Paradigmenwechsel in der Data Security: Das Jahr 0000 des datenzentrischen Schutzes.

Datensicherheit steht ganz oben auf der Agenda vieler Unternehmen. Gleichzeitig sind herkömmliche Sicherheits-Lösungen den neusten Angriffen nicht gewachsen. In einer vernetzten Welt, in der Sie jederzeit angegriffen werden können, müssen sensible Daten vor Missbrauch geschützt werden: «at rest», «in motion» und «in use» gleichermassen. Datenzentrierte Sicherheit ist – Stand heute – der einzig brauchbare Ansatz, der es ermöglicht, die Daten über den ganzen Lebenszyklus zu schützen. Die Zukunft der Datensicherheit hat bereits begonnen – und Sie können auch mit kleineren Projekten ab sofort davon profitieren.

Datenimmunität gegen steigende Gefahren, Datenschutzgesetze und Bussen

Wir stehen an einem Wendepunkt[1] in der Art und Weise, wie Daten geschützt werden müssen: Das Risiko Opfer eines Cyberangriffes zu werden, steigt zusehends. Fast täglich wird von digitalen Angriffen oder Datendiebstählen berichtet, die immer raffinierter ausgeführt werden. Gleichzeitig werden Unternehmen häufiger mit Strafen für Nichteinhaltung von Datenschutzgesetzen und Verordnungen gebüsst – mit immer höheren Bussen. Obwohl die Meldungen zunehmen, wird Datendiebstahl nicht oder spät erkannt. Die Auswirkungen sind verheerend und können sogar Menschenleben gefährden, wie das Beispiel vom IKRK zeigt. Mit der neusten Masche von Cyberkriminellen werden Unternehmen und deren Kunden pro Attacke mit der sogenannten «Triple Extortion» mehrfach erpresst. Daten von Unternehmen befinden sich vermehrt in Rechenzentren, die nicht mehr von den Dateninhabern kontrolliert wird – und sind deshalb per se gefährdeter für Datendiebstahl.

Die beruhigende Nachricht: Es gibt einen Ausweg. Der Ausweg führt über ein Umdenken und das Verständnis dafür, dass die sensitiven Daten der Unternehmen pseudonymisiert und somit in sich selbst geschützt werden müssen. Wir nennen das «datenzentrischer Schutz». Da für die Pseudonymisierung Verschlüsselungs-Algorithmen verwendet werden, ist auch von «datenzentrische Verschlüsselung» die Rede. Sind die Daten «datenzentriert verschlüsselt», sind die Daten immun vor Datendiebstahl. Denn pseudonymisierte Daten können weder gelesen noch missbraucht werden.

Data Security: Upgrade-Kultur am Ende der Fahnenstange

Vor wenigen Jahren reichte es, die nächste Generation eines bestehenden Sicherheits-Tools zu verwenden, mit dem man bereits einigermassen vertraut war. Doch diese Denkweise ist überholt. Das gegenseitige Aufrüsten von Angriff und Verteidigung bzw. die Evolution der Security-Tools reicht seit einiger Zeit nicht mehr aus, um die Risiken nachhaltig zu reduzieren. Schon bevor ein neues System in Betrieb ist, ist es bereits wieder veraltet und den Angreifern nicht gewachsen.

Mit dem datenzentrischen Schutz durch Pseudonymisierung, kann man diesem Wettrüsten entkommen. Doch kann man diesen Schutz nicht einfach wie ein anderes Tool kaufen. Dafür braucht es ein Umdenken im Umgang mit Daten. Bisher wurde die Security meist in die IT-Infrastruktur implementiert. Mit datenzentrischem Schutz wandert das doing zu den Applikations-Entwicklern. Bis dieser Wandel vollzogen ist, wird es in der Konsequenz kaum möglich strenge Datenschutzgesetz einhalten zu können und den Hackern nicht ausgeliefert zu sein.

Paradigmenwechsel in der Data Security: Die Tragweite

Wie Dave McComb schreibt, ist der Paradigmenwechsel zu einer datenzentrischen Sichtweise in vielerlei Hinsicht vergleichbar mit der zweiten industriellen Revolution, als unabhängige, durch Elektromotoren angetriebene kleine Maschinen, die zentralisierten, durch Dampf und Kurbelwellen angetriebenen Produktionsstätten verdrängten.

Bereits 1880 war es offensichtlich, dass neue Elektromotoren die industrielle Revolution verändern würden, aber dieser Übergang dauerte über 40 Jahre. Dabei zeigen sich erstaunliche Parallelen zwischen dem Übergang von Dampfantrieb zu Elektrizität und dem Übergang von herkömmlichen Methoden zu datenzentrischem Schutz[2]. Es lag nicht daran, dass die Technologie für den Übergang von Dampf zu Elektrizität gefehlt hätte, so wenig wie es ein Mangel an Technologie ist, der den Übergang von herkömmlicher zu datenzentrierter Sicherheit verhindert. Was den Übergang von Dampf zu Elektrizität zurückhielt, waren die etablierten Experten, die am Status quo festhielten. Dies gilt heute genauso für datenzentrischen Schutz.

