E-Mails, Dokumente, Smartphone-Sensoren, maschinelles Lernen: Alles stützt sich auf unstrukturierte Daten. Warum ist es so schwierig, sie zu schützen?
Die Herausforderungen beim Schutz unstrukturierter Daten sind beträchtlich. Angefangen bei der zunehmenden Raffinesse von Cyberangriffen bis hin zur wachsenden Zahl von Datenschutzbestimmungen – CISOs sehen sich heute mit einer äußerst komplexen Landschaft konfrontiert.
Unstrukturierte Daten – Daten, die nicht in einer typischen relationalen Datenbank organisiert sind oder werden können – sind besonders schwierig zu schützen. Sie halten sich nicht an herkömmliche Datenmodelle, und viele Unternehmen haben unstrukturierte Datensätze in der Größenordnung von Dutzenden oder Hunderten von Milliarden von Elementen zu schützen. Die Herausforderungen sind mannigfaltig.
Erstens speichert ein durchschnittliches Unternehmen riesige Mengen an unstrukturierten Daten. Im Jahr 2022 wurden weltweit ca. 97 Zettabyte an Daten erstellt, und 80-90 % aller Daten sind unstrukturierte Daten. Bis zum Jahr 2025 werden weltweit voraussichtlich 175 Zettabyte unstrukturierter Daten anfallen.
Zweitens sind unstrukturierte Daten von Natur aus schwer zu kategorisieren und zu organisieren. Ich habe persönlich mit vielen Unternehmen gesprochen, die nicht genau wissen, was ihre unstrukturierten Datensätze enthalten. Aus einem Bericht des Institute of Directors (IoD) und von Barclays geht hervor, dass über 40 % der Unternehmen nicht einmal wissen, wo alle ihre wichtigen Daten gespeichert sind.
Drittens sind unstrukturierte Daten der Dreh- und Angelpunkt für die Sicherheit und Verfügbarkeit von Anwendungen. Die Funktionalität aller Anwendungen, von E-Mail-Tools bis hin zu Datenbanken und VMs, hängt von der Funktionsfähigkeit der zugrunde liegenden Dateisysteme ab. Wenn die unstrukturierten Daten in diesen Dateisystemen bei einem Cyberangriff verloren gehen, beschädigt oder gelöscht werden, kann dies zu abgestürzten Anwendungen, beschädigten Datenbanken, SLA-Verletzungen und Unterbrechungen der Geschäftskontinuität führen.
Mehr als RBAC und Single Points of Failure
Der derzeitige Standard für die Sicherung unstrukturierter Daten ist die rollenbasierte Zugriffskontrolle (RBAC). RBAC ist zwar absolut notwendig und bietet Schutz vor unbefugten Benutzern ohne die richtigen Anmeldedaten, aber es ist auch ein begrenzter Ansatz. RBAC hält viele gängige Angriffe nicht auf, so dass Sie immer nur einen einzigen Missbrauch von Anmeldeinformationen davon entfernt sind, in Schwierigkeiten zu geraten.
Unstrukturierte Daten sind in der Regel über RBAC hinaus nicht ausreichend geschützt. Die Systeme, auf denen sie gehostet werden, haben eine einzige Schwachstelle: privilegierte Anmeldeinformationen. Dies gilt für alle Datenspeicher und auch für Dritte, wie z. B. Cloud-Speicheranbieter, die über einen privilegierten Zugang verfügen.
Das Ergebnis ist, dass es fast unmöglich ist, die Datenexfiltration zu verhindern, wenn jedes System ein Root-Passwort hat. Ebenso ist es fast unmöglich, Datenmanipulationen zu verhindern, was insbesondere für wertvolle KI/ML-Modelle und Trainingsdaten ein Risiko darstellt, wenn ein Angreifer nur einen einzigen Zugangscode benötigt, um sich Zugang zu verschaffen. Die Verschlüsselung im Ruhezustand bietet eine Sicherheitsebene für in der Cloud gespeicherte Daten, ist aber keine realistische Strategie zum Schutz vor Verfügbarkeitsrisiken, Datenexfiltration oder Verletzungen durch menschliches Versagen, Ransomware und andere Cyberbedrohungen.
Die größten Risiken für die Sicherheit unstrukturierter Daten
Als CISOs ist es unsere Aufgabe, die Risiken für unsere Datenbestände zu bewerten und zu mindern. Bei unstrukturierten Daten treten diese Risiken in vielen Formen auf, und unsere Reaktion muss gegen alle verschiedenen Arten von Risiken abgewogen werden.
Risiken für die Verfügbarkeit. Schlechte Datenqualität und Inkompatibilität können beide zu Problemen mit der Verfügbarkeit führen, aber weitaus häufiger sind Serverabstürze, Netzwerkausfälle und Ausfälle von Cloud-Anbietern. In den SLAs für Cloud-Speicher ist zwar eine geringe Rückerstattung im Falle eines Ausfalls vorgesehen, aber diese Rückerstattung deckt weder die erheblichen, mehrere Millionen Dollar teuren Kosten eines Ausfalls ab, noch kann sie Ihren Dienst wieder in Betrieb nehmen. Die Datenverfügbarkeit wird durch die Komplexität von Hybrid- und Multi-Cloud-Umgebungen weiter erschwert.
