Trace Id is missing
Zu Hauptinhalt springen
Microsoft Security

Was ist Datensicherheit?

Datensicherheit bedeutet, den eigenen Datenbestand und den Speicherort von Daten sowie die damit verbundenen Risiken zu kennen. Erfahren Sie, wie Sie Ihre Daten schützen.

Einfach erklärt: Datensicherheit

Datensicherheit trägt zum Schutz vertraulicher Daten während des gesamten Lebenszyklus bei, erkennt den Kontext von Benutzeraktivitäten und Daten und verhindert die unbefugte Nutzung oder den Verlust von Daten.

Die Bedeutung der Datensicherheit darf bei der aktuell steigenden Zahl von Cybersicherheitsbedrohungen und Insider-Risiken nicht unterschätzt werden. Nur so können Sie Erkenntnisse über verschiedene Datentypen gewinnen, unbefugte Datennutzung verhindern sowie Risiken rund um Daten erkennen und minimieren. Zusammen mit der Datensicherheit erleichtert die Datensicherheitsverwaltung Ihrem Unternehmen die Planung, Organisation und Kontrolle von Datensicherheitsaktivitäten mithilfe durchdachter Richtlinien und Verfahren.

Die Arten von Datensicherheit

Damit Datensicherheit erzielt wird, müssen die Vertraulichkeit von Datasets und die gesetzlichen Verpflichtungen Ihres Unternehmens berücksichtigt werden. Mit den folgenden Datensicherheitsmaßnahmen können Sie sich vor Datenpannen schützen, gesetzliche Anforderungen erfüllen und eine mögliche Rufschädigung vermeiden:

  • Zugriffssteuerung für den kontrollierten Zugriff auf lokale und cloudbasierte Daten
  • Benutzerauthentifizierung durch Kennwörter, Firmenausweise oder biometrische Merkmale
  • Sicherung und Wiederherstellung, damit der Datenzugriff auch nach einem Systemausfall, einer Datenbeschädigung oder einer Katastrophe sichergestellt ist
  • Datenresilienz als proaktiver Ansatz für Notfallwiederherstellung und Geschäftskontinuität
  • Datenlöschung, um Daten ordnungsgemäß und unwiederbringlich zu vernichten
  • Datenmaskierungssoftware, die Buchstaben und Zahlen durch Platzhalterzeichen vor unbefugten Personen verbirgt
  • Lösungen zur Verhinderung von Datenverlust, die die unbefugte Nutzung vertraulicher Daten unterbinden
  • Verschlüsselung, um Dateien für unbefugte Personen unlesbar zu machen
  • Informationsschutz zur einfachen Klassifizierung vertraulicher Daten in Dateien und Dokumenten
  • Insider-Risikomanagement zur Eindämmung riskanter Benutzeraktivitäten

Besonders sensible Datentypen

Wer schon einmal einem Kreditkartenbetrug oder Identitätsdiebstahl zum Opfer gefallen ist, weiß wirksamen Datenschutz zu schätzen. Böswillige Hacker finden immer neue Wege, um personenbezogene Daten zu stehlen und Lösegeld zu erpressen, Daten zu verkaufen oder sonstige Betrugsversuche zu unternehmen. Darüber hinaus entstehen Datenverluste häufig durch aktuelle und ehemalige Beschäftigte, sodass das Insider-Risikomanagement für Unternehmen unverzichtbar ist.

Jede Branche hat ihre eigenen Anforderungen, wenn es um sensible Daten und geeignete Schutzmaßnahmen geht. Meist erstreckt sich der Schutz auf folgende Datentypen:

  • Personenbezogene Daten über Beschäftigte und Kunden
  • Finanzdaten wie Kreditkartennummern, Bankverbindungen und Finanzberichte von Unternehmen
  • Gesundheitsinformationen über in Anspruch genommene Leistungen, Diagnosen und Befunde
  • Geistiges Eigentum wie Geschäftsgeheimnisse und Patente
  • Geschäftsprozessdaten wie Informationen zur Lieferkette und zu Produktionsabläufen

Bedrohungen für die Datensicherheit

Das Internet ermöglicht am Arbeitsplatz und zu Hause Zugriff auf Konten, Kommunikationskanäle sowie Möglichkeiten zum Austausch und zur Nutzung von Informationen. Viele Arten von Cyberangriffen und Insider-Risiken stellen eine Gefahr für weitergegebene Informationen dar.

