Wenn Sie Partnerlinks in unseren Inhalten folgen, erhalten wir m?glicherweise eine Provision. Dabei entstehen Ihnen keine zus?tzliche Kosten. Wir zeigen transparent, wie 
Unternehmen implementieren Funktionen für Informationssicherheit (IS, InfoSec) und Compliance, um ihre Daten zu schützen. Es ist jedoch nicht einfach, dies richtig zu machen, da der technologische Fortschritt st?ndig neue Bedrohungen mit sich bringt und b?swilligen Akteuren neue M?glichkeiten er?ffnet, in die Cybersicherheitssoftware einzudringen.
Und da es Daten in so vielen Formen – einschlie?lich Betriebsdaten, Finanzdaten, Kunden- und Mitarbeiterinformationen – und in so gro?en Mengen gibt, ist es für Unternehmen schwierig, sie sicher zu halten, obwohl sie j?hrlich Millionen von Dollar dafür ausgeben. (Lesen sie dazu auch: KI in der Cybersicherheit)
Wahrnehmung vs. Realit?t: InfoSec-Lücke
Unternehmen mit 2.000 Mitarbeitern geben j?hrlich etwa 528.000 US-Dollar für InfoSec- und Compliance-Funktionen aus. Die mit der Implementierung und Verwaltung dieser Funktionen verbundenen Kosten k?nnen jedoch bis zu 5,68 Millionen Dollar pro Jahr betragen, wie eine kürzlich von der Informationsnachrichtenagentur Cognni durchgeführte Untersuchung ergab.
“Die Mehrheit der Entscheidungstr?ger wei? nicht, dass ihre Organisation die meisten Risiken für ihre Informationen nicht erkennen kann und dass die IT-Abteilung es nicht einmal versucht”, hei?t es in dem Bericht.
“Dies führt offensichtlich zu eindeutigen und unmittelbaren Informationsrisiken, die niemand auch nur zu mindern versucht.”
Trotz der enormen Kosten haben laut Cognni nur 4 % der Unternehmen alle InfoSec- und Compliance-Funktionen, die sie gekauft haben, erfolgreich implementiert.
Diese Statistik steht in krassem Gegensatz zu der Tatsache, dass 89 % der Führungskr?fte glauben, dass ihre IT-Teams alle InfoSec- und Compliance-Funktionen implementiert haben, für die ihre Unternehmen bezahlt haben, was laut dem Bericht eine gro?e Lücke zwischen Wahrnehmung und Realit?t in Bezug auf die Informationssicherheit aufzeigt.
Laut Cognni gibt es drei Hauptgründe, warum InfoSec-Implementierungen nicht erfolgreich sind. Schauen wir sie uns im Folgenden genauer an. (Lesen sie dazu auch: Die 7 Grundprinzipien der IT Sicherheit)
Unternehmen vers?umen es, sensible pers?nliche Informationen zu erkennen
Um sich gegen den unbefugten Zugriff auf oder die Offenlegung von vertraulichen Informationen zu schützen, müssen Unternehmen feststellen, wo sich diese Informationen befinden. Cognni erkl?rt:
“Viele Unternehmen verfügen jedoch über einen so engen Erfassungsbereich, dass sie nicht in der Lage sind, ihre Datenbest?nde angemessen zu schützen.”
Unternehmen sind m?glicherweise nicht in der Lage, all ihre sensiblen pers?nlichen Daten (SPI) zu erkennen, weil sie die Quellen dieser Daten oder die Arten von Dokumenten, die diese Daten enthalten, nicht kennen. Und selbst wenn sie wissen, wonach sie suchen müssen, verfügen sie m?glicherweise nicht über die Werkzeuge oder Prozesse, die sie ben?tigen, um ihre Daten zu identifizieren, zu überwachen und zu schützen.
Unternehmen, die SPI nicht ordnungsgem?? erkennen und schützen, werden wahrscheinlich Verletzungen des Datenschutzes, Datenschutzverletzungen und ernsthafte Sch?den an ihrem Ruf erleiden.
Für viele Unternehmen ist es schwierig, maschinelles Lernen zu trainieren, um geschützte Gesundheitsdaten zu erkennen – d. h. alle Gesundheitsdaten, die gesetzlich geschützt sind, einschlie?lich Behandlungspl?nen, Testergebnissen und Krankenakten. Die Erkennung sensibler personenbezogener Daten wie Disziplinaranh?rungen, Arbeitsvertr?ge und Gehaltsabrechnungen erweist sich jedoch für fast jedes Unternehmen als nahezu unm?glich. (Passend dazu: Anwendungen von KI im Gesundheitswesen)
Es ist viel schwieriger, maschinelles Lernen auf die Erkennung bestimmter Dokumenttypen zu trainieren als auf die Erkennung bestimmter Begriffe innerhalb des Textes. Das Ergebnis ist, dass die meisten Arten von SPI nicht klassifiziert, überwacht oder geschützt werden.
