern findet ein einziges großes Katz- und Mausspiel statt. Sicher entwickelt die Security-Branche immer ausgeklügeltere Abwehrmechanismen. Aber Hacker reagieren darauf mit immer komplexeren Angriffen.
Angesichts einer Umgebung, bei der eine Sicherheitsverletzung wahrscheinlich ist, und zwar nicht als solche, sondern lediglich der Zeitpunkt: Warum nicht den zusätzlichen Schritt durchführen, um die Daten zu schützen? Es ist eine logische Konsequenz, dies zu tun, insbesondere wenn Datenschutzgesetze und andere verbindliche Standards wie PCI-DSS und DSGVO die verpflichtende Einhaltung erfordern. Es ist keine Empfehlung. Unternehmen, bei denen bei Nichteinhaltung Sicherheitsverletzungen auftreten, werden mit Kosten sanktioniert, die häufig in die Millionen gehen, von dem damit verbundenen Reputationsschaden ganz zu schweigen.
Mein Rat ist, die Datensicherheit zu verbessern. Um eine Bankraub-Analogie zu verwenden: Nennen Sie eine Bank, die den Banktresor weit offen stehen lässt und statt dessen an jedem Eingang bewaffnete Sicherheitswachleute positioniert. Wenn ein Wachmann seinen Posten verlässt oder überwältigt wird, kann ein erfolgreicher Raubüberfall kaum vermieden werden.
Zugegebenerweise gab es viele erfolgreiche Datenverletzungen in der Finanzdienstleistungsbranche. Aber zumindest im Hinblick auf die physische Sicherheit ist der Tresor sicher. Die Analogie trifft zu: Wir möchten, dass Hacker, die in das Netzwerk einbrechen, vor einem Tresor feststecken und nicht auf die darin enthaltenen sensiblen Daten zugreifen können.
Verbesserung der gesamten Datensicherheit durch Managed File Transfer
Die Datensicherheit zu einem wichtigen Bestandteil Ihres Gesamtsicherheitsplans zu machen, ist nicht allzu schwierig. Stellen Sie sich einfach einige weiterführende Fragen, insbesondere folgende:
- Wo sind Ihre Daten gespeichert?
Wenn Sie wissen, wo Ihre Daten gespeichert sind, können Sie daran arbeiten, sie zu schützen. Das Ziel ist eine zentralisierte Datenverwaltung, mit autorisierten Mitarbeitern, die sichere Zugangsberechtigungen erhalten.
- Speichern Sie sensible Daten?
Für die meisten Unternehmen trifft dies zu, selbst wenn die Daten nur mitarbeiterbezogen sind. Betrachten Sie Daten als sensibel, wenn sie von Hackern für Identitätsdiebstahl oder finanziellen Gewinn verwendet werden können.
- Werden Daten freigegeben?
Angesichts der Tendenz zur gemeinsamen Nutzung von Daten teilen Sie wahrscheinlich Daten zwischen Abteilungen, physischen Standorten oder mit anerkannten Lieferanten und Partnern in einer Weise, wie es für geschäftliche Aktivitäten notwendig ist. Beachten Sie, dass auch diejenigen, mit denen Sie Daten teilen, die Vorschriften für den Datenschutz einhalten müssen. Als Quelle der Daten ist Ihr Unternehmen nach wie vor verantwortlich, wenn eine Datenverletzung auftritt.
- Sind Daten an jedem Punkt ihres Wegs (beim Speichern und Übertragen) verschlüsselt?
Dies ist die Mindestvoraussetzung, wenn Sie die Daten schützen möchten.
- Können menschliche Fehler die Datensicherheit beeinträchtigen?
Je nach Volumen der Dateiübertragungen und der Security Awareness der Mitarbeiter ist dies sicher möglich. Sie haben das Ziel, die Möglichkeit menschlicher Fehler durch Automatisierung von Dateiübertragungen so weit wie möglich zu reduzieren, sei es durch Planung, Workflow-Optimierung oder Berechtigungsmanagement.
- Schwächen bestehende Prozesse die Datensicherheit?
Betrachten Sie dies als Gelegenheit, Prozesse für maximale Effizienz zu optimieren, indem Sie Workflows rationalisieren und sicherstellen, dass Dateiübertragungen autorisiert erfolgen und nicht per VoIP, Memorystick oder eine andere Methode, die nicht protokolliert werden kann. E-Discovery wurde hierbei noch nicht berücksichtigt, sollte jedoch erwähnt werden.
- Muss Ihr Unternehmen Datensicherheits-/Datenschutzstandards und Vorschriften in Verbindung mit Geschäftsaktivitäten einhalten?
Eine primäre Überlegung für viele ist, dass die Standarddateiübertragung Folgendes nicht ermöglicht: Keinen Prüfpfad, keinen Compliance-Nachweis bei Auftreten einer Sicherheitslücke und auch keine Verschlüsselung von Daten bei der Übertragung, mit Zustellungsbestätigung, Autorisierung und Zeitstempel.
Die Wahl einer MFT-Lösung bringt für die Datensicherheit nur Vorteile und ermöglicht die Einsparung von Zeit und Geld, da Mitarbeiter frei sind für Aufgaben in Verbindung mit den zentralen Geschäftsaktivitäten. Wenn die Datensicherheit ein integraler Bestandteil des umfassenden Cybersicherheitsplans ist, werden sensible Daten vertraulich behandelt und, was am wichtigsten ist, die Gefahr von Datenverlusten wird reduziert.
Als Fazit lässt sich sagen, dass die Verwendung von Managed File Transfer eine Verbesserung für Ihre gesamte Sicherheitslage bringt, da Vorteile wie Berechtigungsmanagement, Datenverschlüsselung, Workflow-Optimierung und Prüfpfade problemlos verfügbar sind. Bei einem Einbruch in Ihr Netzwerk sind zumindest Ihre sensiblen Daten geschützt, während Ihr IT-Team mit der Abwehr des Eindringlings beschäftigt ist.
Was meinen Sie? Ist es besser, sich auf den Schutz der Infrastruktur oder auf den Schutz der darin enthaltenen wichtigen Daten zu konzentrieren? Im Idealfall beides… und denken Sie auch an einen Notfallwiederherstellungsplan und Business Continuity-Plan, falls das Unerwartete eintreten sollte. Ihre Kunden und Kontakte werden es Ihnen danken.
Testen Sie MOVEit Managd File Transfer noch heute mit eine unserer kostenlosen Testversion.
Michael O'Dwyer
An Irishman based in Hong Kong, Michael O’Dwyer is a business & technology journalist, independent consultant and writer who specializes in writing for enterprise, small business and IT audiences. With 20+ years of experience in everything from IT and electronic component-level failure analysis to process improvement and supply chains (and an in-depth knowledge of Klingon,) Michael is a sought-after writer whose quality sources, deep research and quirky sense of humor ensures he’s welcome in high-profile publications such as The Street and Fortune 100 IT portals.