Bei der Planung von neuen Infrastrukturen oder Fabriken in den 1880er-Jahren wurden die Unternehmer von Fachleuten beraten, die sich auf die bisherigen Formen bestens auskannten. Diese Fachleute hatten keinen Spielraum oder Anreiz, die Dinge von Grund auf zu ändern. So kam es, dass der Übergang von Dampf zu Elektrizität über 40 Jahre dauerte. An diesem Punkt unterscheidet sich die Geschichte mit der Gegenwart: Die beschleunigte Welt von 2022 wird den Paradigmenwechsel schneller vollziehen.

Der Druck für diese Veränderung wurde damals grösser, als neuere Firmen die etablierten Konkurrenten verdrängten, indem sie flinker und effizienter waren.

Wie bei den Antriebssystemen von damals ist der Datenschutz heute meist nicht das Hauptgeschäft der Unternehmen, nimmt jedoch zusehends an Wichtigkeit zu – befeuert von höheren Strafen bei Nichteinhaltung von Datenschutz und grössere Gefahr von Hackerangriffen, die existenziell sein kann. Unternehmen, die bereits datenzentrierte Sicherheit eingeführt haben, sind sicher vor Datendiebstahl und ebenfalls flinker und effizienter – und profitieren dementsprechend von ihrem Vorsprung. Daten und Applikationen können so wie sie sind, in kürzester Zeit in eine neue Technologie migriert, anders provisioniert oder durch externe Partner betrieben werden.

Wie Schweizer Vorreiter die datenzentrierte Sicherheit nutzen: zu den Referenzen von Swisscom und SIX Group.

Datensicherheit: Ein C-Level-Thema

Seit 2016 begleitet Prewen Unternehmen dabei, den Paradigmenwechsel zur datenzentrischen Sicherheit durchzuführen. Zuerst konzentrierten wir uns auf klassische Daten-Projekte wie z.B. Data Warehouse mit besonders sensitiven Datensammlungen. Im Laufe dieser Projekte wurde klar, dass es nicht reicht, die datenzentrierte Sicherheit in den IT-Abteilungen für spezifische Daten zu implementieren. Um von der Technologie im ganzen Umfang zu profitieren, geht es darum, das Management darauf aufmerksam zu machen, dass ein Umdenken erforderlich ist. Nur so können die Unternehmensdaten auch in Zukunft richtig geschützt werden, unabhängig von der verwendeten Applikation, Datenbank oder Provisionierung.

Sind Sie Teil der Exekutive eines Unternehmens? Sehr gut, wir zeigen Ihnen gerne, was es für Führungskräfte zum datenzentrischen Schutz zu beachten gibt. Zum Kontakt

Sie sind keine Führungskraft? Kein Problem, es gibt auch noch weitere Möglichkeiten, wie Sie zum Umdenken beitragen können – auch wenn ein Paradigmenwechsel vom ganzen Unternehmen getragen werden muss.

Wie beginnen? Compliance und ICT als Innovationstreiber

Technologische Veränderungen, wie der datenzentrische Schutz, können kaum ohne Zustimmung des Managements eingeführt werden. Jedoch gibt es dafür gewichtige Ausnahmen. Die beiden Bereiche, die am stärksten von den heutigen Veränderungen im Bereich Data Security betroffen sind, bieten einen möglichen Anfang: Compliance und ICT.

1. Datenschutz und Compliance: Insbesondere Unternehmen, die sich in Industrien befinden, die starken regulatorischen Anforderungen unterliegen, sind Budgets im siebenstelligen Bereich keine Seltenheit. Bereits Budgets für Teilprojekte aufgrund von veränderten Datenschutzrichtlinien oder Präzedenzfälle sind geeignet, um datenzentrierte Sicherheit einzuführen. Denn der datenzentrische Schutz erleichtert viele Aspekte der Compliance, von rechtlichen Anforderungen an den Datenschutz bis zum jährlichen Audit. Zudem können Rückstellungen für Bussen reduziert werden.

2. Kleinere ICT-Projekte: Oft kommt die innovative Initiative für Veränderung von einzelnen Fachspezialisten. Die Projektleitung für Cloud, Data Warehouse und Data Science Plattformen oder Verantwortliche für IT-Lösungen wie CRM, haben die Möglichkeit Neuerungen wie die datenzentrierte Sicherheit als Machbarkeitsstudie bzw. Proof of Concept in das Unternehmen zu tragen. Mit diesem konkreten Vorgehen lässt sich auch das Management überzeugen und kann als erster Schritt dienen, um grössere Veränderungen anzustossen.

Wie bereits das Beispiel von McComb zeigt, sind bestehende, grosse Strukturen träg in der Veränderung, insbesondere wenn es um einen Paradigmenwechsel wie die datenzentrierte Sicherheit geht. Doch kleinere, spezifische Projekte sind die Speerspitzen für die neuen Ansätze. Sie sind aufgrund ihres Projektvolumens günstiger und lassen Experimente mit neuen Ansätzen zu. Teile des datenzentrischen Schutzes können so in die bestehende Infrastruktur implementiert werden, und genutzt werden, um den Übergang in die datenzentrierte Sicherheit zu starten.

