15 Aug 9 Ideen zum Datenschutz
Dem Themenkomplex „Datenschutz“ wird nicht erst seit Gestern eine tragende Rolle im Risikomanagement-Mix von Unternehmen zugeschrieben. Der Umgang mit Daten gehört in eine digitale Strategie mit rein. Durch zunehmende Erkenntnisse über die Ungewissheit der Sicherheit unserer Daten, bspw. durch den Schutz durch Zugriff und Missbrauch Dritter, gewinnt eine immer breitere Gruppe von Unternehmern und Privatleuten Erkenntnisse über das Wie und Warum der Risiken für uns als User und für unsere Daten.
Mit diesem wachsenden Bewusstsein, wollen wir uns befassen und stellen folgende Fragen:
- wie kann ich meine Daten oder die Daten meines Unternehmens besser schützen?
- Wie kann ich bewusst mit Daten und Kommunikationssystemen umgehen, ohne erheblichen Verlust an Einfachheit und Effizient meiner digitalen Werkzeuge zu erleiden?
Datensicherheitssysteme für den privaten und geschäftlichen Gebrauch gewinnen auch kommerziell immer mehr an Bedeutung.
Ob direkt oder indirekt, Ängste vor Datenmissbrauch werden durch Berichte über Hacker-Angriffe regelmäßig geschürt. Der IT Gipfel der Bundesregierung 2014 in Hamburg ging kürzlich mit großem Interesse zu Ende. Kanzlerin Angela Merkel und Wirtschaftsminister Sigmar Gabriel kündigten nicht nur ein schweres Investitions- und Attraktivitätspaket für IT-Gründungen an, auch der Datenschutz wurde thematisiert.
Datensicherheitssysteme für den privaten und geschäftlichen Gebrauch gewinnen auch kommerziell immer mehr an Bedeutung. Dabei ist es mit technischen Lösungen allein nicht getan. Datenschutz als Funktion die verantwortungsbewusste Privatleute oder Unternehmer wahrnehmen (müssen), erfordert eine breite Palette an Maßnahmen, aufgebaut auf einer ausgewogenen digitalen Strategie. Vor allem auf das Bewusstsein der Nutzer und den bewussten Umgang mit Daten kommt es an. Systeme die helfen können die Risiken zu minimieren sind eine Wissenschaft für sich. Fraglich bleibt, inwiefern irgendeine Maßnahme geeignet ist 100%-ige Sicherheit von Daten und Kommunikation in der digitalen Welt gewährleisten zu können. Natürlich nur eine rethorische Frage… absolute Sicherheit gibt es nicht.
Welcher Beitrag, welcher Hinweis, welche Handlungsweise ist geeignet Datenschutz zu verbessern? Mit diesem Beitrag vollen wir einen Anstoß bieten.
Betrachten wir zunächst die Grundlagen…
Wie wir Datenschutz also die Sicherheit unserer Daten wahrnehmen, entspricht eben – unserer Wahrnehmung. Die Wahrnehmung des Risikos.
- es gibt keine echte Sicherheit, es gibt lediglich die Wahrnehmung von Risiko
- Um die Sicherheit unserer Daten zu adressieren, braucht man solides Risikomanagement
- um Sicherheit zu erhöhen, muss Risiko modelliert, quantifiziert und durch geeignete Maßnahmen auf Dauer minimiert werden
Wie bewegen sich Informationen und Daten?
Betrachten wir ein kleines Unternehmen. Mitarbeiter arbeiten an Rechnern, nutzen mobile Endgeräte (Smartphones, Phablets, Tablets), besprechen sich in Meetings (Phablet immer dabei), telefonieren “nach draußen”, sprechen mit Kunden, Zulierferern, Herstellern, Dienstleistern. Das Privatleben der Mitarbeiter ist immer auch Teil einer gesunden Organisationskultur und somit auch private Kommunikationen. Daten werden erschaffen, geformt, kommuniziert, verarbeitet und gespeichert. Es gibt zahlreiche Schnittstellen und Datentransaktionen im Alltag eines Unternehmens.
