Unternehmen stehen heute vor großen Herausforderungen, wenn es um die Verwaltung, Kontrolle und Sicherung ihrer Daten geht. Diese sind durchweg in Bewegung, werden ständig verändert und öfter geteilt, als uns vielleicht bewusst ist. Durch die Verwendung von Large Language Models (LLMs), die gemeinsame Nutzung mit Drittanbietern oder – schlimmstenfalls - die Veröffentlichung im Dark Web entstehen blinde Flecken.
Von Harold Butzbach, Director Sales for Central Europe at Sysdig Germany GmbH.
An diesem Punkt sollte das Thema „Data Governance“ ins Spiel kommen. Zu Data Governance-Praktiken gehören Verfahren und Konzepte wie Klassifizierung, Mapping und Zugriffskontrollen. Die werden aber durch Technologien und Anwendungen, auf die sich Unternehmen heute verlassen, wie Data Lakes, APIs und Cloud-Speicherung, in ihrer Durchführung zusätzlich erschwert.
Das sorgt für eine höhere betriebliche Komplexität, die von zunehmender gesetzlicher Regulation eher angereichert als vermindert wird. Und das bedeutet auch: Im Falle eines Vergehens werden die Unternehmen für ihren Umgang mit Daten entweder von Auditoren gelobt oder vom Gesetzgeber zur Rechenschaft gezogen.
Der Datenpanne zuvorkommen
Viele Sicherheitsverantwortliche fangen erst nach einem IT-Vorfall an, über Datentransparenz nachzudenken. Erst eine Sicherheitsverletzung macht ihnen bewusst, dass in Drittanwendungen Datenmissbrauch stattgefunden haben muss. Fängt man erst bei der Benachrichtigung über eine Sicherheitsverletzung an, über die Dienstleistungs-vereinbarungen mit Lieferanten oder Partnern nachzudenken, die kein angemessenes Sicherheitskonzept für den Umgang mit Daten aufweisen, ist es bereits zu spät.
Tritt eine Datenpanne auf, ist zudem oft nicht klar, woher die Daten stammen oder welche Anwendung, welcher Anbieter oder welche Quelle die Ursache war. Ohne zu wissen, wie und warum die eigenen Daten ihren Weg ins Dark Web gefunden haben, gibt es keine Möglichkeit, eine angemessene Reaktion zu bestimmen. „Alles dichtmachen“ ist eine schlechte Erstreaktion, wenn man nicht weiß, welche Eingänge überhaupt geschlossen werden sollen.
Durch eine strengere Kontrolle des Datenzugriffs lässt sich jedoch leichter feststellen, wer Zugang zu den gestohlenen Informationen hatte. Dazu empfiehlt sich die Anwendung bewährter Prinzipien wie „least privilege“, „need-to-know“ und „Aufgabentrennung“. Die Verwendung von digitalen Wasserzeichen hilft zudem dabei, nachzuverfolgen, wie sensible Daten abhandenkamen.
Bedrohung aus dem Dark Web
CIOs und CISOs müssen nach einem Ransomware-Angriff den Zugriff auf Unternehmensdaten wiederherstellen und die Systeme schnellstmöglich wieder online bringen. In vielen Fällen führt diese Eile bei der Wiederherstellung der Geschäftsfunktionalität dazu, dass die Beseitigung des Bedrohungsakteurs und die Untersuchung der wahren Ursache des Angriffs vernachlässigt wird.
Dies zieht oft erneute Erpressungsversuche nach sich, da der Netzwerkzugang oder die exfiltrierten Unternehmensdaten in skrupellosen Kreisen im Dark Web verkauft und gehandelt werden. Wie diese Daten kompromittiert wurden, wird aufgrund unvollständiger Ermittlungsverfahren oft nie vollständig aufgeklärt.
Dadurch wird deutlich: CIOs und CISOs müssen deutlich früher in den Data Governance-Lebenszyklus eingebunden werden. Insbesondere sollten beide Rollen Datenklassifizierungen, Datenflüsse und -schnittstellen sowie geeignete Kontrollen aus Unternehmenssicht verstehen. Ihr Wissen ist unverzichtbar dafür, das Risiko für Unternehmensdaten zu verringern - sei es durch internen Datenmissbrauch oder wegen Datenkompromittierung durch einen Bedrohungsakteur.
