Unternehmen, die nach ISO 27001 zertifiziert sind oder die Zertifizierung anstreben, müssen sich auf eine bedeutende Veränderung einstellen. Die aktualisierte Norm von 2022 und die ergänzende ISO 27002 stellen erstmals explizite Anforderungen an die Verhinderung von Datenabflüssen. Das Thema Data Leakage Prevention (DLP) gewinnt dadurch an Bedeutung. Forcepoint bietet Unternehmen, die von diesen Veränderungen betroffen sind, Informationen und Lösungsansätze, um diesen neuen Herausforderungen gerecht zu werden.
ISO 27001:2022 und ISO 27002:2022: Data Leakage Prevention wird zur Pflicht
Eine steigende Anzahl von Unternehmen in Deutschland hat erkannt, dass die ISO 27001-Zertifizierung ein wichtiges Instrument zur Sicherung ihrer Informationssicherheitspraktiken ist. Ende 2021 waren mehr als 1.600 Unternehmen in Deutschland ISO 27001-zertifiziert, was einen deutlichen Anstieg gegenüber den Vorjahren darstellt. Jedoch sollten diese Unternehmen nicht in Selbstgefälligkeit verfallen, denn die Norm wurde kürzlich überarbeitet und stellt nun höhere Anforderungen an Informationssicherheitsmanagementsysteme (ISMS). Sowohl die ISO 27001:2022 als auch die ISO 27002:2022 legen großen Wert auf die Implementierung von Data Leakage Prevention (DLP) als Teil eines umfassenden Sicherheitsrahmens. Unternehmen müssen proaktiv handeln und sicherstellen, dass ihre ISMS-Strategien den neuen Anforderungen entsprechen, um ihre Zertifizierung aufrechtzuerhalten.
Wertvolles geistiges Eigentum schützen: Insbesondere für Unternehmen, die über wertvolles geistiges Eigentum verfügen, ist DLP von großer Bedeutung. Durch die Implementierung von DLP-Lösungen können sie sicherstellen, dass ihre kreativen Werke und Innovationen nicht unerlaubt abfließen. Unternehmen sollten den potenziellen Wert ihres geistigen Eigentums erkennen und den Aufwand für eine DLP-Implementierung als Investition in den Schutz ihrer wertvollen Assets betrachten.
Automatisierte Data Leak Prevention: Laut Forcepoint gestaltet sich die Einführung einer Data Leak Prevention in der Praxis deutlich schneller als erwartet. Moderne Lösungen nutzen fortschrittliche Technologien wie KI und Machine Learning, um Daten zuverlässig über alle Speicherorte hinweg aufzuspüren und automatisch zu klassifizieren. Dadurch wird der manuelle Aufwand minimiert und die Implementierung beschleunigt. Darüber hinaus bieten solche Lösungen einen umfangreichen Satz an vordefinierten Richtlinien für den Schutz sensibler Daten, was eine schnelle Grundabsicherung ermöglicht. Ein weiterer Vorteil besteht darin, dass sie vorhandene Datenklassifizierungen und Regeln aus anderen Sicherheitstools nahtlos integrieren können.
Fokus auf individuelle Datenschutzkontrolle: Eine zukunftsweisende Herangehensweise an den Schutz vor Datenlecks liegt in der Stärkung der individuellen Datenschutzkontrolle. Anstatt Daten zentral zu sammeln, werden die Daten lokal auf dem Endgerät verwaltet und überwacht, um Datenschutzverletzungen zu erkennen und zu verhindern. Dies ermöglicht eine personalisierte Anpassung der Sicherheitsmaßnahmen, wie beispielsweise das Einblenden von Warnhinweisen, Verschlüsselung von Dokumenten oder das Blockieren verdächtiger Aktivitäten. Durch anonymisierte unternehmensweite Auswertungen kann darüber hinaus ein umfassenderer Blick auf mögliche Schwachstellen und Schulungsbedarf geworfen werden.
Forcepoint stellt fest, dass DLP-Lösungen nicht nur bei der Data Leakage Prevention (DLP) gemäß Punkt 8.12 der ISO 27001 nützlich sind, sondern auch bei der Klassifizierung von Informationen. Gemäß Punkt 5.12 müssen Unternehmen ihre Informationen entsprechend ihrer Sensibilität und Vertraulichkeit klassifizieren. DLP-Lösungen bieten automatisierte Mechanismen zur Identifizierung und Klassifizierung von Daten, basierend auf vordefinierten Regeln und Richtlinien. Dadurch wird die Effizienz des Klassifizierungsprozesses verbessert und die Einhaltung der Sicherheitsrichtlinien erleichtert.
Gemäß Frank Limberger, einem Data & Insider Threat Security Specialist bei Forcepoint in München, wird Data Loss Prevention (DLP) in Deutschland bisher nur selten angewendet. Wenn überhaupt, geschieht dies meistens auf halbem Weg durch manuelle Datenklassifizierungen oder starre Richtlinien, die nicht alle möglichen Sicherheitsverletzungen abdecken und die Mitarbeiter bei ihrer Arbeit behindern. Limberger stellt jedoch fest, dass moderne DLP-Lösungen, die automatische Data Discovery, automatisierte Datenklassifizierung und vordefinierte Richtlinien nutzen, die Implementierung relativ einfach machen. Zudem passen sie ihre Reaktionen anhand einer Risikoermittlung an die jeweilige Situation an. Auf diese Weise unterstützen sie Unternehmen dabei, unerwünschte Datenabflüsse zuverlässig zu verhindern und die aktuellen und früheren Anforderungen der ISO 27001 schnell umzusetzen.