Was ist ein datenzentriertes Sicherheitskonzept? Schützen Sie Ihre geschäftsrelevanten Daten vor Cyberangriffen

Täglich wird in der Presse über Cyberangriffe auf Unternehmen und die öffentliche Verwaltung berichtet. Die Angreifer sind sowohl staatliche Akteure (u.a. Russland, Nordkorea etc.) als auch kriminelle Erpressergruppen. Wie mit diesen Herausforderungen bei der NATO (North Atlantic Treaty Organisation) umgegangen wird, erläuterte Dr. Manfred Boudreaux-Dehmer (Chief Information Officer der NATO) eindrücklich an einem Gastvortrag and der Kalaidos Fachhochschule. Er hob dabei die Wichtigkeit von datenzentrierten Sicherheitskonzepten hervor. In diesem Blogbeitrag wollen wir das Thema anhand einer Checkliste vertiefen.

Was versteht man unter einem datenzentrierten Sicherheitskonzept?

Cyber-Angreifer haben es auf Ihre geschäftskritischen Datenbestände abgesehen. Sie wollen Daten stehlen, böswillig manipulieren oder löschen und den Zugriff auf die Daten verhindern, um Lösegeld zu erpressen.

Leitgedanke eines datenzentrierten Sicherheitskonzeptes ist es, dass Sie Ihre Datenbestände kennen und nach Wichtigkeit/Vertraulichkeit klassifizieren, um die geeigneten technischen und organisatorischen Sicherheitsmassnahmen zu ergreifen. Stellen Sie der Unternehmensleitung die Frage: «Welche Datenbestände sind unsere Kronjuwelen und welchen besonderen Schutz benötigen diese?». Je nach Industriezweig können dies vertrauliche Geschäftsdokumente (z.B. Konstruktionszeichnungen für die Patentzulassung), Kundendaten oder medizinische Informationen in einem Spital sein.

Der Hersteller Microsoft hat für die Cybersecurity den kurzen Merksatz formuliert: “Know your data, protect your data, and prevent data loss.” Somit ist der erste Schritt zu einer effektiven Cybersicherheit, dass Sie Ihre «Daten kennen». In der Praxis ist dies aber für viele Unternehmen eine Herausforderung, da meist keine einzelne Person im Unternehmen über alle Daten und deren Speicherorte Auskunft geben kann.

Wie können Unternehmen von den Erfahrungen der NATO profitieren?

Der CIO der NATO hat in seinem Gastvortrag fünf Elemente eines datenzentriertes Sicherheitskonzept erläutert. Jedem Datenobjekt bzw. Dokument sind folgende Metadaten zur Beschreibung zugeordnet. Folgende Checkliste kann Ihre Organisation anwenden, um die IST-Situation bezüglich des datenzentrierten Sicherheitskonzepts zu analysieren:

• Wer ist der Dateneigentümer und trägt u.a. die Verantwortung dafür, dass die Daten korrekt klassifiziert werden?
• Wer verwaltet die Daten im Auftrag des Dateneigentümers (Data Custodian)? Werden beim Datenmanagement die notwendigen Sicherheitsvorgaben beachtet?
• Wie gut lassen sich die Daten auffinden? Welche Metadaten sind organisationsweit definiert, um die Auffindbarkeit der Daten zu gewährleisten?
• Aufbewahrungszeitraum: Welche rechtlichen und internen Vorgaben bestehen für die Aufbewahrung und Archivierung? Ist während der gesamten Aufbewahrungsfrist die Datenintegrität (Nachweis der Unveränderbarkeit) gewährleistet?
• Löschung (Disposition): Wann und wie müssen die Daten gelöscht werden? Für die Vernichtung von Papierdokumenten und elektronischen Dokumenten gibt es verschiedene Verfahren der Löschung – ist eine vollständige Löschung gewährleistet, so dass sich die Daten nicht wiederherstellen lassen?
• Regeln zur Wiederverwertung: Welche Vorgaben für die interne und externe Weitergabe bzw. Weiterverarbeitung der Daten bestehen in Ihrer Organisation?
• Vertraulichkeitsstufe der Daten: Haben Sie ein Konzept, um die Daten in Vertraulichkeitsstufen («öffentlich», «intern», «vertraulich», «streng vertraulich») einzuteilen und wenden die Mitarbeitenden dieses auch an?

Welche Daten sind meine Kronjuwelen?

Ein datenzentriertes Sicherheitskonzept hilft Ihnen, die Massnahmen der Cybersecurity in den Kategorien Prävention, Detektion und Reaktion zu planen:

• Prävention: Risiken eines Angriffs reduzieren => Identifizieren Sie ihre geschäftsrelevanten Daten und schützen sie diese je nach Klasse.
• Detektion: Angriffe erkennbar machen => Nur wenn Sie wissen, in welchen IT-Systemen ihre sensitiven Daten gespeichert sind, können Sie zeitnah bei einem Angriff das Ausmass einer Datenpanne abschätzen.
• Reaktion: im Falle eines erfolgreichen Angriffs die negativen Folgen begrenzen (Reaktion) => Führen Sie zeitnah die erforderlichen Massnahmen bezüglich der Daten durch. Bei einer Datenpanne mit Personendaten ist eine schnelle Analyse erforderlich (Datenschutzfolgeabschätzung) und muss unter Umständen den Aufsichtsbehörden gemeldet werden.

Fazit

Eine Voraussetzung für einen wirksamen Schutz vor Cyberrisken ist ein datenzentriertes Sicherheitskonzept. Nur wenn Sie Ihre Datenbestände kennen und systematisch inventarisieren, können Sie die geeigneten Sicherheitsmassnahmen ergreifen. Um diese Aufgabe zu bewältigen, ist der bzw. die Verantwortliche für die Cybersicherheit auf die Zusammenarbeit mit allen Abteilungen und die Unterstützung der Geschäftsleitung angewiesen. Datenowner und Data Custodians müssen mit ins Boot geholt werden und aktiv mitarbeiten.

Quellen und weiterführende Informationen

Microsoft Learn (2023). Protect your sensitive data with Microsoft Purview.

Willi Kägi, I. (2024). Wie sich die NATO gegen Cyber-Angriffe wappnet. Kalaidos Blog.

###

Im Studiengang CAS FH in Cyber Security Management beschäftigen wir uns im Modul Security&Compliance mit den Rahmenbedingungen und Regulatorien und Methoden zur Umsetzung in der Organisation.