  • Hackerangriffe

    Hackerangriffe sind der Versuch, über einen Computer Daten zu stehlen, Netzwerke oder Dateien zu beschädigen, die digitale Umgebung eines Unternehmens zu unterwandern bzw. Daten und Aktivitäten zu manipulieren. Zu den Hackermethoden gehören Phishing, Schadsoftware, Codeunterbrechungen und DDoS-Angriffe (Distributed Denial of Service).

  • Schadsoftware

    Schadsoftware ist ein Oberbegriff für Würmer, Viren und Spyware, die unbefugten Personen den Zugriff auf Ihre Umgebung ermöglichen. Einmal im System, kann sie Ihr IT-Netzwerk und Ihre Endpunktgeräte manipulieren oder Anmeldeinformationen stehlen, die möglicherweise in Dateien hinterlegt sind.

  • Ransomware

    Ransomware ist eine Schadsoftware, die den Zugriff auf Ihr Netzwerk und Ihre Dateien bis zur Zahlung eines Lösegelds verhindert. Das Öffnen einer E-Mail-Anlage und das Anklicken von Werbung sind nur einige Möglichkeiten, wie Ransomware auf Ihren Computer heruntergeladen werden kann. Ransomware wird in der Regel entdeckt, wenn der Zugriff auf Ihre Dateien gesperrt ist und eine Lösegeldforderung eingeblendet wird.

  • Phishing

    Beim Phishing werden Einzelpersonen oder Unternehmen dazu verleitet, Informationen wie Kreditkartennummern und Kennwörter offenzulegen. Die Absicht besteht darin, vertrauliche Daten zu stehlen oder zu manipulieren, indem sich Angreifer gegenüber der Zielperson als seriöses und vertrautes Unternehmen ausgeben.

  • Datenleck

    Ein Datenleck ist die absichtliche oder versehentliche Übertragung interner Daten an einen externen Empfänger. Dies geschieht per E-Mail, Internet und über Geräte wie Laptops und tragbare Speichermedien. Auch Dateien und Dokumente, die aus dem Unternehmen mitgenommen werden, sind eine Form von Datenlecks. 

  • Fahrlässigkeit

    Fahrlässigkeit liegt vor, wenn eine firmenangehörige Person gegen eine Sicherheitsrichtlinie verstößt, ohne dem Unternehmen jedoch Schaden zufügen zu wollen. Dies ist beispielsweise der Fall, wenn vertrauliche Daten an Kollegen weitergegeben werden, die keine Zugriffsberechtigung haben, oder wenn die Anmeldung bei Unternehmensressourcen über eine ungesicherte Funkverbindung erfolgt. Oder einer Person wird der Zugang zu einem Gebäude gewährt, ohne dass sie ihren Firmenausweis vorzeigen muss.

  • Betrug

    Betrug wird von raffinierten Personen begangen, die die Vorteile von Online-Anonymität und Echtzeitzugriff ausnutzen. Beispielsweise nutzen sie kompromittierte Konten und gestohlene Kreditkartennummern, um ihre Transaktionen zu starten. Unternehmen wiederum können auf Betrug im Zusammenhang mit Gewährleistungen, Rückerstattungen und Wiederverkäufen hereinfallen.

  • Diebstahl

    Diebstahl ist eine Insiderbedrohung, die zum Diebstahl von Daten, Geld oder geistigem Eigentum führt. Dies geschieht zur persönlichen Vorteilsnahme und zum Nachteil des Unternehmens. Ein scheinbar vertrauenswürdiger Anbieter könnte beispielsweise Sozialversicherungsnummern von Kunden im Dark Web verkaufen oder Insiderinformationen über Kunden nutzen, um ein eigenes Unternehmen zu gründen.

Technologien für die Datensicherheit

Datensicherheitstechnologien sind Schlüsselkomponenten einer umfassenden Datensicherheitsstrategie. Verschiedene Lösungen zur Verhinderung von Datenverlust helfen Ihnen, interne und externe Aktivitäten zu erkennen, verdächtige oder riskante Datenfreigaben zu kennzeichnen und den Zugriff auf vertrauliche Daten zu steuern. Durch die Implementierung dieser Datensicherheitstechnologien verhindern Sie, dass vertrauliche Daten nach außen gelangen.

