Risiko Mitarbeiter – 10 Tipps für mehr Datensicherheit
Tipp 1 – Analyse der Datenbank-Inhalte macht vieles einfacher
02.02.2010 | Autor / Redakteur: Brian Contos und Stephan Augsten / Stephan Augsten
Nahezu jedes Security-Buch, das innerhalb der letzten Dekade geschrieben wurde, befasst sich mit dem Bestimmen kritischer Assets. Denn wenn man alles gleichermaßen schützen will, stößt man schnell an die Grenze des finanziell Machbaren. Doch wenn dieser Grund auf der Hand liegt, warum vernachlässigen dann viele Unternehmen die Identifikation ihrer geschäftskritischen Daten?
Oft fehlt den Sicherheitsverantwortlichen zu einer umfassenden Datenanalyse und -klassifikation schlicht und ergreifend die Zeit. Vor allem in kleinen und mittleren Unternehmen kann ein Administrator, der sich um etliche IT-Bereiche und User-Anfragen gleichzeitig kümmern muss, sich nicht einfach mehrere Wochen Zeit für diese Aufgabe nehmen.
Da die Identifikation sensibler Daten immens wichtig ist, kommt man über kurz oder lang aber nicht darum herum. Aber keine Sorge: Mit der Bestandsanalyse hat man ohnehin den schlimmsten Teil hinter sich. Um Zeit zu sparen, muss man sich das Pareto-Prinzip zunutze machen. Dieses besagt, dass sich 80 Prozent eines Projekts in 20 Prozent der Gesamtzeit umsetzen lassen (deshalb auch 80-zu-20-Regel).
Das optimale Aufwand-Nutzen-Verhältnis ergibt sich, wenn man zunächst einmal die kritischsten Bereiche identifiziert – und das sind in der Regel die Datenbanken. Denn hier liegen kritische Mitarbeiter-Daten wie Sozialversicherungsnummern und Gehaltslisten, Kundeninformationen wie Kontakt- und Kreditkartendaten oder auch geistiges Eigentum und Geschäftspläne. Nahezu jede Firma hält derartige Informationen in einer Datenbank vor.
Man könnte annehmen, dass es sich beim Identifizieren der Datenbanken um einen einfachen Schritt handelt; in weltweit operierenden Unternehmen und staatlichen Organisationen ist es allerdings eine Mammutaufgabe. Aber auch Service-orientierte Architekturen (SOA) können breit gefächert und komplex sein. Unter Umständen wurden kritische Datenbanken zu Testzwecken dupliziert? Oder es gibt undokumentierte Datenbanken?
Sind die Datenbanken erst einmal identifiziert, kann man sich daran machen, die schützenswerten Daten und Objekte darin zu klassifizieren. Dieser Prozess muss nachträglich geprüft werden, um falsche Gewichtungen sensibler Daten zu vermeiden.
Darüber hinaus besitzen die Ermittelten Daten nur eine gewisse Halbwertzeit. Deshalb empfiehlt es sich, die Analyse, Kategorisierung und Gewichtung der Daten auf Dauer zu automatisieren und ständig zu wiederholen. Nur so erreicht man im Laufe der Zeit einen Mittelweg zwischen Skalierbarkeit und Genauigkeit.
Brian Contos ist Chief Security Strategist bei Imperva.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2043179)
