Cloud-Computing vergrößert Angriffsfläche von Daten im Finanzwesen
Eine Studie der Blancco Technology Group hat sich mit der Nutzung von Cloud-Computing durch Unternehmen und Einrichtungen des Gesundheits- und Finanzwesens in Deutschland befasst und die Auswirkungen von Cloud-Computing auf die Datenklassifizierung und -minimierung sowie auf den Umgang mit End-of-Life-Daten untersucht.
Laut der weltweiten Studie Daten in der Ferne, bei der insgesamt 1.800 Teilnehmer befragt wurden, darunter 300 in Deutschland, ist die einfache Verwaltung immer größer werdender Datenmengen einer der Hauptgründe, weshalb viele Unternehmen und Einrichtungen ihre Daten in der Cloud speichern. Allerdings geben fast zwei von drei Befragten (65 Prozent) in Deutschland an, dass mit der Migration in die Cloud auch die Menge an redundanten, veralteten oder trivialen Daten (ROT-Daten) zugenommen hat, die sie speichern.Je größer die Menge der gespeicherten Daten ist, desto größer sind aber auch die Probleme, die sich daraus ergeben können. Insbesondere Unternehmen in stark regulierten Branchen sind zunehmend besorgt. Abgesehen von der Gefahr, gegen Datenschutzbestimmungen zu verstoßen, spielen auch Kosten- und Nachhaltigkeitsaspekte der Datenspeicherung sowie Sicherheitsbedenken eine Rolle. Je mehr Daten vorhanden sind, desto größer ist die Angriffsfläche und desto höher sind die Strafen, die im Falle einer Datenpanne verhängt werden.
Gemäß den Best Practices für das Datenmanagement müssen alle Unternehmen und Institutionen, die Daten sammeln, wissen, welche Daten sie sammeln, welchen Wert diese Daten haben, wo sie gespeichert werden und zu welchem Zeitpunkt sie unwiderruflich vernichtet werden müssen. Dennoch verfügen nach eigenen Angaben nur etwas mehr als die Hälfte (55 Prozent) der befragten Unternehmen und Institutionen in Deutschland über ein erprobtes Datenklassifizierungsmodell, das festlegt, wann Daten ihr Lebensende erreichen. Dies bedeutet im Umkehrschluss, dass fast die Hälfte der Befragten nicht wirklich weiß, wann die von ihnen in der Cloud gespeicherten Daten vernichtet werden müssen.
Auf die Frage nach dem Umgang mit EoL-Daten in der Cloud gaben 59 Prozent der Befragten in Deutschland an, dass sich ihr Cloud-Anbieter für sie um ihre EoL-Daten kümmert. Allerdings hat fast ein Drittel (31 %) der Befragten kein Vertrauen in den Cloud-Anbieter in Bezug auf den ordnungsgemäßen Umgang mit ihren EoL-Daten.
Zu den Hauptgründen für die Migration in die Cloud zählen die bessere Konnektivität, der digitale Wandel und die einfachere Verwaltung von Daten. Dennoch wissen viele nicht, wie sie die Sicherheit ihrer Daten und die Einhaltung gesetzlicher Vorschriften sicherstellen.”
Tanja Balazic, Managing Director von Blancco Germany.
Die Organisation der Arbeit hat sich in allen Branchen verändert, und die Migration in die Cloud war bei der Anpassung an diese Veränderungen hilfreich. Aber auch bei den Hackern hat sich die Vorgehensweise geändert. Laut einem Branchenbericht fanden 2022 45% aller Datenschutzverletzungen in der Cloud statt. „Dennoch sind wir bei unserer Untersuchung auf zahlreiche Fälle gestoßen, in denen EoL-Daten in der Cloud unsachgemäß behandelt wurden“, erklärt Balazic.
Die von Blancco durchgeführte Umfrage unter 300 Unternehmen und Institutionen aus dem Gesundheits- und Finanzsektor in Deutschland ergab unter anderem, dass zwei Drittel (66 Prozent der Unternehmen und Institutionen) der Meinung sind, dass sie ihre EoL-Daten besser in einem Rechenzentrum vor Ort als in der Cloud verwalten können. Immerhin 72 Prozent (der höchste Wert aller in der Umfrage berücksichtigten Länder) setzen beim Datenmanagement ausschließlich auf softwarebasierte Datenlöschung inklusive Audit-Trail, sowohl vor Ort als auch in der Cloud. Besorgniserregend hohe 45 Prozent lassen dagegen die Daten ohne Audit Trail löschen.
