Schaden durch Datenverlust: Von „verkraftbar“ bis „verheerend“
Oft liest man die Verlautbarung „In einem Unternehmen sind Daten das wertvollste Gut“. Doch das ist nur eine Seite der Medaille, denn in den falschen Händen sind Daten regelrechtes Gefahrengut und der Schaden durch Datenverlust enorm.
Bestimmte Informationen werden im Fall eines Datenlecks sogar zur existentiellen Gefahr für ein Unternehmen. Wenn Logindaten, sensible Unternehmensdaten oder gar Kundeninformationen abgeschöpft wurden, stehen der Verlust des guten Firmenrufes, eine langfristige Schädigung des Vertrauens der Kunden und hohe Geldstrafen wegen Datenschutzverletzungen im Raum.
Doch man muss unterscheiden: Nicht alle Informationen sind ein Pulverfass. Das heißt nicht, dass manche Daten entbehrlich sind, sondern dass der Verlust gewisser Daten verhängnisvoller ist als der anderer. IT-Sicherheitsverantwortliche müssen wissen, auf welche Daten das zutrifft und auf welche nicht. Doch vor allem müssen sie entscheiden, welche Personen und Identitäten auf diese vertraulichen Daten zugreifen dürfen. Dafür braucht es Klassifizierungsprozesse, die Risiken einbeziehen.
Schaden durch Datenverlust: Was bedeutet Klassifizierung in IGA?
In der Identity Governance and Administration (IGA) bedeutet Klassifizierung, dass man Identitäten, Rollen und Berechtigungen innerhalb der IT-Infrastruktur in Kategorien einteilt. Diese Klassifizierung ist nicht nur für die Verwaltung von Zugriffsrechten unerlässlich. Sie gewährleistet auch die Einhaltung von Compliance-Richtlinien, erhöht die Sicherheit, rationalisiert Verwaltungsaufgaben und: Sie ist hochgradig individuell. Keine zwei Organisationen werden den gleichen Klassifizierungsprozess verwenden. Jedes Unternehmen muss sich daher zunächst die Frage stellen, welchen Geschäftszweck es verfolgt und welche spezifischen Risiken es mindern will.
Ein Klassifizierungsprozess muss im Kontext der IT-Strategie auf die allgemeine Unternehmensstrategie abgestimmt werden. Innerhalb der IT-Sicherheit muss der Klassifizierungsprozess spezifische Branchenvorschriften (z. B. DSGVO, NIST, COBIT5, HIPAA, SOX, usw.), Compliance-Anforderungen und Standard-Frameworks berücksichtigen. Zudem erfordert auch NIS2 künftig von Unternehmen einen größeren Fokus auf das Management der potenziellen Risiken. Dies sind die wichtigsten Faktoren, die ein Klassifizierungsschema beeinflussen.
Der risikobasierte Ansatz zur Klassifizierung
Ein Klassifizierungsansatz sollte zwischen risikoreichen und risikoarmen Kategorien unterscheiden. Für einen grundlegenden Fahrplan beim Schaden durch Datenverlust empfehlen sich die folgenden Schritte:
- Bestandsaufnahme: Erfassung aller Daten sowie Anwendungen in der IT-Infrastruktur des Unternehmens.
- Verantwortlichkeiten zuweisen: Jedes Objekt sollte man einem internen Verantwortlichen zuweisen, der dann die Klassifizierung vornimmt.
- Zugriffsbeschränkungen festlegen: Hier muss definiert werden, wer auf welche Objekte zugreifen darf, wie der Zugriff gewährt und entzogen wird und wer den Genehmigungsprozess verwaltet.
Nun folgt das Kernstück risikobasierter Klassifizierung beim Schaden durch Datenverlust: Die Kategorisierung nach den potenziellen Folgen einer unbefugten Offenlegung. Sie sollte in folgende Stufen eingeteilt werden:
- Kein Schaden: Die Offenlegung hätte keine nachteiligen Folgen.
- Geringer Schaden: Die Offenlegung würde zu einem geringen Imageschaden führen.
- Erheblicher Schaden: Die Offenlegung würde die Organisation kurzfristig erheblich beeinträchtigen.
- Existenzbedrohlicher Schaden: Die Offenlegung würde eine glaubwürdige existenzielle Bedrohung darstellen.
Die meisten Unternehmen verwenden bereits Tools, um Daten und Anwendungen intern zu klassifizieren, aber hier gibt es oft eine entscheidende Diskrepanz: zwischen der Art und Weise, auf die das Unternehmen Daten und Anwendungen verwaltet, und der Methode, nach der ein IGA-System den Zugriff verwaltet. So kann ein Unternehmen beispielsweise einen SharePoint-Ordner haben, der sowohl öffentliche als auch sensible Daten enthält. Eine IGA-Lösung kann aber nicht feststellen, ob oder wann sensible Assets hinzugefügt oder entfernt werden. Aus diesem Grund ist ein kontextbezogenes Klassifizierungsschema für eine effektive IGA-Strategie so wichtig.
