Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Die Dramaturgie der Daten: Wie BSI Grundschutz und Data Governance zusammenhängen

IT-Sicherheitsthemen schaffen es inzwischen lässig und beinahe täglich in die Top-Headlines der Medien sowie der einschlägigen Blogs und Diskussionsforen. Themen, mit denen sich das BSI (Bundesamt für Sicherheit in der...
Michael Buckbee
2 minute gelesen
Veröffentlicht 29. September 2014
Letzte aktualisierung 30. Juni 2022

IT-Sicherheitsthemen schaffen es inzwischen lässig und beinahe täglich in die Top-Headlines der Medien sowie der einschlägigen Blogs und Diskussionsforen. Themen, mit denen sich das BSI (Bundesamt für Sicherheit in der Informationstechnik), neben seinem Ringen um eine neue Datenschutzregelung, in seinen aktuellen Symposien beschäftigt:

  • Spionage und Cybercrime
  • Privatsphäre im Kontext von Cloud und Big Data
  • Standards für die Cloud
  • Identität und Persönlichkeit im Zeitalter von Big Data

sind nur einige der Bereiche, die auf dem 9. Interdisziplinären Symposium der a-i3 und des BSI im Mai dieses Jahres systematisch unter die Lupe genommen wurden.

BSI Grundschutz, mehr Last als Lust?
Zu den bekanntesten BSI-Tools gehören die IT-Grundschutzkataloge. Auf ihnen basiert zusätzlich die ISO 27001-Zertifizierung, die in einem aufwendigen Prozess sowohl das Informationssicherheitsmanagement abprüft, die aber auch konkrete Sicherheitsmaßnahmen umfasst. Die IT-Grundschutzkataloge enthalten sogenannte Baustein-, Maßnahmen- und Gefährdungskataloge. Ziel ist es natürlich, ein möglichst hohes Sicherheitsniveau zu erreichen, das dem jeweiligen Risikoprofil am besten entspricht.
Wie man dabei vorzugehen hat, dazu hat das BSI entsprechende Standards entwickelt, die hier nachzulesen sind.

Und dann ist da noch der Gesetzesentwurf
Ja, es soll nun definitiv verbindlich werden, was in den ersten Anläufen noch nicht ganz gelungen ist, dass nämlich gerade kritische Infrastrukturen wie Telekommunikation und die Strom- und Wasserversorgung Mindeststandards in punkto IT-Sicherheit erfüllen müssen.
Gleiches soll für Verkehrsbetriebe, Banken und Krankenhäuser gelten.
Bis zum Schluss kontrovers diskutiert ist innerhalb des Gesetzesentwurfs die Meldepflicht für Hackerangriffe und Lecks im Datenschutz. Inzwischen existiert sie nur noch als anonymisierte Meldepflicht, bei der die technischen Rahmenbedingungen, insbesondere der eingesetzten und betroffenen Informationstechnik und die Branche an das BSI übermittelt werden.

IT-Grundschutz: Einfach sicher?
Kontrolle und Sicherheit, Freiheit und Datenschutz sind also die Parameter, die im unternehmerischen und institutionellen Geschäftsalltag immer wieder ausbalanciert werden müssen. Auch beim IT-Grundschutz, der nicht zuletzt für kleine und mitteständische Unternehmen oftmals als zu aufwendig beurteilt wird. Der aber in größeren Unternehmen, Konzernen und Institutionen eingesetzt, im nationalen und internationalen Vergleich immer noch gute Noten erhält.

Das BSI selbst bewertet den IT-Grundschutz als eine einfache Methode, dem Stand der Technik entsprechend Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Allerdings kann das in der Praxis deutlich anders aussehen, und nicht immer ist der IT-Grundschutz so ganz einfach zu realisieren. Das normative Vorgehen stellt in vielen Fällen eine Hürde da.
Trotzdem lohnt sich die Umsetzung. Zum Beispiel dann, wenn ein Unternehmen lediglich einige wesentliche Voraussetzungen in der eigenen Infrastruktur schaffen muss. Ohne gleich komplette Geschäftsprozesse umzukrempeln.

Die Dramaturgie der Daten
Das sind beispielsweise Prozesse, die direkt die Mitarbeiter betreffen, wenn es darum geht, wer auf welche Daten zugreifen darf und muss. Ein weiterer Bereich betrifft das komplette Management der Zugriffsrechte, den Zugriff auf Server und Daten sowie das Administrieren von Fileservern insbesondere. Und zwei ganz große Brocken: anstehende Migrationen und alles, was mit dem Anforderungsprofil und –ziel Compliance gemeint ist.

Es stellt sich im Wesentlichen eine Grundfrage, die praktisch für alle Kernbereiche der IT-Sicherheit relevant ist: Wer darf auf welche (Daten-) Ressourcen zugreifen und wer darf im Sinne des „Need-To-Know“ was damit tun?

Berechtigungen zu pflegen ist zunächst ein Mal zeitaufwendig und nicht selten auch kostenintensiv. Gerade im Always-On-Unternehmen arbeiten die Mitarbeiter oft nur projektbezogen zusammen, die Organisationsstrukturen haben sich verändert und werden das weiter tun und jede Menge Nutzer generieren jede Menge Daten.
Viele unserer Kunden haben zunächst versucht, die Administration von Benutzern und Rechten mit Bordmitteln oder sogar Eigenentwicklungen in den Griff zu bekommen.
Ab einer gewissen Zahl von Usern, Ordnern und den stetig wachsenden Datenvolumina wird das Management allerdings nicht nur unkomfortabel, sondern es schleichen sich Über- und Fehlberechtigungen ein.
Wie kostenintensiv ein Berechtigungsmanagement allerdings tatsächlich werden kann, das zeigt sich spätestens dann, wenn externe Prüfer und Auditoren ans Werk gehen.

Die gestellte Grundfrage beantworten zu können führt fast automatisch zu einer Vielzahl von möglichen Ansatzpunkten, um die Voraussetzungen für gute = wirksame Sicherheitsmaßnahmen zu schaffen.

Wie Data-Governance-Lösungen konkret helfen, den BSI-Werkzeugkasten für mehr IT-Sicherheit effizient umzusetzen und welche praktischen Ansätze es gibt, das erläutern wir Ihnen in lockerer Folge in den kommenden Beiträgen.

The post Die Dramaturgie der Daten: Wie BSI Grundschutz und Data Governance zusammenhängen appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?