Datenverschlüsselung. Durch die Verschlüsselung – d. h. die Umwandlung von Daten in Code – werden ruhende oder übertragene Daten davor geschützt, dass unbefugte Benutzer Dateiinhalte einsehen können. Dies gilt auch dann, wenn sie sich Zugang zu deren Speicherort verschaffen.

Benutzerauthentifizierung und -autorisierung. Diese Methoden dienen der Bestätigung von Anmeldeinformationen und stellen sicher, dass Zugriffsberechtigungen ordnungsgemäß zugewiesen und angewendet werden. Durch die rollenbasierte Zugriffssteuerung kann Ihr Unternehmen nur denjenigen Personen Zugriff gewähren, die ihn wirklich benötigen.

Erkennung von Insider-Risiken. Erkennen Sie Aktivitäten, die auf Insider-Risiken oder -Bedrohungen hindeuten können. Durch den Kontext der Datennutzung erkennen Sie, wann bestimmte Downloads, externe E-Mails und umbenannte Dateien auf verdächtiges Verhalten hindeuten.

Richtlinien zur Verhinderung von Datenverlust. Durch das Erstellen und Durchsetzen von Richtlinien legen Sie fest, wie Daten verwaltet und gemeinsam genutzt werden. Definieren Sie autorisierte Benutzer, Anwendungen und Umgebungen für unterschiedliche Aktivitäten, um zu verhindern, dass Daten nach außen dringen oder gestohlen werden.

Datensicherung. Sichern Sie eine exakte Kopie Ihrer Unternehmensdaten, damit autorisierte Administratoren Daten bei einem Speicherausfall, einer Datenpanne oder einer Katastrophe jeglicher Art wiederherstellen können.

Echtzeitwarnungen. Lassen Sie sich bei potenziellem Datenmissbrauch automatisch benachrichtigen, und erhalten Sie Warnungen zu möglichen Sicherheitsproblemen, bevor diese Ihre Daten, Ihren Ruf oder die Privatsphäre von Beschäftigten und Kunden gefährden.

Risikobewertung. Es liegt auf der Hand, dass Mitarbeitende, Lieferanten, Auftragnehmer oder Partner mit Ihren Daten und Sicherheitspraktiken vertraut sind. Um die unbefugte Nutzung von Daten zu verhindern, sollten Sie Ihren Datenbestand kennen und wissen, wie Daten in Ihrem Unternehmen verwendet werden.

Datenüberwachung. Durch regelmäßige Datenüberwachungen können Sie wichtige Anliegen wie Datenschutz, Genauigkeit und Zugänglichkeit angehen. Auf diese Weise erfahren Sie, wer ihre Daten verwendet und wie sie genutzt werden.

Strategien für die Datensicherheitsverwaltung

Zu den Strategien für die Datensicherheitsverwaltung gehören Richtlinien, Verfahren und Governance, die die Datensicherheit erhöhen.

  • Umsetzen von Best Practices für die Kennwortverwaltung

    Anwenderfreundliche Lösung zur Kennwortverwaltung einführen. Eine solche Lösung macht Kurznotizen und Tabellenkalkulationen überflüssig und entlastet die Mitarbeitenden davon, sich spezielle Kennwörter merken zu müssen.
    Kennwörter durch Passphrases ersetzen. Beschäftigte können sich eine Passphrase oft leichter merken, und sie ist für Cyberkriminelle schwerer zu erraten.
    Zwei-Faktor-Authentifizierung aktivieren (2FA). Mit 2FA bleibt die Anmeldesicherheit auch dann erhalten, wenn eine Passphrase oder ein Kennwort kompromittiert wurde, da unbefugten Personen ohne den an das zweite Gerät übermittelten Zusatzcode kein Zugriff gewährt wird. 
    Kennwörter nach einer Datenpanne ändern. Es wird angenommen, dass häufigere Kennwortänderungen mit der Zeit zu schwächeren Kennwörtern führen.
    Wiederverwendung von Passphrases oder Kennwörtern vermeiden. Nach einer Kompromittierung werden die Daten häufig dazu verwendet, sich Zugang zu anderen Konten zu verschaffen.

  • Erstellen eines Abwehrplans

    Vertrauliche Daten schützen. Ermitteln und klassifizieren Sie Daten in großem Maßstab, um den Umfang, Typ und Speicherort von Informationen zu verstehen – ganz gleich, in welcher Lebenszyklusphase sich Daten befinden.
    Insider-Risiken bewältigen. Überblicken Sie Benutzeraktivitäten und den Verwendungszweck der Daten, um potenziell riskante Aktivitäten zu identifizieren, die zu Sicherheitsvorfällen führen können.
    Geeignete Zugriffssteuerungen und -richtlinien festlegen. Verhindern Sie Aktionen wie das unsachgemäße Speichern, Aufbewahren oder Drucken vertraulicher Daten.

