Die jüngste Überarbeitung der ISO 27001-Norm im Jahr 2022 bringt eine bedeutende Veränderung mit sich: die explizite Forderung nach dem Verhindern von Datenabflüssen. Die ergänzende ISO 27002 verstärkt diese Anforderung zusätzlich. In Anbetracht dieser Entwicklungen sollten Unternehmen, die bereits ISO 27001-zertifiziert sind oder eine solche Zertifizierung anstreben, sich intensiv mit dem Thema Data Leakage Prevention auseinandersetzen. Forcepoint, ein Experte auf diesem Gebiet, erläutert, welche Auswirkungen dies für betroffene Unternehmen haben wird.
Steigende Anforderungen: Unternehmen müssen aktiv werden, um ISO 27001 Zertifizierung zu behalten
Im Jahr 2021 erreichte die Anzahl der ISO 27001-zertifizierten Unternehmen in Deutschland einen neuen Höchststand von über 1.600. Diese Zahl verdeutlicht das wachsende Bewusstsein für Informationssicherheit und den Wert, den Unternehmen der Gewährleistung eines sicheren Umgangs mit sensiblen Daten beimessen. Um ihre Zertifizierung zu erhalten, müssen Unternehmen jedoch aktiv handeln, da die Neufassung der Norm aus dem vergangenen Jahr strengere Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) stellt. Insbesondere die ISO 27001:2022 und die ISO 27002:2022 legen nun eine Data Leakage Prevention (DLP) als erforderliche Maßnahme fest. Dies zeigt, dass Unternehmen verstärkt Maßnahmen ergreifen müssen, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten zu gewährleisten.
Datenschutzverletzungen stoppen: DLP-Technologie bietet einen effektiven Schutz vor dem ungewollten Abfluss sensibler Informationen wie personenbezogener Daten oder geistigem Eigentum. Obwohl Unternehmen in Deutschland oft noch zögern, das Thema anzugehen, können sie mit DLP-Implementierungen ihre Verantwortung im Datenschutz wahrnehmen und mögliche Risiken minimieren.
Effiziente Einführung von Data Leak Prevention: Erfahrungen von Forcepoint zeigen, dass Unternehmen überraschenderweise schneller als erwartet eine Data Leak Prevention in der Praxis implementieren können. Moderne Lösungen nutzen KI und Machine Learning, um Daten zuverlässig über verschiedene Speicherorte hinweg zu identifizieren und automatisch zu klassifizieren. Dadurch wird der manuelle Aufwand minimiert und eine effiziente Umsetzung ermöglicht. Darüber hinaus bieten solche Lösungen einen umfassenden Satz an vorgefertigten Richtlinien zum Schutz sensibler Daten, was eine schnelle Basisabsicherung ermöglicht. Eine zusätzliche Stärke besteht darin, dass sie bestehende Datenklassifizierungen und Regeln aus anderen Sicherheitstools übernehmen können.
Lokale Datenspeicherung: Eine effektive Lösung für den Schutz vor Datenlecks besteht darin, die Daten lokal auf dem Endgerät zu speichern und sicherzustellen, dass alle Datenschutzrichtlinien eingehalten werden. Durch diese lokale Überwachung können Datenschutzverletzungen erkannt und verhindert werden. Beispielsweise können Warnhinweise angezeigt, Dokumente verschlüsselt oder der Vorgang blockiert werden, abhängig von der Art der Verletzung. Dadurch wird vermieden, dass vertrauliche Informationen zentral gesammelt und dadurch ein potenzielles Ziel für Hackerangriffe werden.
DLP-Lösungen bieten Unternehmen nicht nur Unterstützung bei der Erfüllung des neuen Punkt 8.12 der ISO 27001, sondern auch bei anderen schwierigen Aufgaben. Eine davon ist die Klassifizierung von Informationen gemäß Punkt 5.12. Durch die Nutzung von DLP-Lösungen können Unternehmen ihre Daten effizienter organisieren und kategorisieren, was zu einer verbesserten Informationsverwaltung und -sicherheit führt. Sie erhalten einen besseren Überblick über ihre Daten und können die entsprechenden Speicher- oder Löschfristen besser einhalten.
Die Implementierung von Data Loss Prevention (DLP) wird in Deutschland bisher nur selten durchgeführt. Wenn überhaupt, geschieht dies meist mit halbherzigen Ansätzen wie manueller Datenklassifizierung oder starren Richtlinien. Diese Herangehensweisen decken jedoch nicht alle möglichen Sicherheitsverletzungen ab und beeinträchtigen die Produktivität der Mitarbeiter. Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint in München, berichtet, dass moderne DLP-Lösungen mit automatisierter Data Discovery, automatisierter Datenklassifizierung und vordefinierten Richtlinien die Einführung vergleichsweise einfach machen. Darüber hinaus nutzen sie eine Risikoermittlung, um ihre Reaktionen entsprechend der Situation anzupassen. Auf diese Weise unterstützen sie Unternehmen dabei, unerwünschten Datenabfluss effektiv zu verhindern und die Anforderungen der ISO 27001 zügig umzusetzen.
