Umfang, Komplexität und Relevanz der von Unternehmen verarbeiteten Daten haben exponentiell zugenommen. Ob Finanzdaten, geistiges Eigentum oder Mitarbeiter- und Kundendaten – vertrauliche Informationen sind zu einem der wertvollsten Unternehmenswerte geworden und müssen mehr denn je während ihres gesamten Lebenszyklus geschützt werden.
Für die Umsetzung gibt Michael Kretschmer, Vice President DACH bei Fortra, Unternehmen zehn Tipps an die Hand.
- FTP-Skripte ersetzen
Viele Unternehmen verwenden für den Informationsaustausch mit Kunden, Partnern oder anderen Niederlassungen immer noch Skripte oder selbst entwickelte Programme. Allerdings ist davon abzuraten, da diese überholten Methoden eine Bedrohung für die Unternehmenssicherheit darstellen.
Die Architektur der zur Informationsübermittlung verwendeten FTP-Skripte ist meist ein Sicherheitsrisiko. Sie bieten außerdem keine ausreichende Datenkontrolle und Nachverfolgbarkeit und entsprechen nicht den wichtigsten Compliance-Vorschriften (PCI-DSS, SOX und andere).
Empfehlenswert ist deshalb, anstelle von Skripten, eine Secure-FTP-Lösung zu implementieren. So können Unternehmen mit sicheren Protokollen arbeiten und die Vertraulichkeit der Informationen garantieren, die Kontrolle und Nachverfolgbarkeit der Datenbewegungen für Audits sowie die Einhaltung von Vorschriften gewährleisten, Prozesse automatisieren und vieles mehr.
- Daten während der Übertragung und im Ruhezustand verschlüsseln
Die Verschlüsselung trägt dazu bei, dass die gespeicherten und übermittelten Informationen ihre Vertraulichkeit (Zugriff nur für Personen, die auch darauf zugreifen müssen) und Integrität behalten (sämtliche verschlüsselten Daten bleiben unversehrt und unverändert).
Durch die Verschlüsselung der Daten stellen Unternehmen außerdem sicher, dass die Informationen selbst bei einem unberechtigten Zugriff nicht lesbar sind. Die Verschlüsselung ist nicht nur unverzichtbar, um Daten vor Cybersicherheitsbedrohungen zu schützen, sondern auch, um die für jede Branche spezifischen Vorschriften oder Standards einzuhalten.
Es gibt zwar viele Verschlüsselungsprogramme, auch einige kostenlose wie Open PGP Studio, allerdings sollte man die verschiedenen Optionen kennen und das richtige Programm für den konkreten Fall auswählen. File-Transfer-Software kann Daten während der Übertragung verschlüsseln und digitale Rechtemanagementlösungen sind in der Lage, den Zugang zu Dokumenten zu kontrollieren und zu unterbinden, unabhängig davon, wo sich die Daten befinden.
- Sichere Tools zur Zusammenarbeit zwischen Mitarbeitern, Kunden und Partnern
Im Alltag ist es oft notwendig, Informationen mit Geschäftspartnern und zwischen Mitarbeitern an entfernten Standorten auszutauschen; eine Situation, die sich durch die Zunahme der Remote-Arbeit zusätzlich intensiviert hat. Zum Schutz von Informationen ist es wichtig, dass Unternehmen flexible und sichere Collaboration-Tools für die wichtigen täglichen Aufgaben einsetzen.
Dazu gehören beispielsweise einige der von führenden Managed-File-Transfer-Lösungen angebotenen Features:
-
- Tools, mit denen Mitarbeiter sicher Dokumente auf dem Unternehmensserver nutzen können.
- Tools zum Erstellen von Formularen, die als Schnittstelle für die Abfrage und/oder den Austausch von Informationen über Legacy-Anwendungen oder Datenbanken verwendet werden können.
- Cloud-Speicher mit strengen Sicherheitsmechanismen zum Datenschutz und zur Nachverfolgbarkeit der Daten.
- Tools zum Versenden von verschlüsselten Nachrichten und Dateien per E-Mail, unabhängig von der Dateigröße.
- Gängige Fehler beim Versenden großer Dateien vermeiden
Viele Unternehmen versenden große, geschäftskritische Dateien und erkennen erst dann, dass sie ein Problem haben, wenn die Übertragungen hängen bleiben oder unzustellbar sind. Und was noch schlimmer ist: Mitarbeiter weichen auf kostenlose und unsichere Dienste aus, um diese Beschränkungen zu umgehen.
Dabei können die unverschlüsselten Informationen leicht kompromittiert werden, da keine sicheren Protokolle verwendet werden und das Unternehmen die Daten nicht mehr nachverfolgen kann.
Außerdem erhalten Benutzer in der Regel keine Benachrichtigung, wenn die Datei aufgrund ihrer Größe ihr Ziel nicht erreicht. Und wenn sie eine Benachrichtigung erhalten, muss der Vorgang manuell wiederholt werden, was mit einem erheblichen Zeitverlust verbunden ist.
Empfehlenswert ist deshalb die Verwendung eines Managed-File-Transfer-Tools, mit dem große Dateien sicher versendet werden können. Bei Fehlern wird die Übertragung automatisch fortgesetzt, und es werden Benachrichtigungen, Nachverfolgbarkeit und Prüfberichte zur Verfügung gestellt.