Jeder Transaktion von Daten, ob analog oder digital, kann ein Risikowert zugeordnet werden. Jede Transaktion kann komprimitiert werden. Zugriff auf Daten kann immer und überall erfolgen. Angriffe auf Daten werden dadurch immer einfacher, Zugriffspunkte werden vielfältiger, Transaktionsfrequenzen, Datenmengen und unsere Systemabhängigkeit nehmen zu.
Um Risiko zu quantifizierten, helfen Modelle und Formeln…
Risiko (R)
R = Summe aller Risiken der Transaktionspunkte
R = Gefahren ( x ) Verwundbarkeiten ( x ) Auswirkung ( / ) Gegenmaßnahmen
Gefahren
Angreifenprofil, Verfügbarkeit und verfügbare Ressourcen
Die verschiedenen Profile der Angreifer, deren Wissen, finanzielle Ressource, Fähigkeiten, Größe, Reichweite und Interesse, können folgendermaßen kategorisiert werden:
- Amateur
- Hacker
- Hacker Gruppe
- Unbefriedigter Mitarbeiter
- Konkurrenz
- Organisierte Kriminalität
- Geheimdienst
- Terrorist
- Terroristen Gruppe
Verwundbarkeiten
Systemfehler, verzerrte Strategien, schlechte Protokolle usw.
Umfassen folgende Fehler:
- Design (kritischer Informationssysteme, Netzwerke, Sicherheitsarchitektur)
- Umsetzung (Betriebssysteme, Anwendungen, Hardware)
- Anwendungsfehler
- Strategiemangel oder -schwäche
- unklare Verantwortungen oder Verantwortungsbereiche
Auswirkungen
Welche finanziellen Konsequenzen können eintreten? Schlechte Presse haftet an.
- Verlust empfindlicher Daten
- Beschädigung / Veränderung kritischer Daten
- Betrug (finanziell)
- Unterbrechung kritischer Vorgänge
- Störung kritischer Abläufe, Sabotage
Gegenmaßnahmen
Welche Praktiken und Techniken sind geeignet Risiko zu minimieren und so die Datensicherheit zu erhöhen?
- Werkzeuge, Programme und Mechanismen für mehr Sicherheit (Netzwerk- und Sicherheitsmanagement, Crypto, Zugangskontrollen, …)
- Entsprechende Prozeduren
- Notfallpläne
- Auditierung, Einbindung in QM Systeme
- Visualisierung
- Ausbildung, Schulung, Training
9 Ideen zum Datenschutz…
1) Es gibt kein Allheilmittel
- die Infrastruktur und Architektur von Informationssystemen und der Fluss von Informationen innerhalb einer Organisation sind einzigartig
- Gefahren, Verwundbarkeiten und Auswirkungen hängen alle mit dem Prozess zusammen den es zu schützen gilt
- so wie sich die Variablen und Faktoren mit der Zeit weiterentwickeln, entwickelt sich das Risiko weiter
- Sicherheit entsteht wenn ein Informationssystem funktioniert
- Es gibt keine Unverwundbarkeit
2) Warum Bottum-Up nicht funktioniert
- eine Sicherheitsplattform aus dem Nichts zu schaffen, Software zu kaufen, auf Software zu verzichten – beinflusst das operative Geschäft, bindet wichtige Tag-für-Tag Ressourcen
- es mangelt in den meisten Fällen an Ziel, Richtung und Strategiebezug
- die Erfassung aller Risiken ist unwahrscheinlich
- eine Sicherheitsstrategie beschreibt nicht seine Wünsche oder das was man möchte, sie beschreibt das was man gerade bewältigen kann
- die ganzheitliche Relevanz von Sicherheit bleibt unberücksichtigt
3) Warum auch Top-down nicht perfekt ist
- Strategie und Anforderungen werden beschrieben, Werkzeuge ausgewählt, Pläne entwickelt und umgesetzt – kurzfristig wird nicht zum Liquidität beigetragen
- typischeweise wird viel versprochen und wenig geliefert
- wird die Umsetzung abgeschlossen, verändert sich der Kontext. Muss dann neu angefangen werden?