  • Verschlüsselung zum Schutz von Daten

    Durch die Datenverschlüsselung werden unbefugte Personen daran gehindert, vertrauliche Daten zu lesen. Auch wenn sich jemand Zugang zu Ihrer Datenumgebung verschafft oder eine Datenübertragung beobachtet, sind die Daten nutzlos, da sie nicht einfach gelesen oder interpretiert werden können.

  • Installieren von Software- und Sicherheitsupdates

    Software- und Sicherheitsupdates beseitigen bekannte Sicherheitsrisiken, die Cyberkriminelle häufig ausnutzen, um vertrauliche Informationen zu stehlen. Regelmäßige Updates helfen dabei, diese Sicherheitsrisiken zu beheben und zu verhindern, dass Systeme kompromittiert werden.

  • Mitarbeiterschulungen zum Thema Datensicherheit

    Für den Schutz Ihrer Unternehmensdaten ist nicht nur die IT-Abteilung zuständig. Auch alle anderen Beschäftigten müssen für die Offenlegung, den Diebstahl und die Verfälschung von Daten sensibilisiert werden. Best Practices für die Datensicherheit betreffen Daten, die online und in Papierform vorliegen. Formelle Schulungen sollten regelmäßig stattfinden, entweder vierteljährlich, halbjährlich oder jährlich.

  • Implementieren von Sicherheitsprotokollen für Remotearbeit

    Um Sicherheitsprotokolle für Remotearbeitskräfte zu implementieren, sollten Sie zunächst klare Richtlinien und Verfahren definieren. Dies beinhaltet in der Regel eine verpflichtende Sicherheitsschulung und Vorschriften darüber, welche Softwareanwendungen auf welche Weise verwendet werden dürfen. Die Protokolle sollten auch Sicherungsverfahren für alle von Ihren Beschäftigten verwendeten Geräte enthalten.

Vorschriften und Compliance

Jedes Unternehmen muss die geltenden Standards, Gesetze und Vorschriften zum Datenschutz einhalten. Dazu gehört unter anderem, dass nur benötigte Kunden- oder Mitarbeiterdaten erfasst werden dürfen. Außerdem müssen Daten sicher aufbewahrt und fristgemäß gelöscht werden. Beispiele für Datenschutzbestimmungen sind die Datenschutz-Grundverordnung (DSGVO), der Health Insurance Portability and Accountability Act (HIPAA) und der California Consumer Privacy Act (CCPA).

Die DSGVO ist das strengste Rechtsinstrument zum Datenschutz und zur Datensicherheit. Sie wurde von der Europäischen Union (EU) erarbeitet und verabschiedet, ist jedoch für Organisationen auf der ganzen Welt verpflichtend, wenn sie personenbezogene Daten von EU-Bürgerinnen und -Bürgern oder in der EU wohnhaften Personen erfassen bzw. ihnen Waren und Dienstleistungen anbieten.

Der HIPAA schützt Patienten davor, dass Gesundheitsinformationen ohne deren Wissen oder Zustimmung weitergegeben werden. Die HIPAA-Datenschutzbestimmungen schützen personenbezogene Gesundheitsinformationen und wurden zur Umsetzung der HIPAA-Anforderungen erlassen. Die HIPAA-Sicherheitsregel dient dem Schutz identifizierbarer Gesundheitsdaten, die von Gesundheitsdienstleistern erstellt, empfangen, aufbewahrt oder elektronisch übertragen werden.

CCPA schützt die Rechte von Verbraucherinnen und Verbrauchern in Kalifornien. Dazu zählt das Recht zu erfahren, welche personenbezogenen Daten erfasst und wie diese verwendet und weitergegeben werden. Hinzu kommt das Recht auf Löschung der erfassten personenbezogenen Daten und das Recht, dem Verkauf personenbezogener Daten zu widersprechen.

Datenschutzbeauftragte übernehmen eine führende Rolle, um die Einhaltung von Vorschriften zu überwachen und sicherzustellen, dass Ihr Unternehmen personenbezogene Informationen gemäß den Datenschutzgesetzen verarbeitet. Beispielsweise informieren und beraten sie Complianceteams über die Einhaltung von Vorschriften, bieten interne Schulungen an und melden Verstöße gegen Regeln und Vorschriften.

Wenn die Nichteinhaltung von Vorschriften zu einer Datenpanne führt, entstehen Unternehmen oft Kosten in Millionenhöhe. Die Folgen sind Identitätsdiebstahl, Produktivitätsverlust und Kundenabwanderung.

Fazit

Datensicherheit und die Datensicherheitsverwaltung helfen Ihnen, Bedrohungen für Ihre Daten zu erkennen und zu bewerten, gesetzliche Vorschriften einzuhalten und die Datenintegrität sicherzustellen.

Die folgenden Punkte sollten beachtet werden: häufige Datensicherung, Aufbewahrung der Sicherungskopie an einem externen Ort, Strategien für die Datensicherheitsverwaltung und Durchsetzen von sicheren Kennwörtern, Passphrases und 2FA.

Die Grundpfeiler für den Aufbau einer starken Abwehr in Unternehmen sind: Maßnahmen zum Schutz von Daten während ihres Lebenszyklus, ein vollständiges Bild über die Datennutzung, die Vermeidung von Datenlecks und Richtlinien zur Verhinderung von Datenverlust.

Erfahren Sie, wie Sie Ihre Daten über Clouds, Apps und Endpunkte hinweg mit Datensicherheitsverfahren und -tools schützen können.

Weiterführende Informationen zu Microsoft Security

Microsoft Purview

Erkunden Sie Governance-, Datenschutz- und Compliancelösungen für Ihre Unternehmensdaten.

Verhinderung von Datenverlust

Erkennen Sie die unangemessene Freigabe oder Nutzung vertraulicher Daten an Endpunkten sowie in Apps und Diensten.

Insider-Risiken bewältigen

Erfahren Sie, woran Sie potenziell riskante Aktivitäten von Mitarbeitenden und Lieferanten erkennen können.

Informationsschutz

Erkennen, klassifizieren und schützen Sie Ihre vertraulichsten Daten in Ihrer gesamten digitalen Umgebung.

Häufig gestellte Fragen

  • Datensicherheit trägt zum Schutz vertraulicher Daten während des gesamten Lebenszyklus bei, erkennt den Kontext zwischen Benutzeraktivitäten und Daten und verhindert die unbefugte Nutzung von Daten. Dabei wird vorausgesetzt, dass Sie Ihren Datenbestand und den Speicherort Ihrer Daten kennen und mögliche Bedrohungen identifizieren können.

  • Die Datensicherheit umfasst:

    • Zugriffssteuerungen, die Anmeldeinformationen für lokale und cloudbasierte Daten voraussetzen
    • Benutzerauthentifizierung durch Kennwörter, Firmenausweise oder biometrische Merkmale
    • Sicherung und Wiederherstellung, damit der Datenzugriff auch nach einem Systemausfall, einer Datenbeschädigung oder einer Katastrophe sichergestellt ist
    • Datenresilienz als proaktiver Ansatz für Notfallwiederherstellung und Geschäftskontinuität
    • Datenlöschung, um Daten ordnungsgemäß und unwiederbringlich zu vernichten
    • Datenmaskierungssoftware, die Buchstaben und Zahlen durch Platzhalterzeichen vor unbefugten Personen verbirgt
    • Lösungen zur Verhinderung von Datenverlust, die die unbefugte Nutzung vertraulicher Daten unterbinden
    • Verschlüsselung, um Dateien für unbefugte Personen unlesbar zu machen
    • Informationsschutz zur einfachen Klassifizierung vertraulicher Daten in Dateien und Dokumenten
    • Insider-Risikomanagement zur Eindämmung riskanter Benutzeraktivitäten
  • Ein Beispiel für Datensicherheit ist der Einsatz von Technologie, um vertrauliche Daten im Unternehmen zu erkennen und festzustellen, wie sie im Unternehmen abgerufen und verwendet werden.

  • Datensicherheit ist wichtig, weil sie Unternehmen vor Cyberangriffen, Insiderbedrohungen und menschlichem Versagen schützt, die alle zu Datenpannen führen können.

  • Die vier Hauptaspekte der Datensicherheit sind Vertraulichkeit, Integrität, Verfügbarkeit und Compliance.

Microsoft 365 folgen