Datensicherheit: Worum handelt es sich dabei, warum ist sie so wichtig und wie sehen die ersten Schritte aus?

Ihr Leitfaden für Bedingungen, Techniken und Branchenstandards bezüglich Datensicherheit.

Was Sie über Datensicherheit wissen sollten:

  • Bei Datensicherheit geht es nicht nur darum, Unternehmens- und Kundendaten vor Bedrohungen zu schützen. Ihr Netzwerk besteht aus mehreren Schichten, die unterschiedliche Angriffsoberflächen aufweisen. Eine Kompromittierung auf einer Ebene kann sich durch das ganze Betriebssystem und Anwendungen ausbreiten. Um Daten zuverlässig zu schützen, Risiken zu reduzieren und Compliancestandards einzuhalten, sollten Ihre Sicherheits- und Integritätsfunktionen auf Hardware beruhen.

  • Die Einhaltung von Branchenstandards für Gesundheitswesen, Finanzbranche, öffentlichen Sektor und Einzelhandel kann Ihnen dabei helfen, bei der Verarbeitung sensibler Kundendaten regelkonform zu bleiben.

  • Während die Einhaltung von Regeln überaus wichtig ist, empfehlen Best Practices eine Implementierung zusätzlicher Schutzmaßnahmen – von der Hardware und Firmware über das Betriebssystem und Anwendungen bis hin zur Cloud.

  • Die am häufigsten verwendeten Sicherheitstechniken umfassen Verschlüsselung bei der Übertragung von Daten sowie ruhenden Daten, Authentifizierung und Autorisierung, Hardware-basierte Sicherheit (oder physische Sicherheit) und Datensicherung.

author-image

By

Datensicherheit ist für moderne Unternehmen und Behörden von entscheidender Bedeutung. Während Daten eine Ihrer wichtigsten Ressourcen sein können – indem sie Ihnen dabei helfen, bessere Entscheidungen zu treffen, strategische Initiativen durchführen und stärkere Kunden- und Partnerbeziehungen aufzubauen –, können sie gleichzeitig eines Ihrer größten Risiken darstellen, wenn Sie keine Schritte zu ihrem Schutz ergreifen.

Datenschutzverletzungen, bei denen vertrauliche Daten von Milliarden von Kunden kompromittiert wurden, haben Unternehmen nicht nur eine Menge Geld gekostet, sondern auch ihren Markenwert reduziert sowie das Kundenvertrauen erschüttert. Da Hacker immer raffinierter werden, benötigen Sie fortschrittliche Techniken und Methoden, die Ihnen bei der Wahrung der Vertraulichkeit von Daten helfen.

Was ist Datensicherheit?

Datensicherheit ist die Fähigkeit, vertrauliche Daten Ihres Unternehmens und persönliche Daten Ihrer Kunden vor Datenschutzverletzungen und anderen Bedrohungen zu schützen. Am besten stellt man sich das mittels der CIA-Triade vor, einem Benchmark-Modell, das steuert, wie Unternehmen Daten verwalten, wenn diese gespeichert, übertragen und verarbeitet werden. Bei CIA in der Datentriade geht es um folgende Aspekte:

  • Vertraulichkeit (Confidentiality = C): Sicherstellen, dass die richtigen Entitäten – einschließlich Menschen und Software – Zugriff auf die richtigen Daten haben.
  • Integrität (Integrity = I): Bewahren von Daten durch Sicherstellung, dass sie nicht auf irgendeine Weise geändert werden.
  • Verfügbarkeit (Availability = A): Sicherstellen, dass Daten stets zugänglich sind, wenn sie benötigt werden.

Ein wichtiger Aspekt, den es zu beachten gilt, ist das Gleichgewicht zwischen dem Bedarf nach dem Schutz Ihrer Daten sowie Flexibilität bei der Analyse und Gewinnung wichtiger Erkenntnisse für eine bessere Entscheidungsfindung.

Warum ist Datensicherheit wichtig?

Da Datenschutzverletzungen und Datenschutzbedenken zunehmen, ist für viele Firmen der Schutz sensibler Unternehmens- und Kundendaten von höchster Bedeutung. Laut IDG erklären 68 Prozent der CIOs, dass es bei ihnen in den kommenden 12 Monaten zu ihrem größten Anstieg bei den Ausgaben für Cybersicherheit kommen wird.1

Datensicherheit ist aus folgenden Gründen wichtig:

  • Schützt Ihr geistiges Eigentum.
  • Wahrt die Integrität Ihrer Daten.
  • Sorgt für die Einhaltung von regulatorischen und rechtlichen Standards.