- die Dynamik von Risiko und Sicherheit lässt sich schlecht berücksichtigen
4) Was funktioniert: Ein forwährender gemeinsamer Prozess
- Strategien, Modellierung durch die Nutzer und Sicherheitsarchitektur wird Raum für ihre Entwicklung gegeben
- kleine schrittweise Veränderungen sind einfacher zu kontrollieren
- Aufwand und Budget können einfacher bewertet und angepasst werden
5) Was ist Risikomodellierung?
- Die Entwicklung kurz, mittel und langfristiger Handlungsoptionen stellen das Ergebnis der Risikomodellierung dar
- Risiken werden quantifiziert
- Angriffsszenarien werden modelliert
- Prozesse innerhalb des Flusses von Informationen (Transaktionen) werden betrachtet und analysiert
- Es gilt abzuwägen: „Gefahren, Verwundbarkeiten und Auswirkungen“ vs. „bestehende Gegenmaßnahmen“
- es geht um ein Model des Informationsflusses innerhalb einer Organisation (jede Transaktion ein Risiko)
6) Was sollte beachtet werden wenn eine Strategie definiert wird?
- um was für eine Organisation handelt es sich?
- welche Rollen werden wie verteilt?
- welche Aufgaben welchen Verantwortungsbereichen zugehörig?
- Bestätigung der Sicherheitsmaßnahmen und -Anweisungen
- Installation von Parametern und Normen für die Nutzung der Informationssysteme
- Bestätigung von Notfallplänen
- Evaluationskriterien für IT Projekte
7) Was sollte eine Sicherheitsarchitektur umfassen?
- Maßnahmen zur Umsetzung der Strategie
- basierend auf physischer Sicherheitsmaßnahmen, Identifizierung, Authentifizierung und Autorisierung, Sicherheitssoftware, Sicherheit der Anwendung, Netzwerksicherheit, Datenschutz
- Tagesgeschäft (Handlungsanweisungen, Aus- und Fortbildung, Training)
- Weiterentwicklung durch Automatisierung
8) Visualisierung und Kontrolle
- Echtzeitverarbeitung jeglicher Einflüsse. Die Auswertung der (Kontroll)Daten und Signale die das Sicherheitssystem zur Verfügung stellt, Zentralisierung und umfassende Aufbereitung
- Auditierung, Beratung, Weiterbildung für Involvierte
- Auswertung und Ermittlung im Ernstfall
9) Welche Art Werkzeug ist brauchbar?
- Auditierung und Kontrolle: Werkzeuge um Erkenntnisse zu gewinnen, zu sammeln und etwaige Unstimmigkeiten zu ermitteln durch Netzwerk oder Host-basierte Alarmsysteme gegen Eindringlinge, Login, Visualisierung, Analyse, Alarm, Report und forensische Werkzeuge, Sicherheitsabteilung, ggf. Ausgliederung der Sicherheitsabteilung oder Unterstützung durch Dienstleister (Cyber Security)
- Durchsetzung: Werkzeuge die helfen die Strategie umzusetzen und durchzusetzen durch Zugangskontrollen und Zugriffskontrollen, Biometrisch, bspw. durch Token, Netzwerk, Datenzugriffsbeschränkungen, Überprüfungen, Upgrades etc., Firewalls, VPNs, Inhaltskontrolle und Einschränkung, Antivirussoftware, Datensicherung und Backups
- Analyse und Formalisierung: Werkzeuge die helfen Risiko zu modellieren und Strategien zu entwickeln durch Netzwerkerkennung, Verwundbarkeitsscanner, Angriffswarner, Alarmsysteme, Modellierung bspw. durch entsprechende Software sowie durch konkrete Dienstleistungen wie Informationsgewinnung,
Penetrationstests, Strategieberatung und Notfallplanung
Die Funktionen: Strategiebildung, Sicherheitsarchitektur, Visualisierung, Kontrolle und Risikomodellierung sollten in jedem Fall eine Einheit bilden.
Analyse, Formalisierung, Durchsetzung, Auditierung und Kontrolle, als Bestandteile eines soliden Projektmanagements sind Auch für guten Datenschutz gefragt.
Um es auf einen abschließenden Hinweis zu beschränken: