Leitfaden zu Verschlüsselungs- und Sicherheitslösungen für Unternehmensdaten

Verfügen Sie über eine geeignete Lösung, um Unternehmensdaten zu verschlüsseln und zu schützen? Noch vor wenigen Jahren haben sich nur Unternehmen, die mit äußerst sensiblen Daten wie etwa Patientenakten arbeiten, um eine umfassende Verschlüsselung gekümmert.

Diese Zeiten haben sich jedoch geändert. Mit DSGVO und CCPA wurden die Datenschutzgesetze in Europa und Kalifornien verschärft – und angesichts der globalen Präsenz des Internets können diese Vorschriften jedes Unternehmen betreffen, unabhängig von seinem Standort.

Dieser einfache Leitfaden erklärt, welche Datenverschlüsselungsprozesse für Sie und Ihr Unternehmen am nützlichsten sind.

Ansätze für die Verschlüsselung und den Schutz von Unternehmensdaten

"Daten müssen geschützt werden, wo immer sie zusammenlaufen oder fließen", wie Sharon Pitt, CIO der Binghamton University, es ausdrückt. Dies gilt jetzt um so mehr, da mehr Daten und Systeme in die Cloud wandern, das Internet der Dinge ausgereifter wird und sich die Technologie verbreitet. Ihre Daten befinden sich während ihres Lebenszyklus wahrscheinlich an vielen verschiedenen Orten, und für jeden ist ein ganz eigener Ansatz erforderlich.
Dabei müssen Daten in 3 Grundzuständen berücksichtigt werden:

Sehen wir uns die Sache genauer an.

Daten im Ruhezustand: Schutz inaktiver Daten

Inaktive Daten sind physisch gespeichert – auf einer Computerfestplatte, auf einem USB-Stick oder auf einem Server in der Cloud. Daten dieses Typs bleiben inaktiv, bis sie benötigt werden. Es gibt mehrere Methoden, sie zu schützen. Durch eine Kombination dieser Methoden erhalten Sie Schutz auf vielen Sicherheitsebenen.

• Verschlüsselung ganzer Laufwerke
  Laptops, USB-Sticks und Mobilgeräte gehen oft verloren oder werden gestohlen. Bei jedem Gerät, das aus einem sicheren Bereich gebracht werden kann, muss zu seinem Schutz das gesamte Laufwerk verschlüsselt werden. Diese Methode wird Diebe mit einiger Wahrscheinlichkeit daran hindern, das Laufwerk zu lesen, oder dies zumindest verzögern.
• Verschlüsselung ausgewählter Dateien und Ordner
  Die Verschlüsselung des gesamten Laufwerks ist allerdings wirkungslos, wenn der Benutzer angemeldet und das Laufwerk somit zugänglich ist. Um diesem Risiko zu begegnen, sollten sensible Dateien und Ordner mit einer zusätzlichen Sicherheitsstufe verschlüsselt werden – Informationen hierzu finden Sie in diesem Video. Denken Sie daran, auch in der Cloud gespeicherte Dateien auf diese Weise zu schützen.
• Verschlüsselung einzelner Elemente
  In manchen Fällen kann es erforderlich sein, einzelne vertrauliche Datensätze zu verschlüsseln. Dies gilt etwa für Kreditkartendaten, Sozialversicherungsnummern oder andere amtliche Ausweise. Glücklicherweise bieten die meisten Datenbankverwaltungssysteme (DBMS) diese Funktion; Sie müssen jedoch nach Bedarf sicherstellen, dass sie aktiviert ist.
   

Daten in Übertragung: Datenverschlüsselung vor dem Versenden

Auch wenn die Verschlüsselung von ruhenden Daten eine wichtige letzte Verteidigungslinie darstellt, reicht sie allein nicht aus. Die Daten müssen schließlich dorthin übermittelt werden, wo sie benötigt werden. Bedenken Sie, dass Ihre Daten ohne Weiteres über einen kompromittierten Server übertragen werden könnten, auf dem sie analysiert und unter Umständen kopiert werden. Ein Schutz durch Verschlüsselung ist erforderlich, um andere von Ihren sensiblen Dateien fernzuhalten, seien es Text-, Audio-, Video- oder Metadaten.

• Online-Verschlüsselung
  Achten Sie stets darauf, Browser-Links zu verwenden, die mit 'https' beginnen – dies signalisiert, dass Sie Verschlüsselung verwenden. Transport Layer Security (TLS), manchmal noch SSL genannt, ist das am häufigsten genutzte Protokoll zur sicheren Datenübertragung im Internet. Wenn Sie eine Website betreiben, benötigen Sie ein SSL-Zertifikat.
• Verschlüsselung von E-Mails
  Wenn Sie geschützte Daten per E-Mail versenden, müssen sie mit einem kryptographisch starken E-Mail-Tool wie S/MIME oder PGP gesichert werden. Alternativ können Sie die Daten auch mit Dateiverschlüsselung verschlüsseln und als Anhang senden.
• Verschlüsselung der Kommunikation
  Viele Kommunikations- und Messaging-Apps sind unsicher. Die Dienstanbieter haben oft Zugriff auf alles, was Sie sagen. Die Ende-zu-Ende-Verschlüsselung ist der beste Weg, um in diesem Fall für Sicherheit zu sorgen; auf diese Weise können weder der Dienstanbieter noch andere, die möglicherweise eine Nachricht abfangen, das Gesendete lesen. Verwenden Sie immer Messagingdienste wie Signal, die eine effektive Ende-zu-Ende-Verschlüsselung unterstützen.
   