Der Preis für fehlenden Schutz Ihrer Daten kann hoch sein.

US-Unternehmen zahlen durchschnittlich 8,64 Millionen US-Dollar pro Datenschutzverletzung, einschließlich der Kosten für höhere Kundenabwanderung und entgangene Geschäfte aufgrund von Ausfallzeiten.2

Datensicherheitsstandards nach Branche

Vom Gesundheits- und Finanzwesen über Behörden bis hin zum Einzelhandel: Es gibt keinen Mangel an Vorschriften und Gesetzen, die zum Verbraucherdatenschutz beitragen sollen. Im Folgenden finden Sie einige der bedeutendsten Regelungen nach Branche.

Datensicherheit im Gesundheitswesen

Der Health Insurance Portability and Accountability Act (HIPAA) stellt einen nationalen Standard für den Schutz von Krankenakten und personenbezogenen Gesundheitsdaten dar – diese werden auch als geschützte Gesundheitsdaten (PHI) bezeichnet. Die Verordnung gilt für Unternehmen und Einrichtungen, die typischerweise Patientendaten verwalten, einschließlich Gesundheitsdienstleister, Krankenversicherungen und Abrechnungsstellen im Gesundheitswesen.

Seit der Einführung im Jahr 1996 wurden jedoch mehr als 200 Millionen Patientenakten kompromittiert.3 Zwar können medizinische Geräte wie Gesundheitsmonitore, Tablets und Wearables zur Verbesserung der Patientenversorgung beitragen und Kosten senken, doch erhöhen sie gleichzeitig das Risiko für Datenschutzverletzungen. Um die Sicherheit im Gesundheitswesen zu erhöhen und Compliance zu gewährleisten, sollten Unternehmen und Einrichtungen zuverlässige Zugriffs- und Prüfkontrollen implementieren, Daten mit Edge-Computing und Edge-Analysen näher an der Quelle halten und mithilfe der fortschrittlichsten Verschlüsselungsmethoden die Sicherheit von Daten bei der Übertragung wahren.

Datensicherheit im Finanzwesen

Der Sarbanes-Oxley Act, auch SOX genannt, regelt die finanziellen Transaktionen von US-Unternehmen und identifiziert Daten als Asset. Das Gesetz wurde konzipiert, um Betrug zu reduzieren sowie genaue und zuverlässige Finanzberichte zu gewährleisten. Es verlangt von allen börsennotierten Unternehmen die Einrichtung eines unabhängigen Prüfungsausschusses, der die Finanzberichterstattung überwacht, die Genauigkeit und Integrität von Abschlüssen und Berichten intern prüft, betrügerische Aktivitäten identifiziert und interne Kontrollen zur Verfolgung und Prüfung von Finanzprozessen vornimmt.

Mangelnde Compliance kann zu Geldbußen oder Gefängnisstrafen führen. Darüber hinaus gefährden Unternehmen, die die Vorschriften nicht einhalten, sensible Daten. Unternehmen sollten über Compliance hinausgehen, um ihre IT-Kontrollen zu stärken und Sicherheitsrisiken für Datenbanken zu minimieren.

Datensicherheit im öffentlichen Sektor

Von Schulen über Postdienste bis hin zu Strafverfolgungsbehörden und Notfalldiensten: Solide Cybersecurity für den öffentlichen Sektor trägt zur zuverlässigen Bereitstellung wesentlicher Dienste für die Öffentlichkeit auf lokaler, regionaler und nationaler Ebene bei.

Während alle Bundesstaaten Sicherheitsmaßnahmen zum Schutz von Verbraucherdaten implementiert haben, schreiben mindestens 32 Bundesstaaten vor, dass öffentliche Behörden über Datenbanksicherheit verfügen müssen, um die personenbezogenen Daten ihrer Bürger zu schützen.4 Fragmentierte Sicherheitslösungen und immer raffiniertere Cyberkriminelle machen den Schutz von Big Data jedoch zu einer Herausforderung. Stattdessen benötigen Behörden End-to-End-Sicherheit, um Daten und Geräte vom Netzwerkrand bis in die Cloud zu schützen.

