Neuer Datensicherheitsansatz: Die fünf größten Mythen über DSPM
Autor/Redakteur: Sebastian Mehle, Account Manager bei Varonis Systems/gg
Die Cybersecurity-Branche liebt Akronyme. Wir kennen MDR, SIEM und SOC und es scheint, als käme jedes Jahr mindestens eine neue Abkürzung hinzu. Die wohl neueste ist DSPM oder ausgeschrieben: Data Security Posture Management. Der von Gartner etablierte Begriff soll einen Überblick darüber bieten, wo sich sensitive Daten befinden, wer Zugriff darauf hat, wie sie verwendet werden und wie die Sicherheitskontrollen und Berechtigungen in den Datenspeichern oder Anwendungen, die die Daten hosten, konfiguriert sind.
Dieser datenzentrierte Ansatz steht im Gegensatz zu traditionellen Technologien wie Firewalls und Endpunkt-Sicherheit. Diese stellen Hindernisse dar, die Angreifer überwinden müssen, um an ihr eigentliches Ziel, die Daten, zu gelangen. Anstatt nun die Mauern um die Daten immer höher und dicker zu bauen, setzt eine datenzentrierte Strategie darauf, die Daten dort zu sichern, wo immer sie gespeichert sind und ihren Schutz auch dann zu gewährleisten, wenn Cyberkriminelle alle Barrieren überwunden haben. Und genau dies soll DSPM sicherstellen. Doch wie bei jedem neuen Ansatz ranken sich auch um DSPM zahlreiche Mythen, die nicht immer der Wahrheit entsprechen.
Mythos 1: DSPM ist ein völlig neues Konzept.
Die Wahrheit: Das Konzept ist seit Jahren erprobt.
Obwohl DSPM ein neuer Begriff ist, ist das Aufspüren und Schützen sensitiver Daten beileibe kein neues Konzept. Es ist jedoch hilfreich, einen Namen zu haben, um die Methodik zu definieren und den Ansatz zu popularisieren. In der Vergangenheit haben die wenigsten Unternehmen datenorientiert gedacht, wenn es um Cybersicherheit geht. Mit dem beginnenden Hype um DSPM erhalten nun zahlreiche Sicherheitsverantwortliche einen neuen Denkansatz, was den Schutz ihrer wertvollsten Assets anbelangt.
Allerdings können viele DSPM-Anbieter zwar sensitive Daten aufspüren und erkennen, ob diese gefährdet sind, jedoch nicht die Datengefährdung beheben. Eine effektive DSPM-Lösung sollte aber in der Lage sein, entsprechende Maßnahmen anzustoßen oder automatisiert zu ergreifen, um die Sicherheitslage zu verbessern.
Mythos 2: Bei DSPM dreht sich alles um Cloud-Infrastruktur und DevOps.
Die Wahrheit: Bei DSPM geht es um Daten – und Daten sind überall.
Wenn man sich den aktuellen DSPM-Markt ansieht, liegt der Schwerpunkt auf Daten, die mit Infrastrukturplattformen wie Azure Blob, S3, Data Lakes und Datenbanken verknüpft sind. Aber DSPM ist mehr als das. Sicherlich sind die Infrastruktur und die Entwicklung Teil der Strategie, allerdings befinden sich sensitive Daten nicht nur dort. Insbesondere SaaS-Anwendungen beherbergen viele kritische Daten, die von Mitarbeitenden erstellt und genutzt werden, und stellen eine große Angriffsfläche dar. So ist beispielsweise Salesforce das Backend für die verschiedensten Anwendungsbereiche auch jenseits des Vertriebs, etwa im Finanz- oder Gesundheitswesen. Entsprechend landet hier eine Menge sensitiver Daten, die exportiert und etwa in Box hochgeladen werden kann.
Daten finden sich aber auch in Collaboration-Plattformen wie Google Workspace und Microsoft 365. Entwicklungsteams nutzen häufig GitHub. Und auch wenn sich vieles in Richtung SaaS und Cloud verschiebt, darf man die traditionellen lokalen Speicherorte nicht vergessen. All diese (potenziellen) Speicherorte müssen von DSPM abgedeckt werden.