Was sollte man klassifizieren und nach welchen Kriterien?
Pauschalisierte Antworten beim Schaden durch Datenverlust gehen hier oftmals an der Unternehmenswirklichkeit vorbei, da relevante, zum Teil branchenspezifische Informationen unberücksichtigt bleiben. Der beste Ausgangspunkt sind branchenspezifische Vorschriften und Standards zur Dokumentation. Diese liefern einen wichtigen Kontext für den hausinternen Klassifizierungsprozess. Starten sollte man damit, Antworten auf die folgenden Fragen zu finden: Verlangen die Vorschriften den Schutz der Privatsphäre des Einzelnen? Muss das Unternehmen das Risiko der Offenlegung sensibler Daten wie Finanztransaktionen verringern? Ist es zudem verpflichtet, Branchenstandards transparent zu machen und/oder nachweisen, dass man die Regeln durchsetzt?
In vielen Fällen verlangen die Industriestandards, dass Unternehmen die Lücken füllen, die sie daran hindern, die Vorschriften vollständig einzuhalten oder zumindest einen Plan erstellen, um diese zeitnah zu schließen. Zeitgemäßes Identity Lifecycle Management ist dabei entscheidend und ermöglicht es, Identitäten ihre Zugriffsrechte zum richtigen Zeitpunkt zu gewähren, diese zu sichern und zu kontrollieren.
Im nächsten Schritt erstellt man Kategorien und Tags, die zur Erfüllung der Anforderungen beitragen. Losgehen sollte es mit der Erstellung einer Hierarchie für den Zugriff auf bestimmte Ressourcen auf der Grundlage von Rollen. Privilegierte Zugriffs-Tags sollten Administratoren vorbehalten sein. Kategorien und Tags für die Risikobewertung sollte man entlang der Rollen erstellen, die Personen im Unternehmen haben. Kategorien auf der Grundlage von geschäftlichen Rollen zu erstellen ist hier empfehlenswert, um strenge Zugriffsanforderungen durchzusetzen und den Benutzern nur so viel Zugriff zu gewähren, wie sie für die Erledigung ihrer Aufgaben brauchen.
Sechs Kriterien eines Klassifizierungsschemas
Bei der Entwicklung eines Klassifizierungsschemas helfen folgende Kriterien:
- Geschäftszweck: Für jede Klassifizierungsgruppe sollte man klar definieren, welchen Geschäftszweck sie erfüllt. Einzelne Tags innerhalb einer Klassifizierungskategorie sollte man begründen und zudem mit einer prägnanten und leicht verständlichen Beschreibung versehen.
- Hierarchische Struktur: Kategorien sollte man in Ebenen oder Unterkategorien einteilen, damit man auch große Datenmengen detailliert organisieren und verwalten kann.
- Klassifizierungsregeln: Damit Anwendungen und Anwendungsrollen die richtige Klassifizierung erhalten, sollte man Regeln und Konsequenzen objektiv, konsistent und klar definieren.
- Dokumentation: Sowohl den generellen Zweck als auch den Umfang des Klassifizierungsschemas sollte man erläutern. Obendrein empfiehlt es sich, Kategorien und Attribute zu beschreiben, sie an Beispielen zu erklären und Benutzern eine Anleitung zur Anwendung der Klassifizierungskriterien zur Verfügung zu stellen.
- Qualitätskontrolle: Implementierung von Governance-Mechanismen, um die Konsistenz und Genauigkeit der Klassifizierung zu gewährleisten. Fehler bei der Klassifizierung müssen durch Überprüfungen, Audits und Validierungsprozesse identifiziert und korrigiert werden.
- Benutzer-Feedback: Benutzer sollten die Möglichkeit bekommen, Probleme zu melden und Verbesserungen vorzuschlagen, um das Schema im Laufe der Zeit zu verfeinern und zu optimieren.
Schlussfolgerung Schaden durch Datenverlust
Ein IGA-Klassifizierungsschema ist vor dem Hintergrund der derzeitig prekären Bedrohungslage unverzichtbar. Es hilft dabei, den Compliance-Vorgaben zu genügen und gleichzeitig Firmengeheimnisse und Kundendaten vor Fremdzugriff zu schützen. Engmaschige Kategorien für Zugriffsrechte in Verbindung mit effektivem Identity Lifecycle Management automatisieren die Zugriffsverwaltung, erhöhen die Sicherheit und entlasten IT-Teams. Denn Cyberkriminelle suchen nach Accounts, die mit möglichst vielen Zugriffsprivilegien ausgestattet sind, gelangen aber schnell an ihre Grenzen, wenn man in Sachen IGA seine Hausaufgaben gemacht hat. Ein risikobasiertes Klassifizierungsschema ist dafür das technische Fundament und obendrein eine tragende Säule für Least-Privilege und Zero Trust-Prinzipien.
Weitere Informationen finden Sie hier.