PCI-Datensicherheit

Einzelhändler und andere Unternehmen, die Kreditkarten akzeptieren oder verarbeiten, müssen die Payment Card Industry (PCI)-Sicherheitsstandards erfüllen. Diese Standards erfordern, dass Unternehmen ihre Netzwerke verstärken, gespeicherte Verbraucherdaten schützen und Daten bei der Übertragung in öffentlichen Netzwerken verschlüsseln. Darüber hinaus müssen diejenigen, die Kreditkarten akzeptieren, zuverlässige Zugriffskontrollen pflegen, den Zugriff regelmäßig testen und überwachen und über eine Datensicherheitsrichtlinie für Mitarbeiter und Auftragnehmer verfügen.

Zwar stellen die Vorschriften einen ersten Schritt dar. Um Ihre Daten vollständig zu schützen und Verbrauchervertrauen zu schaffen, müssen Sie jedoch einen ganzheitlichen Ansatz für Sicherheit im Einzelhandel nutzen. Siliziumgestützte Sicherheit hilft Ihnen dabei, Datenschutzverletzungen zu stoppen, bevor sie eintreten, indem Sie Angriffe auf der Firmware-Ebene verhindern. Multifaktor-Authentifizierung und Schutz von I/O-Ports sorgen für zusätzliche Sicherheitsschichten, während eine frühzeitige Isolation von Datenschutzverletzungen die Behebung beschleunigt. Und starke Verschlüsselung innerhalb von SSDs kann Kreditkartendaten und personenbezogene Daten schützen, vom Zeitpunkt des Vorlegens durch den Kunden – am POS oder online – bis zum Zeitpunkt der Ankunft beim Bank- oder Einzelhandelsserver.

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist eine Regelung für digitalen Datenschutz in der Europäischen Union. Sie verlangt von Unternehmen den Schutz der Privatsphäre und personenbezogenen Daten von EU-Bürgern, wenn eine Transaktion in der EU erfolgt – selbst wenn das Unternehmen keine Präsenz dort hat. Darüber hinaus müssen Unternehmen von Verbrauchern eine Erlaubnis einholen, bevor sie ihre Daten erfassen dürfen, und Datenschutzverletzungen innerhalb von 72 Stunden melden.

Da die DSGVO vorschreibt, dass Unternehmen Daten zu schützen haben, wenn sie gespeichert, übertragen oder verarbeitet werden, müssen Sie sicherstellen, dass Sie über entsprechende Schutzmaßnahmen verfügen – von den niedrigsten Hardware-Stufen bis hin zu Ihrem Software-Stack.

Datensicherheitstechniken

Während Compliance für einen guten Ruf bei Regulierungsbehörden sorgt, hilft ein vollständiges Konzept dabei, Bedrohungen zu minimieren. Die folgenden Techniken sollten Teil der Datensicherheitsstrategie eines jeden Unternehmens sein.

Datenverschlüsselung

Verschlüsselung wird als eine der zuverlässigsten Methoden betrachtet, um für den Schutz von ruhenden, übertragenen oder in Echtzeitanalysen verarbeiteten Daten zu sorgen. Datenverschlüsselung verwendet Algorithmen, um Daten in einem unlesbaren Format zu codieren, für das zur Entschlüsselung ein autorisierter Schlüssel benötigt wird. Kryptographische Verarbeitung kann jedoch anfällig für Seitenkanalangriffe sein und die Leistung beeinträchtigen.

Neueste Techniken können Verschlüsselung beschleunigen und die Sicherheit erhöhen, ohne die Leistung negativ zu beeinflussen.

Authentifizierung und Autorisierung von Benutzern

Um unautorisierte Benutzer vom Zugreifen auf sensible Daten abzuhalten, müssen Sie geeignete Methoden zur Benutzerauthentifizierung implementieren. Starke Passwörter allein reichen jedoch nicht. Die sichersten Methoden verwenden Hardware-Sicherheitsfunktionen wie Biometrie, integrierte Zweifaktor-Authentifizierung und sichere Enklaventechnik, die in den Prozessor selbst eingebunden ist.

Hardwarebasierte Sicherheit

Da Hacker immer raffinierter werden, sind sie am Stack entlang nach unten gegangen, um Angriffe verstärkt auf der Hardware-Ebene auszuführen. Aus diesem Grund müssen Sie Ihre Daten in jeder Ebene der IT-Infrastruktur schützen – nicht nur in der Software. Die Hardware-basierten Sicherheitsfunktionen von Intel beinhalten Schutzmaßnahmen, die direkt in das Silizium integriert sind und eine vertrauenswürdige Infrastruktur schaffen, die der Sicherung von Hardware, Firmware, Betriebssystem, Anwendungen, Netzwerken und Cloud dient.

