Von Volker Sommer, Regional Sales Director DACH & EE von Varonis Systems

Von Schattendatenbanken über falsch konfigurierte Berechtigungen bis hin zu ungesicherten Passwörtern bietet die Cloud Cyberkriminellen zahlreiche Angriffspfade. Deshalb ist es kaum verwunderlich, dass mehr als 80 Prozent der Datenschutzverletzungen im Jahr 2023 Cloud-Daten betrafen. Um die Daten angesichts der verschärften Bedrohungslage besser zu schützen, müssen sie ins Zentrum der Sicherheitsstrategie gestellt werden. Genau dies verfolgt der von Gartner geprägte Ansatz des Data Security Posture Management (DSPM) – in der Cloud, aber auch On-Premises.

Was ist DSPM?

Laut Gartner bietet Data Security Posture Management „Transparenz darüber, wo sich sensitive Daten befinden, wer Zugriff auf diese Daten hat, wie sie verwendet werden und wie es um die Sicherheit der gespeicherten Daten oder Anwendung bestellt ist.“

Das Akronym DSPM mag zwar neu sein, das Konzept ist es jedoch nicht: DSPM greift die Grundsätze der Datensicherheit auf und weitet sie auf Cloud-Umgebungen aus. Viele der Konzepte, die bereits zum Schutz der lokal gespeicherten Daten verwendet werden, spielen auch bei DSPM die entscheidende Rolle: Datenerkennung, -zugriffskontrolle und -überwachung. Ein effektives DSPM erkennt, wo sich sensitive Daten in der gesamten Umgebung befinden (einschließlich IaaS, Datenbanken, SaaS-Anwendungen und Cloud-Dateispeicher), analysiert die Risiken und Gefährdungen und ermöglicht es Cloud-, IT- und Sicherheitsteams, Bedrohungen effizient zu erkennen und Sicherheitslücken zu schließen.

Wie funktioniert DSPM?

Das Ziel von DSPM ist die Verhinderung von Datenverstößen und die Einhaltung der Compliance. Um dies zu erreichen, umfasst ein effektives DSPM zwei Arten von Funktionen: passive und aktive. Die passiven Funktionen laufen permanent im Hintergrund, um Echtzeiteinblicke in die Daten und ihre Sicherheitslage zu ermöglichen. Dazu gehören die Erkennung und Klassifizierung von Daten sowie die Analyse der Gefährdung. Die aktiven Funktionen von DSPM ermöglichen es Security-Teams, Sicherheitslücken zu beheben und die Gefährdung zu minimieren, um die Sicherheitslage zu verbessern. Auch wenn einige DSPM-Lösungen keine Abhilfemaßnahmen anbieten, ist dies der entscheidende letzte Schritt zwischen dem Wissen, dass die Daten gefährdet sind, und ihrem Schutz.

1. Datenerkennung und -klassifizierung

Um sensitive Daten schützen zu können, muss man zunächst wissen, welche sensitiven Daten überhaupt existieren und wo sie sich befinden. DSPM scannt und entdeckt automatisch alle sensitiven Daten in der kompletten Umgebung und klassifiziert sie nach ihrer Schutzwürdigkeit und Art, etwa ob es sich um Anmeldeinformationen, geistiges Eigentum oder personenbezogene Daten handelt.

Durch Collaboration-Tools sind Daten überaus dynamisch geworden. Da sie und die Cloud-Umgebungen sich ständig verändern, müssen auch die Daten kontinuierlich und in Echtzeit gescannt werden. Im Gegensatz zu (statischen) Datenbanken, reicht hier ein Sampling nicht aus, vielmehr muss der komplette Datenbestand permanent überprüft werden. Ohne gründliche und komplette Datenerkennung und -klassifizierung in Echtzeit ist das Unternehmen einem enormen Risiko ausgesetzt.

2. Gefährdungsanalyse und Sicherheitslage

Nach der Erkennung und Klassifizierung der sensitiven Daten besteht der zweite Schritt darin, die Sicherheitslücken und Risiken zu erfassen. DSPM analysiert die Daten und deckt Schwachstellen wie Fehlkonfigurationen, zu weit gefasste Zugriffsrechte und die Gefährdung durch Drittanbieteranwendungen auf. Um ein umfassendes Verständnis der Risiken und Gefährdungslage zu erhalten, müssen sensitive Daten mit dem entsprechenden Kontext verknüpft werden, also etwa Berechtigungen und Zugriffsaktivitäten über Plattformen und Anwendungen hinweg. Nur so erhalten Sicherheitsverantwortliche ein komplettes Bild über die Risiken und die Sicherheitslage. Werden dabei noch relevante gesetzliche Vorgaben wie die DSGVO, PCI oder SOX einbezogen, kann gleichzeitig die Compliance eingehalten und nachgewiesen werden.

3. Abhilfe

Sobald Sicherheitslücken und Schwachstellen identifiziert sind, ermöglicht DSPM den Cloud-, IT- und Sicherheitsteams eine rasche Behebung der grundlegenden Probleme. Je länger es dauert, Probleme zu beheben, d. h. riskante Berechtigungen, Fehlkonfigurationen, nicht mehr aktive Nutzer, freigegebene Links usw. zu beseitigen, desto größer ist das Risiko einer Datenverletzung. Es dauert nur acht Stunden , um in eine ungesicherte oder falsch konfigurierte Datenbank einzudringen. Allein die manuelle Behebung einer einzigen falsch konfigurierten Datei benötigt oftmals mehrere Stunden. Deshalb und angesichts des rasch wachsenden Datenvolumens führt an Automation kein Weg vorbei. Nur so können Sicherheitsverantwortliche mit den aktuellen Entwicklungen Schritt halten und Sicherheitslücken schließen, die Einhaltung von Vorschriften gewährleisten und eine Umgebung schaffen, die mit der Zeit immer widerstandsfähiger wird.

Reicht DSPM aus?

DSPM sollte der zentrale Bestandteil einer umfassenden Datensicherheitsstrategie sein, reicht jedoch für einen umfassenden Schutz nicht aus. Denn neben der Verbesserung der Datensicherheit durch DSPM ist auch die Erkennung aktiver Angriffe wichtig. Die Bedrohungserkennung und -reaktion ist vor allem in Branchen von größter Bedeutung, die besonders häufig von Angreifern ins Visier genommen werden, wie etwa das Gesundheitswesen, Behörden oder Finanzdienstleistungen.

Bei zahlreichen Angriffen von Insider-Bedrohungen über Ransomware bis zu Advanced Persistent Threats (APT) ist entscheidend zu erkennen, was mit den Daten gemacht wird. Deshalb spielt die Ereignisüberwachung und -untersuchung eine Schlüsselrolle in der Datensicherheit. Wie werden Daten erstellt, aktualisiert, gelöscht, hochgeladen, heruntergeladen und weitergegeben? Nur wenn Sicherheitsverantwortliche hier einen tiefen Einblick haben, können sie auch fortschrittliche Bedrohungen effektiv adressieren.

DSPM lenkt das Augenmerk zunehmend auf das Ziel der allermeisten Cyberangriffe: die Daten. Insofern bildet es einen idealen Ausgangspunkt, um die eigene Datensicherheitsstrategie zu überdenken oder gar erst zu entwickeln.