Datenschutz wörtlich nehmen

Henning Horst, Chief Technology Officer und Mitglied des Vorstands der comforte AG, beschreibt, wie sich Datenschutz und -sicherheit wirklich rechnet.

Kein Tag mehr, an dem es uns nicht den Atem verschlägt! Hier mehrere Terabyte an Daten gehackt, dort das Gesundheitssystem eines ganzen Kontinents lahmgelegt und eine Kreisverwaltung findet die Daten der von ihr betreuten Kriegsflüchtlinge im Dark Net. Ob Großunternehmen, Mittelstand oder kommunale Verwaltung – keine Organisation scheint mehr sicher vor Cyberangriffen.  Eine Bitcom-Studie kommt zu dem Ergebnis, dass fast die komplette deutsche Wirtschaft betroffen ist; der jährliche Schaden liegt weit über 200 Milliarden Euro. Dennoch glauben gut 85 Prozent der Unternehmen in den großen Wirtschaften Europas, Deutschland, Frankreich, Großbritannien, gegen Cyberattacken gut gerüstet zu sein. Ist also die Cyber-Resilienz inzwischen fest verankert oder zeigt sich hier eine Fehleinschätzung der tatsächlichen Widerstandskraft?

Cyber Resilienz ist mehr als Cyber Security

Resilienz – der Begriff kann sich wohl mit Fug und Recht zum Wort des Jahres in der IT-Wirtschaft küren lassen. Eigentlich eher eine Beschreibung unseres psychologischen Wohlempfindens, wenn es uns gelingt, den vielfältigen negativen Einflüssen unserer Umwelt zu widerstehen, erzeugt er im Kontext der IT-Sicherheit eher ein trügerisches Gefühl, alle Prozesse im Griff zu haben. Denn Cyber Resilienz geht weit über Cyber Security hinaus. Beschrieben wird damit ein nachhaltiger strategischer Ansatz zum Schutz einer Organisation vor Cyberattacken.  In Einzelmaßnahmen zu denken, so wichtig sie – wie etwa aktuelle Backups –  jeweils auch sein mögen, reichen nicht aus. Resilienz heißt in diesem Sinne auch, die Widerstandskraft gegen Attacken so zu stärken, dass der Fortbestand der jeweiligen Institution gesichert ist. Entsprechend gehören auch Disaster Recovery, Business Continuity und Computerforensik zum Gesamtinstrumentarium. Ein wesentlicher Gradmesser der Widerstandsfähigkeit bleibt aber dennoch, wie gut Vertraulichkeit, Integrität und Verfügbarkeit der Daten aufrecht erhalten werden.


Henning Horst: „Resilienz entsteht, wenn Klarheit über Daten und deren Standorte sowie weitere Faktoren und ihre Beziehungen untereinander besteht. Denn hier gilt: Es lässt sich nicht schützen, was nicht erkannt und bekannt ist!

Daten gehören ins Zentrum der Maßnahmen

Dies führt zum unmittelbaren Kern jeglicher Resilienzstrategie. Um die Risiken soweit wie möglich zu minimieren, müssen Organisation tatsächlich Basisarbeit leisten – und das heißt, nicht nur Systeme und Umgebungen sichern, sondern die Grundlage jeglicher Produktivität in Unternehmen und Verwaltungen: Die Daten selbst sind zuvorderst zu schützen. Erst datenzentrierte Sicherheit schafft die Grundlagen für Cyber Resilienz.

Hierbei geht es darum, Daten kontinuierlich und umfassend zu erkennen und zu klassifizieren, unabhängig davon, wo diese sich in der jeweiligen Organisation befinden. Häufig ist den Verantwortlichen nicht bewusst, wo Daten abgespeichert, wie sie verknüpft sind und welche kritische Masse-Systeme sie entwickeln oder entwickelt haben.