Datensicherung

Datensicherungslösungen helfen Ihnen dabei, Unternehmens- und Kundendaten im Falle eines Speicherausfalls, einer Datenschutzverletzung oder einer Katastrophe wiederzuherstellen. Indem Sie eine exakte Kopie Ihrer Daten erstellen und diese an einem sicheren Ort speichern, auf den autorisierte Administratoren zugreifen können, können Sie das Risiko eines Ausfalls primärer Daten minimieren. Für bessere Datenintegrität und -sicherheit benötigen Sie jedoch Schutzmaßnahmen für diese Sicherung – sowohl während Daten an ihren Sicherungsort gesendet werden als auch wenn sie gespeichert werden. Nur so lassen sich Anomalien oder Bedrohungen frühzeitig erkennen. Mit einer dokumentierten Datensicherungsrichtlinie können Sie verschiedene Sicherheitsvorschriften einhalten und für eine konsistente, zuverlässige Datenwiederherstellung sorgen.

Datensicherheitstechnik von Intel

Bei Intel setzen wir auf die Entwicklung von Techniken, die für erweiterten Schutz vor neuesten Sicherheitsbedrohungen sorgen. Wir beginnen mit einer Grundlage an siliziumbasierten Sicherheitsfunktionen und fügen Edge-to-Cloud-Datenschutzfunktionen hinzu, um eines der umfassendsten Sicherheitsportfolios anzubieten, die heute auf dem Markt verfügbar sind.

Intel® Threat-Detection-Technik (Intel® TDT)

Intel® Threat-Detection-Technik besteht aus einer Reihe von Hardware-gestützten Funktionen, die mit Ihren vorhandenen Sicherheitslösungen zusammenarbeiten, um neue Cyberbedrohungen besser zu erkennen. Intel® TDT ist in das zugrunde liegende Silizium integriert und verwendet CPU-Daten, Algorithmen für maschinelles Lernen und Intel integrierte Grafik für Sicherheits-Workloads.

Intel® Software Guard Extensions (Intel® SGX)

Intel® Software Guard Extensions bietet Hardware-basierte Arbeitsspeicherverschlüsselung, die die Angriffsoberfläche des Systems reduziert, indem Daten und Anwendungscode im Arbeitsspeicher isoliert werden. Die Lösung hilft Unternehmen dabei, sensible Anwendungen in öffentlichen, privaten, lokalen und Multicloud-Umgebungen sicherer zu verwalten.

Intel® Select Lösungen für gehärtete Sicherheit

Intel® Select Lösungen für gehärtete Sicherheit mit Lockheed Martin isoliert virtuelle Maschinen (VMs) zur Laufzeit mit Hardware-verstärkten Firewalls und verbessert die Leistung durch eine optimale Zuweisung von Rechenressourcen.

Intel® QuickAssist-Technik (Intel® QAT)

Intel® QuickAssist-Technik dient als softwarebasierte Grundlage, um Daten zu schützen und die Anwendungsleistung in Netzwerken, Cloud und Speicher zu erhöhen, indem CPU-intensive Komprimierungs- und Verschlüsselungsprozesse ausgelagert werden.

Schützen Sie Ihre Daten und Ihre Marke

Wenn Verbraucher persönliche Daten teilen, erwarten sie, dass Sie ihre Privatsphäre und ihre Daten schützen und gleichzeitig sinnvollen Nutzen bieten. Da Sie jetzt ein besseres Verständnis der Standards, die Sie anleiten, und der verfügbaren Techniken haben, können Sie ein Datensicherheitsprogramm einrichten, das Ihre Daten sowie Ihre Marke schützt.

Produkt- und Leistungsinformationen

1„CIO Tech Poll: Tech Priorities 2020“, IDG. https://www.slideshare.net/idgenterprise/cio-tech-poll-tech-priorities-2020.
2 „Kompromittierte Mitarbeiterkonten führten im vergangenen Jahr zu den teuersten Datenverletzungen: 2020“, CIO & Leader. https://www.cioandleader.com/article/2020/08/03/compromised-employee-accounts-led-most-expensive-data-breaches-over-past-year.
3 "HIPAA Compliance Guide", Der HIPAA-Leitfaden. https://www.hipaaguide.net/hipaa-compliance-guide/.
4 „Datenschutzgesetze | Landesregierung “, Nationale Konferenz der staatlichen Gesetzgeber. https://www.ncsl.org/research/telecommunications-and-information-technology/data-security-laws-state-government.aspx.