Unternehmen schützen interne vertrauliche Informationen nicht
Jede Organisation verfügt über geschützte Informationen und/oder sensible und vertrauliche Dokumente, die sie h?ufig sicher innerhalb und au?erhalb des Unternehmens weitergeben muss. Unternehmen, die ihre vertraulichen Dokumente nicht schützen, müssen jedoch mit Umsatzeinbu?en und einer Sch?digung ihrer Marke rechnen und m?glicherweise auch hohe Geldstrafen für die Nichteinhaltung von Vorschriften zahlen.
Daher ist der Schutz vertraulicher und sensibler Informationen für den langfristigen Erfolg von InfoSec-Initiativen von entscheidender Bedeutung. Die Verschlüsselung ist eine hervorragende Option, um sensible Unternehmensdaten zu schützen.
Der Cognni-Bericht gibt ein Beispiel dafür:
“Zum Beispiel wurde ein Unternehmen der Tourismusbranche angegriffen. Der Hacker verschaffte sich Zugang zu einem der privilegierten Datenkonten und stahl Gigabytes an sensiblen Daten, darunter auch interne vertrauliche Informationen. Diese Informationen waren zug?nglich, weil die Daten des Unternehmens nicht gekennzeichnet oder anderweitig verschlüsselt waren.”
Die gemeinsame Nutzung sensibler Informationen birgt Risiken
Sensible Daten in Unternehmen gibt es in vielen Formen, z. B. Personalakten, Kundeninformationen, Rechts- und Finanzdokumente, Betriebsdaten und vieles mehr. Es handelt sich dabei um die Art von Informationen, die die Mitarbeiter für ihre Arbeit ben?tigen, die sie aber nicht ?ffentlich zug?nglich machen sollten, da sie ihrem Unternehmen schaden k?nnten, wenn sie preisgegeben würden.
Tatsache ist jedoch, dass Mitarbeiter für ihre Arbeit h?ufig mit anderen innerhalb und au?erhalb ihres Unternehmens zusammenarbeiten müssen. Und das bedeutet oft, dass sie sensible Unternehmensdaten mit Personen und Unternehmen teilen, die keine Zugriffsberechtigung haben.
Es gibt zwei Hauptarten solcher Gef?hrdungen: interne und externe.
“Interne Gef?hrdungen treten auf, wenn Mitarbeiter auf sensible Daten zugreifen, denen der Zugriff nicht gestattet ist”, hei?t es in dem Bericht.
“Externe Gef?hrdungen entstehen, wenn sensible Informationen au?erhalb einer Organisation an Personen oder Organisationen weitergegeben werden, die kein Recht auf diese Informationen haben.
Um sicherzustellen, dass ihre sensiblen Daten geschützt sind, müssen Unternehmen wissen, auf welche Arten von Informationen ihre Mitarbeiter zugreifen und wie sie diese Informationen normalerweise weitergeben. Um diese Art von Gef?hrdungen wirksam aufzuspüren, müssen Unternehmen klare Richtlinien aufstellen, die regeln, welche Mitarbeiter die Erlaubnis haben, auf welche Arten von Daten zuzugreifen, und genau darauf achten, wie und mit wem die Mitarbeiter diese Informationen teilen.
Unternehmen müssen sicherstellen, dass ihre Mitarbeiter sich der Sensibilit?t der Informationen bewusst sind, auf die sie tagt?glich zugreifen, und wissen, wie sie mit diesen Informationen umgehen sollten. Wenn sensible Unternehmensdaten in die falschen H?nde geraten, k?nnten sie für Betrug, Identit?tsdiebstahl oder andere b?sartige Aktivit?ten verwendet werden.
Daher müssen die Mitarbeiter sicherstellen, dass sie diese Informationen schützen und sie nur an diejenigen weitergeben, die eine Zugriffsberechtigung dafür haben.
Die Quintessenz
Unternehmen, die sicherstellen wollen, dass ihre InfoSec-Initiativen erfolgreich sind, müssen die notwendigen proaktiven Ma?nahmen ergreifen, um ihre sensiblen Unternehmensdaten zu schützen und sie vor den H?nden b?swilliger Akteure zu bewahren.
Cognni empfiehlt, die folgenden Schritte zu berücksichtigen:
- Kartierung kritischer Daten, da die meisten Unternehmen keinen überblick über ihre kritischen Daten, einschlie?lich deren Existenz und Exposition, haben;
- Kennzeichnung und Verschlüsselung interner vertraulicher Daten;
- Klassifizierung und Kennzeichnung vertraulicher Daten, damit die Mitarbeiter wissen, welche Informationen besonders sensibel sind, und damit sie die mit den Daten verbundenen potenziellen Risiken verwalten und mindern k?nnen.