Datenverlust durch Mitarbeiter oder LLMs
Eine versehentliche Datenschutzverletzung durch Mitarbeiter kann ebenso schwerwiegende Folgen haben wie die Exfiltration von Daten durch einen Bedrohungsakteur. Ein Beispiel hierfür sind Large Language Models (LLMs): Mitarbeiter nutzen kostenlose und kostengünstige LLMs für Recherchen und Analysen, indem sie in ihre Anfragen an die Modelle Unternehmensdaten eingeben. Diese Werkzeuge selbst sind nicht das Problem, sondern die Art und Weise, wie sie genutzt werden.
CIOs und CISOs können so viele Memos über den sicheren Umgang mit Daten schreiben, wie sie wollen - wenn am Ende Data Governance und Sicherheit stets der Bequemlichkeit weichen müssen, war der Aufwand vergebens. LLMs nehmen bei Nutzeranfragen Unternehmensdaten auf und teilen diese möglicherweise mit anderen Benutzern, wenn sie ihnen Antworten liefern.
Dabei darf man nicht vergessen, dass einige KI-basierte Chatbots in ihren Nutzungsbedingungen Klauseln darüber enthalten, dass geistige Eigentumsrechte an Inhalten, die in diese Systeme hochgeladen werden, verloren gehen. Doch nicht nur das: Die Unternehmen hinter den LLMs - die von der Sammlung und dem Verkauf der Daten profitieren - haben ebenfalls Zugriff auf diese Informationen.
Missbrauch von Daten durch Dritte
Zuletzt gibt es noch ein weiteres Szenario: den Datenverlust durch Dritte. Die meisten Unternehmen verlassen sich bei der Erfassung, Verarbeitung und Speicherung ihrer Daten auf Dienstleistungen Dritter. Aber selbst wenn Drittanbieter strenge Sicherheits- und Datenverwaltungskontrollen einhalten, besteht immer das Risiko, dass auch der Dienstleister kompromittiert werden kann.
Solche Vorfälle sind keine Einzelfälle, sondern werden immer alltäglicher. Datenschutzverletzungen treten dieser Tage immer häufiger auf und machen deutlich, wie bedeutsam und folgenschwer Vorfälle bei Dritten sein können.
CISOs und CIOs können dieses Problem direkt angehen, indem sie sicherstellen, dass ihre Anbieter, Lieferanten und Partner über angemessene Sicherheitsprogramme verfügen, die ihr Unternehmen vor Sicherheitsvorfällen und Datenlecks schützen. Die Verträge sollten entsprechend die firmeneigenen Anforderungen an Sicherheit, Datenschutz und Risikomanagement enthalten.
Datensicherheit ist unternehmensweite Notwendigkeit
Data Governance ist ein Mannschaftssport, und IT- und Sicherheitsteams können nicht allein agieren, sondern müssen mit den wichtigsten Stakeholdern im gesamten Unternehmen zusammenarbeiten. Mit ihren unterschiedlichen Perspektiven verstehen diese Stakeholder den Kontext der Beziehungen zu Dritten, die Art und den Umfang der vom Unternehmen verwendeten Daten und die potenziellen Auswirkungen auf das Unternehmen, wenn diese Daten kompromittiert werden.
Es ist von entscheidender Bedeutung, dass die Kluft zwischen DevOps und Sicherheit, die eine effektive Data Governance erschwert, beseitigt wird. Angesichts der Vielzahl von Systemen, Technologien, Diensten und regulatorischen Anforderungen, mit denen Unternehmen konfrontiert sind, sollte Zusammenarbeit nicht als „nice to have“, sondern als betriebliche Notwendigkeit betrachtet werden.
CISOs und CIOs sind in einer einzigartigen Position, um diese Zusammenarbeit voranzutreiben. Eine wirkungsvolle Option ist die Einrichtung eines Data Governance-Ausschusses, der sich aus wichtigen Stakeholdern aus den Bereichen Sicherheit, Recht, Compliance, Investor Relations, Beschaffung, IT, Risikomanagement und Finanzen zusammensetzt.
Darüber hinaus sollten die Rollen und Verantwortlichkeiten während des gesamten Lebenszyklus der Daten im Unternehmen festgelegt werden, einschließlich der Frage, wer befugt ist, Risikoentscheidungen in Bezug auf bestimmte hochwertige Datensätze zu treffen. Außerdem sollte ein Risikoregister verwendet werden, um die identifizierten Risikofaktoren und die empfohlenen Minderungsmaßnahmen zu erfassen.
Unternehmen, die Data Governance ernst nehmen und konsequent angehen, werden unweigerlich widerstandsfähiger sein, wenn es um Risiken für die Unternehmensdaten geht.