- Kompromittierte Geräte im internen Netzwerk identifizieren
Die Bedrohung durch Hacker wird durch den technologischen Fortschritt immer größer. Heutzutage kann jedes Gerät mit einer Internetverbindung gehackt werden, vom kleinen persönlichen Smartphone bis hin zu einem professionellen MRT-Gerät. Mit diesem ersten Schritt können Angreifer die Sicherheitsinfrastruktur eines Unternehmens durchbrechen und auf das Netzwerk zugreifen, um Daten zu stehlen.
Unternehmen müssen kompromittierte Geräte im internen Netzwerk mit Sicherheit identifizieren können, doch das allein reicht nicht aus. Um ihre Daten optimal zu schützen, sollten sie eine moderne Lösung zur Bedrohungserkennung im Netzwerkverkehr einsetzen.
- Überprüfen der Dateninhalte mit Data Loss Prevention-Technologie (DLP)
Auch wenn ein Unternehmen Zugriffsrechte und Benutzerberechtigungen priorisiert und die Informationskanäle verschlüsselt, besteht immer noch die Gefahr, dass bestimmte sensible Informationen wie etwa Kreditkartendaten und personenbezogene Daten oder etwa mit Ransomware infizierte Dateien gesendet oder empfangen werden.
Deshalb ist es empfehlenswert, eine DLP-Technologie einzusetzen, um sensible Daten oder Programme abzufangen, die im Unternehmen nicht versendet oder empfangen werden sollten.
Fortschrittliche DLP-Lösungen erfassen nicht nur den Datenverkehr, sondern verfügen auch über automatische Funktionen zum Überschreiben und zur Säuberung von Dateien. Auf diese Weise können Unternehmen Nachrichten senden und empfangen und etwaige Viren oder sensible Daten aus dem Verkehr ziehen.
- Datenklassifizierung zum Schutz von Daten
Alle Daten gleich zu behandeln, ist ein weit verbreiteter Fehler in allen Datenschutzstrategien. Entgegen der landläufigen Meinung werden dadurch die Prozesse verkompliziert und deren Effektivität beeinträchtigt. Eine Gehaltsliste ist nicht dasselbe wie eine Marketingdatei oder eine jährliche Umsatzschätzung. Eine effektive Datenverwaltung und ein effektiver Datenschutz basieren daher auf einer guten Datenklassifizierung.
Es muss klar sein, welche Datentypen im Unternehmen vorhanden sind, wo sie gehostet werden und wie kritisch und geschäftsrelevant sie sind. Nur so kann bestimmt werden, welche Daten geschützt werden müssen, wie sie geschützt werden können und wer Zugriff auf diese Daten und Kontrolle darüber haben sollte.
- Cybersicherheitskonzept erstellen und implementieren
Wenn Unternehmen noch kein Cybersicherheitskonzept haben, sollten sie unbedingt ein solches Konzept erstellen und implementieren. Damit schützen sie nicht nur ihre Daten, sondern auch alle Unternehmenswerte, die durch Hacker kompromittiert werden könnten.
Ein Sicherheitskonzept identifiziert bestimmte Unternehmenswerte (Informationen und Systeme), definiert die notwendigen Schutzmaßnahmen und die Reaktionen im Fall eines Angriffs. Die Mitarbeiter des Unternehmens sollten unbedingt ein Teil dieses Konzepts sein und es sollte allgemeinverständlich ohne große technische Details vermittelt werden.
Zusätzlich zu den bisher genannten Empfehlungen kann es je nach Branchenzugehörigkeit des Unternehmens oder dessen kritischer Daten notwendig sein, Pen-Tests in der Arbeitsumgebung durchzuführen.
- Kostenlose Tests von Datensicherheitslösungen
Empfehlenswert ist, eine kostenlose Testversion der Datensicherheitssoftware herunterzuladen, bevor Verantwortliche sich für eine Lösung entscheiden. So können sie sich mit der Software vertraut machen und klären, ob sie die richtige für das Unternehmen ist.
Natürlich können sie auch eine individuelle Demonstration für das Unternehmen anfordern, damit der Softwareanbieter mit dem Sicherheitsteam zusammen analysiert, welche Software die gewünschten Funktionalitäten bietet.
- Cybersicherheits-Komplettlösung
Um die Sicherheit eines Unternehmens zu verbessern, empfiehlt es sich, kompatible Lösungen zu verwenden, deren Funktionen gut miteinander harmonieren. Das bedeutet weniger Stress für die IT-Teams und stellt sicher, dass die Lösungen ohne Unterbrechung des Geschäftsbetriebs implementiert werden können.
Umfassende Cybersicherheitslösungen aus einer Hand bieten alle Funktionen, die ein Unternehmen für seinen individuellen Anwendungsfall benötigt.
Die Zunahme der Remote-Arbeit hat dazu geführt, dass Unternehmen vermehrt Sicherheitsvorfällen und Hacks zum Opfer gefallen sind. Mit den oben genannten Best Practices können sie jedoch dafür sorgen, dass ihre kritischen Informationen geschützt sind, und das Risiko einer Datenpanne erheblich reduzieren.