Unternehmen, die nach der international anerkannten ISO 27001-Norm zertifiziert sind oder diese Zertifizierung anstreben, stehen vor einer neuen Anforderung. Die kürzlich aktualisierte Norm von 2022 fordert erstmals ausdrücklich, dass Unternehmen Maßnahmen ergreifen, um Datenabflüsse zu verhindern. Diese Forderung wird durch die ergänzende ISO 27002 weiter verstärkt. In Anbetracht dieser Entwicklung ist es für betroffene Unternehmen unerlässlich, sich intensiv mit Data Leakage Prevention (DLP) auseinanderzusetzen. Forcepoint erläutert die Implikationen dieser Veränderungen.
ISO 27001:2022 – Neue Norm erhöht Anforderungen an Informationssicherheit
Die steigende Zahl der ISO 27001-zertifizierten Unternehmen in Deutschland verdeutlicht den wachsenden Stellenwert von Informationssicherheit in der heutigen Geschäftswelt. Ende 2021 waren mehr als 1.600 Unternehmen in Deutschland mit dieser international anerkannten Zertifizierung ausgestattet. Allerdings bringt die Neufassung der Norm aus dem vergangenen Jahr neue Herausforderungen mit sich. Die aktualisierten Versionen ISO 27001:2022 und ISO 27002:2022 legen erhöhte Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) fest, einschließlich der Einführung von Data Leakage Prevention (DLP) als erforderliche Maßnahme. Dies erfordert von den Unternehmen ein aktives Vorgehen, um ihre Zertifizierung aufrechtzuerhalten. Es ist nun notwendig, ihre ISMS-Strategien zu überprüfen und sicherzustellen, dass angemessene Maßnahmen zum Schutz vertraulicher Informationen implementiert sind.
Bewusstsein für Risiken schärfen: Oftmals vernachlässigen Unternehmen in Deutschland das Thema DLP, da sie das damit verbundene Risiko unterschätzen. Es ist jedoch wichtig, ein Bewusstsein für die möglichen Folgen von Datenlecks und dem Verlust geistigen Eigentums zu schaffen. Durch eine intensive Beschäftigung mit DLP können Unternehmen ihre Risikoeinschätzung verbessern und geeignete Schutzmaßnahmen ergreifen.
Effektive Data Leak Prevention: Forcepoint hat herausgefunden, dass die Einführung einer Data Leak Prevention in der Praxis viel schneller vonstattengehen kann als von Unternehmen erwartet. Moderne Lösungen nutzen KI und Machine Learning, um Daten zuverlässig in allen Speicherorten zu identifizieren und automatisch zu klassifizieren. Dadurch wird der manuelle Aufwand minimiert und die Implementierung beschleunigt. Darüber hinaus bieten solche Lösungen eine breite Palette vorgefertigter Richtlinien für den Schutz sensibler Daten, was eine schnelle Grundabsicherung ermöglicht. Besonders vorteilhaft ist die Fähigkeit dieser Lösungen, bestehende Datenklassifizierungen und Regeln aus anderen Sicherheitstools zu übernehmen.
Stärkung des Datenschutzes am Endgerät: Eine effektive Möglichkeit, Datenschutzverletzungen zu verhindern, besteht darin, den Fokus auf die Stärkung des Datenschutzes am Endgerät zu legen. Indem die Einhaltung aller Richtlinien und Vorgaben lokal überwacht wird, können potenzielle Lecks erkannt und gestoppt werden. Warnhinweise, Dokumentenverschlüsselung und Blockierung von Aktivitäten dienen dabei als wirksame Maßnahmen, um die Integrität der Daten zu gewährleisten. Zudem ermöglichen anonymisierte unternehmensweite Auswertungen Erkenntnisse darüber, wo Verbesserungen in den Richtlinien oder Schulungen erforderlich sind.
Unternehmen stehen oft vor Herausforderungen beim Löschen von Informationen gemäß Punkt 8.10 der ISO 27001. DLP-Lösungen können hierbei eine wertvolle Hilfe sein. Sie ermöglichen es Unternehmen, einen genauen Überblick über ihre Daten zu erhalten und festzustellen, welche Informationen gelöscht werden müssen und welche Löschfristen gelten. Durch die Automatisierung des Löschprozesses werden mögliche Fehler reduziert und die Einhaltung der Löschfristen verbessert. Dies trägt zur Minimierung von Datenschutzverletzungen und zur Einhaltung von Datenschutzvorschriften bei.
Laut Frank Limberger, einem Data & Insider Threat Security Specialist bei Forcepoint in München, wird die Implementierung von Data Loss Prevention (DLP) in Deutschland bisher nur selten durchgeführt. Falls doch, geschieht dies meist mit halbherzigen Ansätzen wie manueller Datenklassifizierung oder starren Richtlinien, die nicht alle potenziellen Sicherheitsverletzungen abdecken und die Produktivität der Mitarbeiter beeinträchtigen. Limberger betont jedoch, dass moderne DLP-Lösungen, die automatisierte Data Discovery, automatisierte Datenklassifizierung und vordefinierte Richtlinien verwenden, die Einführung relativ einfach gestalten. Darüber hinaus passen sie ihre Reaktionen anhand von Risikoermittlungen an die gegebene Situation an. Diese fortschrittlichen Lösungen unterstützen Unternehmen dabei, unerwünschten Datenabfluss zuverlässig zu verhindern und die Anforderungen der ISO 27001 schnell und effizient umzusetzen.