Resilienz entsteht, wenn Klarheit über diese Faktoren und ihre Interdependenzen besteht. Denn hier gilt: Es lässt sich nicht schützen, was nicht erkannt und bekannt ist! Der erste Schritt zu Cyber Resilienz führt daher immer über Data Dicovery. Dafür bedarf es intelligenter, KI-gestützter Tools, die Daten automatisch erkennen und klassifizieren, unabhängig von Typ, Format oder Speicherort und dies nahezu in Echtzeit. Um dabei eine umfassende Transparenz zu erhalten, sollten solche Systeme in der Lage sein, alle Datenbanken, Anwendungen, Dateisysteme und Protokolldateien zu identifizieren, in denen sich sensible Daten befinden. Die solchermaßen identifizierten Daten sind dann so zu strukturieren, dass die jeweiligen Nutzer die Datenherkunft ersehen, auf Zugriffsanfragen reagieren können und generell allen Datenschutz-, Sicherheits- und Data-Governance-Aufgaben gerecht werden.

Verschlüsselung muss Format erhalten

Eine derartige strukturierte datenzentrierte Sicherheit stärkt zugleich die Widerstandskraft von Cloud-Umgebungen. Cloud Computing ist zur treibenden Kraft hinter der digitalen Transformation geworden. Wenn jedoch immer mehr geschäftskritische Informationen in Cloud-Datenspeicher übertragen werden, wächst das Risiko von Diebstahl und Erpressung.  Auch hier gilt deshalb, die Sicherheitsanstrengungen auf das zu konzentrieren, was wirklich wichtig ist: die Daten selbst.

Wie funktioniert das?

Datenzentrierte Sicherheit entsteht durch die Anwendung einer starken, formaterhaltenden Verschlüsselung wie etwa der Tokenisierung. Dadurch werden die Daten geschützt, bleiben jedoch für Cloud-basierte Anwendungen verwendbar. Zugleich stellt die Tokenisierung sicher, dass selbst wenn auf Daten unberechtigt zugegriffen oder diese exfiltriert wurden, sie für den Angreifer nicht verwertbar und damit nutzlos sind. Lösegeldforderungen oder Veröffentlichung im Dark Net verlieren ihre Bedrohung. Zur Cyber Resilienz kommt so die psychologische Resilienz!

Cyber Resilienz als Antwort auf NIS 2

Gerade im Hinblick auf die Entwicklung im Bereich der Sicherheitsvorschriften, die die Politik vorgibt, ist ein solches „doppeltes Resilienzpaket“ von nicht zu unterschätzender Bedeutung mit dem zusätzlichen Charakter eines Wettbewerbsvorteils.  So stellt die Erweiterung der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS 2), die inzwischen vom Europäischen Parlament freigegeben wurde, die individuelle Verantwortlichkeit von Führungskräften in Organisation – insbesondere etwa den CIO – in den Mittelpunkt.  Damit wird die Haftung für die Verletzung von Sicherheits-Verpflichtungen auf Vorstandsebene gehoben. Eine Cyber-Security-Wunderwaffe wird es auch für die verschärfte NIS 2-Compliance nicht geben.  Aber datenzentrierte Sicherheit kann in diesem Umfeld zum Schlüsselfaktor einer umfassenden – auch persönlichen – Cyber Resilienz werden.

Über den Autor:

Der Autor ist Chief Technology Officer und Mitglied des Vorstands der comforte AG, Wiesbaden. Das Cyber-Security-Unternehmen gehört zu den Marktführern in den USA. Zu den rund 500 Kunden zählen neben Mastercard, VISA und IBM  15 der 25 weltgrößten Banken sowie drei der größten Retail-Unternehmen der Welt. Für seine Sicherheitslösung wurde comforte bereits mehrfach in Folge ausgezeichnet – 2022 gleich dreimal: als beste Data Security Company, für die beste Data Security Platform und für die beste Security Platform.  Henning Horst ist Co-Author von ANSI X9.119-2, einem Standard zur Verschlüsselung sensibler Zahlungskartendaten.


Bildquelle / Lizenz Aufmacher:

Photo by sebastiaan stam on Unsplash


Creative Commons Lizenz CC BY-ND 4.0

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.