Daten sind im Zeitalter der Digitalisierung das neue Gold der Unternehmen. Durch die allgegenwärtige Vernetzung von Maschinen und Menschen sind ganz neue Möglichkeiten entstanden, Daten zu generieren und diese gesammelten Informationen wertsteigernd zu nutzen. Kevin Schwarz, Director Transformation Strategy bei Zscaler, schreibt über den verantwortungsvollen Umgang mit Daten.
Die schier unüberschaubaren Datenbestände sollen als Grundlage für Geschäftsentscheidungen die reinen Erfahrungswerte ablösen und zur Gewinnsteigerung beitragen. Aus dem Wertschöpfungspotenzial für Organisationen lässt sich die Kostbarkeit dieses Schatzes ableiten. Doch der Weg bis zur Nutzung des Daten-Eldorados ist lang und steinig und geht mit Gefahren einher.
Denn was kostbar ist, erfordert besonders umsichtigen Umgang. Unternehmen stehen also nicht nur vor der Frage, welche Art Daten geschürft, sondern auch wie diese Informationen nach (und zum Teil bereits vor) dem Sammeln behandelt werden. Hier prallen in den Organisationen die ersten Welten aufeinander, denn Datensicherheit trifft auf die Anforderungen des Datenschutzes.
Während IT-Teams mit ihren Zuständigkeitsbereichen für Endgeräte, Anwendungen und Netzwerke für das Generieren der Datenbestände verantwortlich sind, gehört der Schutz der Daten und der verantwortungsvolle Umgang mit diesen Informationen auf der Management-Ebene verankert. Schließlich besteht ein eigenes Interesse an der gewinnbringenden Verwertung dieses “Goldes”, das nicht ausschließlich durch behördliche Datenschutzauflagen gesteuert sein sollte.
Unternehmen profitieren von gewonnenen Einblicken aus der Datenanalyse und setzen diese als Steuerungselement für Entscheidungsprozesse ein. Nicht nur der ethische Umgang in der Datengewinnung im Einklang mit dem Datenschutz, sondern auch die Sicherheit dieser Daten sollte höchste Priorität einnehmen.
Verantwortung im Umgang mit Daten
Wenn Daten gesammelt werden, müssen immer beide Seiten der Medaille betrachtet werden – wo nehmen die Daten ihren Ursprung und was passiert im Anschluss damit. Die überwiegende Mehrheit der Endanwender ist sich des Werts ihre Daten bewusst und wollen dementsprechend selbst entscheiden, welche Informationen zu ihrem Konsumentenverhalten sie preisgeben wollen.
Datenschutz muss sich also auf den internen Umgang mit sensiblen Kundendaten beziehen, aber auch die externen Faktoren einbeziehen, bei denen es um den Schutz dieser Daten geht. Nicht nur personenbezogene Kundendaten, sondern auch sensible Firmeninterna gilt es vor fremden Augen und unberechtigtem Zugriff zu schützen.
Und hier entsteht durch die Digitalisierung vorangetrieben ein schier unerschöpfliches Reservoir an täglich neuen Datenströmen, mit denen die IT-Abteilungen kämpfen. Der Wunsch, diese Werte durch Analysen für Unternehmen arbeiten zu lassen stößt auf Ängste zum richtigen Umgang mit den Daten.
Ransomware-Angriffe mit Double Extortion, bei denen sensible Daten exfiltriert werden, um der Lösegeldforderung Nachdruck zu verleihen, sprechen eine deutliche Sprache. Oftmals stehen Unternehmen vor dem Dilemma, wie sie ihre Data Lakes verarbeiten können, ohne deren Sicherheit auf’s Spiel zu setzen.
Nicht selten sind es Drittanbieter, die Zugriff auf die Daten benötigen, um entsprechende Analysen durchzuführen als Grundlage für unternehmerische Weichenstellungen. Wie können diese Daten sicher für die Analyse verfügbar gemacht werden und dennoch deren Schutz garantiert bleiben? Eine Klassifizierung der Datenbestände nach ihren Sicherheitsanforderungen tut Not, um entsprechende Schutzmaßnahmen aufzufahren.
Adäquater Schutz für das neue Gold
Neben dem Verständnis auf Anwenderseite, dass Daten als Ware wertvoll für Organisationen sind, ist auf Unternehmensseite aus eigenem Interesse nicht nur die Auslegung der Datenschutzrichtlinien entscheidend, sondern auch der Aufbau adäquater Schutzmechanismen.
Bereits der Pfad von der Datenerfassung beim Sensor muss dabei in Punkto Sicherheit berücksichtigt werden, ebenso wie die sichere Speicherung in der Cloud oder im Rechenzentrum und damit einhergehend der lückenlos überwachte Zugriff von ausschließlich berechtigten Mitarbeitern oder Drittparteien.
Adäquater Schutz lässt sich dabei erzielen, wenn Datensicherheit bereits in der Architektur verankert wird. Im Gegensatz zu unlimitiertem Netzwerkzugriff muss im Zeitalter der Digitalisierung der Zugang zu Anwendungen und Daten auf Ebene der einzelnen Applikation angesiedelt sein. Durch einen auf Zero Trust basierten Sicherheitsansatz wird dabei der Vertrauensvorschuss, der traditionell auf Netzwerkebene gewährt wurde, rückgängig gemacht.
Lediglich erwünschte Kommunikation auf Basis von Zugangsberechtigungen wird zwischen Anwender und Applikation oder Services und Workloads zugelassen, unabhängig vom Gerät, Standort oder Netzwerk. Datenverlusten kann nicht nur gegengesteuert werden, sondern auch lückenlose Nachvollziehbarkeit über alle Datentransaktionen ist gewährleistet.
Durch diese Art der Mikrosegementierung auf Ebene der einzelnen Anwendung mit einem in der Cloud zwischengeschalteten Posten zur Einhaltung der Berechtigungen lassen sich gefährliche Schutzlücken und das unberechtigte Abfließen von Daten verhindern.
Was vor mehr als 200 Jahren mit dem Goldrausch startete, hat auch heute noch das Potenzial über Reichtum oder Armut zu entscheiden. Mit zunehmendem Reifegrad der Digitalisierung und den neuen Möglichkeiten des Datensammelns gehört also auch die Sicherheit der neuen Bonanzas auf die Agenda der Führungsriegen.
Denn nicht nur die strategischen Entscheidungsprozesse zum Lenken der Firmengeschicke auf Basis des neuen Goldes sind Chefsache, sondern auch unberücksichtigter Datenschutz kann aufgrund empfindlicher Geldstrafen teuer kommen, ebenso wie der Verlust und die Ausbeutung der Datenschätze durch Unberechtigte.