Der diesjährige Europäische Datenschutztag steht ganz im Zeichen des 40. Jahrestages der Datenschutzkonvention 108 des Europarats. Wer hätte sich vor 40 Jahren auch nur annähernd vorstellen können, in welch digitalen Welt wir heute leben. Unternehmensnetzwerke finden mittlerweile größten Teils in der Cloud statt und COVID-19 hat den Weg in die Wolke noch zusätzlich beschleunigt.
Wegweisende Datenschutzgesetze, wie die DSGVO und der California Consumer Privacy Act (CCPA), haben den Unternehmen in einer vernetzten Welt ihre Verantwortung aufgezeigt, einen angemessenen Schutz zu bieten. Doch die Ausdehnung des Netzwerks in hybride Multi-Cloud-Umgebungen erfordert einen Wandel in Sachen Sicherheit: weg von physischen Grenzen durch On-Premises-Lösungen hin zu einem Daten-zentrierten Modell.
So kann Security dezentral eingesetzt werden und geografisch verteilte Mitarbeiter schützen. Im Englischen sagen wir aktuell oft: „The Human is the new perimeter“. Damit rücken wir den Faktor Mensch noch stärker in den Fokus der Sicherheitsbemühungen. Unternehmen erreichen durch die Absicherung des erweiterten Netzwerks auch den Schutz der Privatsphäre, was wiederum Vertrauen bei Mitarbeitern und Kunden schafft. Doch haben wie kann das gelingen?
Checkliste für das kontrollierte Netzwerk
Datenschutz-Beauftragte sollten sich regelmäßig folgende Fragen stellen, um zu prüfen, ob sie ihr Netzwerk im Griff haben:
- Wo sind meine Schlüsseldaten? Sind sie angemessen geschützt und überwacht?
- Gibt es mehrere Verteidigungslinien, die meine Daten schützen (Defense in Depth)?
- Finden die Kontrollen nahe an den Daten statt?
- Wie gut schützen wir den Zugriff außerhalb der Zentrale?
- Verwende ich begrenzte Ressourcen für die richtigen Dinge (Risikomanagement)?
Sichtbarkeit und Sicherheit
Die Schlüssel zur Beantwortung dieser Fragen sind skalierbare Transparenz sowie die Absicherung aller Endpunkte, Anwendungen und aller weiteren Eigenschaften eines modernen Unternehmens. Die Sichtbarkeit des gesamten IT-Stacks gibt den Teams ein kontextbezogenes Bewusstsein dafür, was jedes mit dem System verbundenen Geräte tut.
Mithilfe von DDI (DNS, DHCP und IPAM) können Unternehmen eine Technologie nutzen, die sie bereits sowieso schon implementiert haben. Diese Netzwerk-Basisdienste sorgen nämlich dafür, dass Geräte überhaupt erst miteinander kommunizieren können.
Gleichzeitig ermöglichen sie aber auch einen besseren Einblick in die Netzwerkaktivitäten, selbst wenn das Netzwerk die eigenen vier Wände überschreitet. Mehr als 90% der Malware kommt mit DNS - dem erste D in DDI – in Berührung, um in Netzwerke ein- und auszubrechen.
DDI hilft daher auch die blinden Flecken von Security-Tools wie Firewalls, Antivirussoftware und SIEMs zu beleuchten. Netzwerk-Teams erhalten so ein klares Bild, welche Situationen Aufmerksamkeit benötigen und werden wieder Herr der Lage.
Um hybride Cloud-Umgebungen zu verteidigen, ist neben der Visibilität auch eine grundlegende Security notwendig, die Zero Trust auch über die Reichweite der On-Premises-Sicherheit hinaus ermöglicht. Zero Trust ist der stärkste Ansatz, den ein Unternehmen wählen kann, um sowohl Daten in der Cloud als auch im traditionellen Netzwerk abzusichern, da stets von einem möglichen Eindringen durch Kriminelle ausgegangen wird.
Systeme sollten entsprechend aufgesetzt werden: Zugriffe zu Daten, Apps und Geräten sollten an die Identität der Nutzer gekoppelt werden und ihnen wird nur das Minimum an erforderlichem Zugriff gewährt.
Damit dieser Ansatz effektiv ist, ist eine genau Bestandsübersicht über die User und Geräte erforderlich. DDI-Lösungen können helfen, genaue und aktuelle Kontextdaten von diesen Geräten zu erhalten. Diese Einblicke können die Untersuchung und Behebung von Sicherheitsbedrohungen deutlich beschleunigen und die Leistung des gesamten Security-Ökosystems optimieren.
Der Europäische Datenschutztag lenkt die Aufmerksamkeit auf die Arbeit, die Datenschutzbeauftragte und Sicherheitsverantwortliche tagtäglich leisten, um ihr Unternehmen zu schützen. Die Alternative – die Tore offenlassen – kann Unternehmen Unsummen kosten: Die DSGVO sieht für Datenschutzverstöße Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor.
Neben diesen heftigen Strafen mindert ein schlechter Schutz auch das Vertrauen der Kunden. Investitionen in Cyber-Sicherheit schützt Unternehmen vor potenziellen finanziellen und rufschädigenden Schäden. Sicherheitsteams arbeiten angesichts der sich vervielfachenden Bedrohungen, die mit dem wachsenden Netzwerk einhergehen, genau darauf hin.