Operative Risiken. Eine kürzlich durchgeführte Studie eines Professors der Stanford University ergab, dass 88 % der Sicherheitsverletzungen durch Fehler von Mitarbeitern verursacht werden, während eine ähnliche Studie von IBM Security den Anteil auf schockierende 95 % schätzt. Das liegt daran, dass komplexe Betriebsumgebungen mit mehreren Tools bei verschiedenen Cloud-Anbietern alltäglich geworden sind, und die zunehmende Komplexität macht Fehler wahrscheinlicher. Infolgedessen haben wir eine beträchtliche Anzahl großer Sicherheitsverstöße erlebt, die auf menschliches Versagen zurückzuführen sind – am häufigsten, wenn ein Mitarbeiter bei der Migration oder Freigabe von Daten versehentlich einen Speicherbereich für den öffentlichen Zugriff offen lässt. Von da aus ist es nur noch ein kleiner Schritt zu einem kostspieligen Datenverstoß.
Risiken durch Ransomware und Datenexfiltration. Ein weiteres großes Risiko für unstrukturierte Daten ist Ransomware. 2023 ist auf dem besten Weg, ein rekordverdächtiges Jahr für Ransomware zu werden, mit einem Anstieg von 49 % in den ersten sechs Monaten des Jahres. Der Anstieg von Ransomware bedroht die Verfügbarkeit von On-Premise- und Cloud-Umgebungen und beeinträchtigt auch den Datenschutz. Eine erhebliche Anzahl von Ransomware-Angriffen sind heute doppelte Erpressungsangriffe, bei denen alle ungesicherten Daten, auf die bei einem Ransomware-Vorfall zugegriffen wird, leichte Beute für Angreifer sind, die mit der Veröffentlichung oder Weitergabe der exfiltrierten Daten drohen.
Compliance-Risiken. Wir haben im letzten Jahr ausführlich über Datenschutz und Compliance geschrieben. Die wichtigste Erkenntnis dabei ist, dass die Datenschutzgesetze immer strenger werden – und die Strafen für die Nichteinhaltung dieser Gesetze sind enorm. Viele Vorschriften schreiben inzwischen bestimmte technische Schutzmaßnahmen für personenbezogene Daten von Verbrauchern vor, von den Empfehlungen des Europäischen Datenschutzausschusses für grenzüberschreitende Datenübertragungen bis hin zu den Anforderungen der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht an Datensicherungen. Die Minimierung der rechtlichen Haftung und des finanziellen Risikos angesichts dieser zahlreichen Anforderungen ist eine ständige Herausforderung.
Risikominderung und verbesserte Sicherheit für unstrukturierte Daten
Unstrukturierte Daten sind das Rückgrat Ihres Unternehmens. Sie sind auch eine Schwachstelle. Die überwiegende Mehrheit der Cyberangriffe erfolgt auf unstrukturierte Daten, daher muss diese Art von Daten im Mittelpunkt des Schutzes stehen.
Cybersecurity-Experten bieten eine breite Palette von individuellen Empfehlungen zum Schutz unstrukturierter Daten. Ihr Unternehmen könnte die standardmäßige Verschlüsselung, Privacy by Design, das Prinzip der geringsten Privilegien und Datenminimierung in Betracht ziehen.
All diese Ansätze sind zwar wichtig, aber es ist auch sinnvoll, die Risiken für unstrukturierte Daten ganzheitlich zu betrachten. Die idealen Technologien werden nicht nur eine, sondern viele Risikokategorien abdecken. Ich empfehle insbesondere die Wahl einer Sicherheitslösung mit den folgenden Funktionen zum Schutz unstrukturierter Daten:
- Robuste Datenausfallsicherheit, um externe Verfügbarkeitsrisiken abzuschwächen.
- Erweiterter Datenschutz, um Probleme mit der Datenexfiltration, der rechtlichen Haftung und der Einhaltung gesetzlicher Vorschriften zu mindern.
- Selbstheilung, um Datenverluste durch menschliches Versagen sowie durch Ransomware- und Malware-Angriffe zu verringern.
- Infrastrukturunabhängige Plattform, um der Komplexität von Hybrid- und Multi-Cloud-Architekturen gerecht zu werden.
Die ShardSecure-Plattform bietet einen preisgekrönten Ansatz zur Risikominimierung und zum Schutz unstrukturierter Daten, unabhängig davon, wo sie sich befinden. Wenn Sie mehr darüber erfahren möchten, wie ShardSecure eine robuste Cybersecurity-Strategie mit fortschrittlicher Datensicherheit, Datenschutz und Widerstandsfähigkeit unterstützen kann, werfen Sie einen Blick auf unser Whitepaper oder besuchen Sie unsere Ressourcen-Seite.