Daten in Verwendung: Regulierung des Datenzugriffs

Im Gegensatz zu Daten im Ruhezustand oder in Übertragung müssen Daten in Verwendung für Benutzer und Apps zugänglich sein. Wie also lässt sich der Schutz von Daten gewährleisten und gleichzeitig ermöglichen, dass diese geändert werden können?
Fürs Erste ist die Zugriffskontrolle das Mittel der Wahl. Legen Sie fest, wer (Benutzer oder Prozess) zu welchem Zweck (Lesen, Schreiben, Kopieren, Umbenennen) auf die Daten zugreifen kann. Gewähren Sie Benutzern oder Prozessen nur dann Zugriff, wenn sie ihn benötigen. Auf diese Weise können Sie das Risiko verringern, dass Ransomware Ihre Dateien liest oder ändert.

Datensicherheit in 5 Schritten

Für die Implementierung einer effektiven Verschlüsselungs- und Sicherheitslösung für Unternehmensdaten müssen Sie die folgenden 5 Schritte ausführen:

#1 Sensible Daten definieren

Als Erstes müssen Sie ermitteln, welche Daten vertraulich sind und den meisten Schutz benötigen. Fragen Sie sich: 'Bei welchen Daten würde der größte Schaden entstehen, wenn sie kompromittiert würden?' In den einschlägigen Vorschriften finden Sie in der Regel eine Liste, welche Arten von Daten geschützt werden müssen. Folgende Datenkategorien sind in der Regel zu schützen:

• Namen
• Gesundheitsdaten
• Kreditkarten
• Sozialversicherungsnummern
   

#2 Sensible Daten lokalisieren

Wo werden Ihre sensiblen Daten gespeichert? Erstellen Sie ein Diagramm Ihrer Datenflüsse, damit Sie wissen, wo sich Ihre Daten befinden, wohin sie gehen und an wen sie gehen.

#3 Die richtigen Tools wählen

Welche Verschlüsselungstools eignen sich am besten für die Anforderungen Ihres Unternehmens? Berücksichtigen Sie die folgenden Faktoren:

• Phase des Datenlebenszyklus
• Daten können sich an verschiedenen Orten befinden. Sie müssen sicherstellen, dass Sie für jeden Teil des Lebenszyklus eine Lösung haben – unabhängig davon, ob die Daten sich im Ruhezustand, in Übertragung oder in Verwendung befinden. Die Datensicherheit muss alle Bereiche abdecken.
• Technische Anforderungen
  Müssen Sie laut Vorschrift einen bestimmten Algorithmus, Schlüssel oder Standard beachten? Falls ja, stellen Sie sicher, dass die von Ihnen gewählte Lösung diese Anforderungen erfüllt. Fragen Sie bei den verschiedenen Anbietern nach, wenn Sie nicht sicher sind; dies ist gleichzeitig eine gute Möglichkeit, deren Kundenservice zu testen.
• Schlüsselverwaltung
  Schlüssel können gestohlen oder kopiert werden. Mit einem Schlüsselverwaltungssystem können Administratoren Verschlüsselungsschlüssel nach einer Sicherheitsverletzung zerstören oder ersetzen. Stellen Sie außerdem sicher, dass die Administratoren mit der gewählten Lösung Schlüssel wiederherstellen oder zurücksetzen können, wenn diese vergessen wurden. Dies passiert fast allen, vor allem nach längerer Abwesenheit.
• Audits
  Viele Vorschriften sehen zu Auditzwecken und als Konformitätsnachweis eine Dokumentationspflicht vor. Stellen Sie sicher, dass alles nachverfolgt und protokolliert wird, damit Sie bei einer Prüfung problemlos die erforderlichen Aufzeichnungen vorweisen können. Ein Überwachungssystem kann Ihnen außerdem dabei helfen, nicht autorisierte Zugriffe zu erkennen.
   

#4 Lösungen sorgfältig implementieren

Bereiten Sie sich vor dem Implementieren von Lösungen darauf vor, was schief gehen könnte. 

• Akzeptanz
  Die Lösungen werden auch von technisch wenig erfahrenen Personen genutzt. Bieten Sie Ihren Mitarbeitern also Schulungen an und sorgen Sie für optimale Benutzerfreundlichkeit; Sie erreichen so, dass die Verschlüsselungslösung akzeptiert und genutzt wird.
• Integration
  Eventuelle Konflikte zwischen verschiedenen Lösungen müssen unbedingt behoben werden. Da Sie mehrere Verschlüsselungsmethoden anwenden, müssen Sie sicherstellen, dass diese einander nicht behindern. Konflikte können Schwachstellen verursachen.
• Leistung
  Testen Sie die Verschlüsselungstools, damit keine Leistungsprobleme entstehen, die sich auf die Produktivität auswirken könnten. Ziehen Sie bei Bedarf andere Lösungen in Betracht.
   

#5 Prüfung

Unterziehen Sie Ihre Lösungen nach einiger Zeit einer Prüfung. Erbringen sie die erwartete Leistung? Gibt es technische Probleme? Sind Bereiche nicht abgedeckt, in denen ein Zugriff auf Ihre Daten möglich wäre?
Diese Fragen helfen Ihnen herauszufinden, ob Sie etwas optimieren oder ändern müssen. Mit Protokollierungstools können Sie Ihre Verschlüsselung auswerten und im Detail erheben, wer wann auf welche Daten zugreift. Bleiben Sie außerdem aktiv im Dialog mit Ihren Kollegen. Diese wissen mehr darüber, was funktioniert und was nicht.
Mit einer zuverlässigen Verschlüsselungs- und Sicherheitslösung für Unternehmensdaten bewahren Sie Ihr Unternehmen vor Datenschutzverletzungen und deren Auswirkungen – und gewährleisten obendrein die Einhaltung gesetzlicher Vorgaben.

Frohes Verschlüsseln!