Ein Beispiel aus der Praxis: Bei einem unseren Kunden war es das SAP-Team, welches diese Speerspitze war. Das SAP-Team wollte den Betrieb off-shoren. Die regulatorische Anforderung verlangte aber, dass Personen im Ausland die Daten nicht sehen durften. Prewen hat die Daten so verschlüsselt, dass diese im Ausland nicht gesehen werden konnten. Da dieses Projekt keinen Bedarf für höchste Verfügbarkeit hatte und wenig Schnittstellen zu anderen Applikationen existierten, konnte das initiale Projekt relativ günstig umgesetzt werden.

Datenimmunität für die Zukunft: Schrittweise zu datenzentrischem Schutz

Der grösste Knackpunkt, um Innovation loszutreten, ist meistens die Finanzierung. Es ist oft einfacher, eine Finanzierung für die aktuelle Technologie zu erhalten – und dies kann genutzt werden, um datenzentrierte Sicherheit einzuführen.

1. Cloud: Fast alle Unternehmen haben Daten und Applikationen bereits in der Cloud oder werden dies in naher Zukunft tun. Auch wenn Sie lediglich ein sogenanntes «Lift and Shift» vornehmen – also die Daten unverändert von lokalen Datenspeichern auf die Cloud verschieben – muss die Sicherheit zwingend erhöht werden. Die Rechenzentren von Cloudanbietern sind nicht mehr unter der Kontrolle des Unternehmens und die Daten werden meist durch US-amerikanischen oder chinesischen Hyperscalern verarbeitet. Dabei besteht die Gefahr, dass die Daten rechtlich nicht vor dem Zugang von staatlichen Institutionen sicher sind. (Vgl. dazu «Datenschutzgesetz und der Zugriff durch US-Behörden»)

2. Machine Learning: Fast jede grosse Organisation führt heute Projekte zum maschinellen Lernen durch. Viele haben entdeckt, dass künstliche Intelligenz und maschinelles Lernen enorme unternehmerische Vorteile bringen. Aber auch Gefahren nehmen zu: Durch das Zusammenfügen von Daten aus verschiedenen Quellen entstehen möglicherweise «explosive» Datenkombinationen, aus denen hochsensible Schlüsse gezogen werden können. Solche Projekte wurden in Vergangenheit aufgrund ihrer sensitiven Inhalte oft abgebrochen. Das muss nicht sein: Datenzentrierte Sicherheit ermöglicht die Realisation solcher Projekte, trotz und mit sensitiven Inhalten.

3. Off-/Near-Shoring: Mit dem Ziel, Betriebskosten zu sparen, verlagern Unternehmen den Betrieb ihrer Applikationen und Systeme ins nahe oder fernere Ausland. Je nachdem, greifen entweder Personen aus dem Ausland auf die lokalen Systeme oder die Systeme und Applikationen werden ebenfalls ins Ausland verschoben. In beiden Fällen haben Personen mit erheblichen Berechtigungen (sehr oft Administrations-Berechtigungen) Zugriff auf unternehmenskritische Applikationen, Systeme und Datenbanken. Sensitive Inhalte müssen aber vor diesen Personen verborgen bzw. verschlüsselt bleiben. Mit datenzentrierter Sicherheit wird die Einsicht auf diese Inhalte verhindert, auch für Administratoren mit höchsten Zugriffs-Privilegien.

Datenzentrierte Sicherheit ist gekommen, um zu bleiben.

Der heutige Trend im Umgang mit Daten zeigt sich in unterschiedlichen Facetten. Im Marketing werden Kunden- und Benutzerdaten genutzt, um Customer Journeys zu individualisieren. Die hybride Arbeitswelt verlangt Zugang zu Unternehmensdaten von überall auf der Welt. Branchen mit sehr sensiblen Daten wie das Versicherungs- und Gesundheitswesen oder die Finanzbranche verstärken ihre Bemühungen, die Daten vor Diebstahl zu schützen. Und mit Lean Management sind spätestens alle Produktions- und Lieferketten global und data-driven. Kurz: Es werden so viele Daten erhoben und gespeichert, wie noch nie. Und es werden so viele Daten gestohlen und missbraucht, wie nie zuvor. Um diese Herausforderungen sicher zu meistern, braucht es ein Umdenken, ein Paradigmenwechsel zu datenzentrischem Schutz.

Erfahren Sie mehr zum datenzentrierten Schutz oder zu Prewens Data-Security-Angebot.

—

Fussnoten:

[1] «Wir stehen an einem Wendepunkt», mit diesen Worten beginnt Dave McComb sein Buch mit dem Titel «The Data-Centric Revolution: Restoring Sanity to Enterprise Information Systems». Und er hat recht. In diesem Artikel folge ich den Ausführungen von McComb und zeige auf, wie dieser «Wendepunkt» ebenfalls ein grundlegender Paradigmenwechsel für die Datensicherheit bezeichnet.  

[2] Vgl. Brian Arthur, The Nature of Technology: What It Is and How It Evolves