newsonline24

Die IT-Security entwickelt sich zunehmend von netzwerkbasierter Sicherheit hin zu einem datenzentrierten Ansatz. Was steckt hinter diesem Trend?

Frank Limberger: Die herkömmlichen Sicherheitsansätze, die sich auf den Schutz des Netzwerks und des Perimeters konzentrieren, reichen in Zeiten von Cloud, SaaS, GenAI und Remote Work nicht mehr aus. Früher verließen beispielsweise die Entwicklungsdaten von Unternehmen nie die interne Datenbank.

Da genügte es, die Zugänge zu dieser Datenbank abzusichern. Heute kopiert ein Mitarbeiter Daten heraus, fügt sie in eine Präsentation ein und legt diese in SharePoint Online ab, um sie in einem Meeting mit Kollegen oder Kunden zu teilen. In der Cloud haben diese sensiblen Informationen aber ein niedrigeres Schutzniveau und sind dadurch einem erhöhten Risiko ausgesetzt. Im modernen, verteilten IT-Umgebungen ist ein anderer Ansatz erforderlich. Unternehmen müssen Daten unabhängig von ihrem Speicherort schützen.

Das geht nur, indem sie die Daten selbst schützen. Sie müssen ihnen eine Vertraulichkeitsstufe zuweisen und daraus ableiten, was mit ihnen getan werden darf und was nicht. Nur so können sie dem Verlust von geistigem Eigentum vorbeugen und die immer zahlreicheren Compliance-Anforderungen erfüllen.

Cloud-Plattformen, SaaS-Anwendungen oder GenAI-Tools einfach zu verbieten, ist nicht wirklich eine Alternative, oder? Sie werden ja schließlich aus guten Gründen genutzt.

Frank Limberger: Genau. Unternehmen treiben den Einsatz dieser Technologien ja selbst voran, weil sie von Vorteilen wie Flexibilität, Produktivität, Skalierbarkeit und ortsunabhängigem Zugriff profitieren. Außerdem würde das auch gar nicht funktionieren. Unternehmen können solche Dienste zwar mit URL- oder DNS-Filtern sperren, aber nur innerhalb des Unternehmensnetzwerks.

Mitarbeiter können diese Sperren leicht umgehen, indem sie mobil oder im Homeoffice darauf zugreifen. Dadurch würde eine gefährliche Schatten-IT entstehen, die sich der Kontrolle der Unternehmen vollständig entzieht. Deshalb ist es besser, dafür zu sorgen, dass die Mitarbeiter diese Dienste ohne erhöhte Risiken nutzen können.

Wie sieht das konkret aus? Wie können Unternehmen datenzentrierte IT-Sicherheit in der Praxis umsetzen?

Frank Limberger: Im Wesentlichen durch die Kombination von Data Loss Prevention (DLP) mit Data Security Posture Management (DSPM). Eine DLP-Software kann Datenflüsse überwachen und Verstöße gegen Datensicherheits-Richtlinien verhindern. Spezielle Agenten auf den Endgeräten gewährleisten dabei, dass diese Richtlinien auch außerhalb des Unternehmensnetzwerks durchgesetzt werden. Eine enge Integration des DLP mit anderen Sicherheitstools stellt zudem sicher, dass den Richtlinien auch über sämtliche Kanäle hinweg Geltung verschafft wird.

Zu diesen Tools zählt beispielsweise ein Cloud Access Security Broker, der den Zugriff auf Cloud-Dienste überwacht und steuert. Wenn bestimmte Daten als streng vertraulich eingestuft sind, können sie dann beispielsweise weder in eine Cloud hochgeladen, noch per E-Mail verschickt noch im Homeoffice ausgedruckt werden.

Ein DLP-System ist aber auf korrekt klassifizierte Daten angewiesen. Das war früher ein großes Problem, weil die Klassifizierung manuell durchgeführt werden musste. Dieses Vorgehen ist aber ungenau und meist ein Fass ohne Boden. Viele Unternehmen haben Klassifizierungsprojekte abgebrochen, weil sie feststellen mussten, dass sie ihrem ständig anwachsenden Datenbestand nicht mehr hinterherkommen. Einmal ganz davon abgesehen, dass Unternehmen in den heutigen verteilten IT-Umgebungen oft gar keinen Überblick mehr darüber haben, wo sich ihre Daten überhaupt befinden. Moderne DSPM-Lösungen räumen dieses Hindernis jetzt aus dem Weg. Sie ermöglichen es, Daten automatisiert aufzuspüren und auch automatisiert exakt und fortlaufend zu klassifizieren.

Mehr lesen Sie auf it-daily.net.