Interessant auch: Immerhin mehr als neun von zehn Befragten (92 Prozent) haben erkannt, dass die Datenklassifizierung ein erster wichtiger Schritt in Richtung Datensicherheit ist. Und 37 Prozent sind gerade erst dabei, eine Richtlinie zur Datenklassifizierung und -minimierung zu implementieren, während fast jeder zehnte Befragte (7 Prozent) erst noch damit beginnen muss.
Ein Datenplan ist entscheidend
Ein wichtiger Aspekt, der angesichts steigender gesetzlicher Anforderungen an Unternehmen und Einrichtungen des Gesundheits- und Finanzwesens weiter an Bedeutung gewinnt, ist die regelmäßige Bewertung von Daten und die Festlegung von Aufbewahrungsfristen. Laut Studie verfügen 56 Prozent der Unternehmen und Einrichtungen in Deutschland über einen Datenplan, der überprüft, wann verschiedene Datenarten ihr Lebensende erreicht haben.
Rund ein Viertel (26 Prozent) der Unternehmen und Institutionen verfolgt dagegen einen blinden Ansatz, bei dem einfach davon ausgegangen wird, dass alle Daten nach Ablauf einer einheitlichen Frist ihr Lebensende erreichen. Dieser Ansatz ist einfach, aber ineffizient, da nicht berücksichtigt wird, um welche Daten es sich im Einzelfall handelt, welchen Wert sie haben oder wie hoch das Risiko ist, dass die Daten in die falschen Hände geraten.
Immerhin ist sich ein Großteil der Unternehmen und Institutionen im Gesundheits- und Finanzbereich der neuen Herausforderungen bewusst, die die Cloud an das EoL-Datenmanagement stellt. So sind 64 Prozent der Befragten der Ansicht, dass es aufgrund des Übergangs von der analogen zur digitalen Welt notwendig ist, die Art und Weise, wie sie bestimmen, wann Daten nicht mehr benötigt werden, neu zu bewerten. Zu den Versäumnissen bei der Datenklassifizierung und -minimierung kommt hinzu, dass erschreckend viele, nämlich 68 Prozent der Befragten (und damit deutlich mehr als in anderen Ländern) angeben, dass sie zumindest gelegentlich die automatische Löschfunktion des Systems nutzen, um Daten zu löschen.
Dabei werden im Allgemeinen nur die Zeiger auf die Daten entfernt, nicht aber die Daten selbst. Das bedeutet, dass die Daten noch vorhanden sind und problemlos wiederhergestellt werden können. Damit fehlt auch ein Prüfpfad, der die ordnungsgemäße Vernichtung der Daten im EoL nachweist.
Finanzunternehmen sind hier anfällig für Compliance-Verstöße
Der durch die Covid-Pandemie beschleunigte Umzug in die Cloud macht deutlich, dass Unternehmen und Einrichtungen in stark regulierten Branchen und mit einem hohen Bedrohungspotenzial ihre Verantwortung für ihre Daten neu überdenken müssen. Der Bericht zur Studie enthält eine Reihe von Best Practices, die diesen und anderen datenintensiven Branchen helfen, die gesetzlichen Bestimmungen zur Datenhaltung zu befolgen und sowohl sich als auch ihre Kunden zu schützen.
Selbst wenn in den Rechenzentren vor Ort bewährte Verfahren für die Löschung von Daten befolgt wurden, bedeutet dies nicht automatisch, dass diese Verfahren auch bei der Migration von Daten in die Cloud befolgt werden. Auch wenn es mittlerweile Standard ist, dass Cloud-Anbieter die Datenlöschung in Nutzungsvereinbarungen aufnehmen, ist der routinemäßige Nachweis, dass bestimmte sensible Daten tatsächlich unwiderruflich gelöscht wurden, nach wie vor eher selten. Dies macht stark regulierte Branchen anfällig für Compliance-Verstöße und unerlaubten Datenzugang.
Den Bericht mit der vollständigen Analyse können Sie kostenlos herunterladen.tw
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/152010
Schreiben Sie einen Kommentar