Geldinstitute > Security

10.09.2018 von hs

Sensible Kunden- und Finanzdaten schützen

Mehr Wissen über die eigenen Daten schützt Unternehmen. Oft sind sich Organisationen im Unklaren, wer, wann auf welche Daten zugreift. Um ein integriertes Sicherheitskonzept aufzubauen, benötigen Entscheider Transparenz, verriet uns Gerald Lung, Country Manager DACH bei Netwrix, im Gespräch. Die Reduzierung auf das rechte Maß an Rechten sei das Geheimnis.

"Für böswillige Akteure sind schwach geschützte Benutzerdaten geeignete Ziele, um an die wertvollen Daten von Unternehmen zu kommen – besonders Banken, Versicherungen und Händler sind hier gefordert, sensible Kunden- und Finanzdaten zu schützen und strenge Compliance-Vorgaben einzuhalten.", Gerald Lung, Country Manager DACH bei Netwrix

Was ist die wichtigste Herausforderung in der Datensicherheit von Unternehmen?

Gerald Lung, Netwrix: Wir haben in zwei Studien, dem IT Risks Report und dem Cloud Security Report von Netwrix, ge­sehen, dass in Unternehmen besonders ­legitime Benutzeraccounts Schwachstellen darstellen. Für böswillige Akteure sind schwach geschützte Benutzerdaten geeignete Ziele, um an die wertvollen Daten von Unternehmen zu kommen – besonders Banken, Versicherungen und Händler sind hier gefordert, sensible Kunden- und Finanzdaten zu schützen und strenge Compliance-Vorgaben einzuhalten. In sehr ­vielen Fällen weiß niemand im Security-Team genau, welche empfindlichen Daten in der Organisation wo gespeichert werden und wer mit welchen Accounts auf sie zugreifen darf. Diese Datensichtbarkeit ist allerdings die wichtigste Basis für alle ­Entscheidungen rund um Maßnahmen und Strategien für die Datensicherheit.

Was können Unternehmen tun, um ihre Datensicherheit zu erhöhen?

Im ersten Schritt müssen Unternehmen die Datensichtbarkeit gewährleisten. Das bedeutet zwei Dinge: Erstens, müssen sie die Nutzeraccounts, die Zugriffsrechte und die Daten, die sie speichern in ihrem Netzwerk evaluieren und anschließend die Zugriffsrechte auf ein sinnvolles Minimum reduzieren. Die Herausforderungen sind hier, sie auf genau so viele Rechte zu beschränken, wie für ihre tägliche Arbeit ­notwendig ist. Zweitens muss es einen kontinuierlichen Monitoringprozess geben, der die Zugriffsrechte laufend überprüft, um beispielsweise die Accounts von ausscheidenden Mitarbeitern anzupassen.

Warum gibt es bei Finanzinstituten und Händlern Nachholbedarf in der Daten­sicherheit?

Die Security Teams im Unternehmen stehen unter einem großen Zeitdruck. Aktuelle Studien zeigen, dass die Unternehmen zwar sehr auf die Auswahl neuer Sicherheits­lösungen und deren Anschaffung achten, dass dann allerdings oftmals neue Sicherheitsfeatures nicht implementiert werden können, weil Personal und Zeit fehlen. In puncto Datensichtbarkeit müssen die Sicherheitsspezialisten aufwendige Logfileanalysen vornehmen, bei denen es bereits viel Zeit kostet, menschenlesbare Informationen aus den Logs zu extrahieren. Niemand hat die Zeit, sich mit den vielen Beschränkungen und meist provisorischen Skripten auseinanderzusetzen. Dies wäre aber notwendig für eine vollständige und aussagekräftige Auswertung. Deshalb ist der Grundstein für die Datensicherheit eine Auditorlösung, die regelmäßige Aufgaben automatisiert und beispielsweise auf Knopf­druck die benötigten Reports erstellt.

Welchen Mehrwert bietet der Netwrix Auditor?

Der Netwrix Auditor liefert die Tools für eine umfassende Analyse, Datensichtbarkeit und Auditfunktionen für Compliancefragen. Damit können Unternehmen die Zugriffsrechte und Daten verwalten und kontrollieren, obsolete Rechte entfernen und so mit wenig Aufwand die Daten­sicherheit im Unternehmen deutlich erhöhen. Logfiles können automatisch ausgewertet werden, um regelmäßige Berichte zu erstellen und Veränderungen nachzuvollziehen. Ebenso unkompliziert ist die Dokumentation von Richtlinienkonfor­mität wie z. B. PSD2, DSGVO oder internationalen Normen wie ISO 27.001.

Wie können Unternehmen sich informieren?

Die beste Gelegenheit ist demnächst auf der it-sa 2018. In Halle 10.1 am Stand 407 stehen meine Kollegen, Tech­niker und ich gerne zur Verfügung, die ­Themen Datensichtbarkeit und Risiko­minimierung zu vertiefen. Wir freuen uns auf intensive Gespräche.