Mythos 3: Bei DSPM geht es in erster Linie um Entdeckung.
Die Wahrheit: Die Entdeckung ist nur die erste Phase.
Die Identifizierung sensitiver Daten ist zurecht ein zentraler Punkt. Sicherheitsverantwortliche müssen wissen, welche Arten von Daten vorhanden und wo die Daten gespeichert sind sowie wie sie genutzt werden. Das ist jedoch nur der erste Schritt. Unternehmen verfügen über enorme Datenmengen, die jeden Tag größer werden. Es ist weder effektiv noch realistisch, eine Datei nach der anderen zu durchsuchen. Eine automatisierte Datenermittlung bietet zusätzlichen Kontext, damit fundiertere Entscheidungen darüber getroffen werden können, wie die Sicherheitsrichtlinien aussehen sollen und wie sie sich umsetzen lassen.
Die Identifizierung von Daten ist also nicht das Ziel, sondern der erste Schritt im Prozess zur Ermittlung und Reduzierung von Risiken. Entscheidend ist, die Erkenntnisse in eine Risikominimierung umzusetzen. Es müssen Richtlinien festgelegt werden, die die jeweiligen Herausforderungen und Gegebenheiten adressieren. Um effektiv zu entscheiden, worauf sich die Bemühungen konzentrieren sollen, ist es entscheidend, die Wichtigkeit, die Berechtigungen und die Aktivitäten der Daten zu priorisieren. Sicherheitsverantwortliche sollten Fragen stellen wie „Wer hat Zugriff auf sensitive Daten und was kann er damit tun?“, „Wer hat keinen Zugriff auf diese Daten?“ und „Wer im Unternehmen gibt diese Daten außerhalb des Unternehmens weiter, um seine Arbeit zu erledigen?“ Und sollten mit der richtigen DSPM-Lösung auch in der Lage sein, sie zu beantworten.
Mythos 4: Abdeckung ist das A und O.
Die Wahrheit: Eine umfassende Transparenz hilft, Risiken zu verringern.
Dieser Mythos ist der Bruder von Mythos drei über die Erkennung. Wie beschrieben, bringt die Identifizierung ein Unternehmen nur bedingt weiter. Sie benötigen einen tiefen Einblick in die Plattformen und SaaS-Anwendungen, auf denen die Daten gehostet werden. Fehlt es an Transparenz, ist es schwierig bis unmöglich, die damit verbundenen Risiken zu messen und zu reduzieren. Es reicht nicht, nur die bloße Abdeckung abzuhaken, wenn dabei kein Kontext zur Verfügung gestellt wird, der erst die Grundlage zu einer echten Risikominimierung bildet.
Es muss ein Gleichgewicht zwischen der Transparenz in vielen verschiedenen Bereichen beziehungsweise Anwendungen und einer tiefen Transparenz bestehen, die tatsächlich effektive Sicherheitskontrollen ermöglicht. Wenn man nicht über eine tiefe Transparenzschicht und Möglichkeiten verfügt, die Sicherheitsmaßnahmen umzusetzen, fehlt der Aspekt des Posture Management von DSPM.
Mythos 5: Arbeitsabläufe lösen Probleme.
Die Wahrheit: Workflows beheben oft nur oberflächliche Probleme und nicht die eigentliche Ursache.
Nur weil ein Helpdesk-Ticket geöffnet und geschlossen wurde, heißt das nicht, dass ein Problem wirklich gelöst wurde. Arbeitsabläufe und Pläne sind wichtig, aber es kommt auf die Ausführung an. Workflows lassen Raum für menschliche Fehler, sei es, dass man das Szenario falsch einschätzt oder nur das Symptom behebt, nicht aber die Ursache. Deshalb müssen die Ergebnisse der implementierten Arbeitsabläufe getestet werden.
Wenn die Datenmenge wächst (und sie wird wachsen), muss sichergestellt werden, dass die Arbeitsabläufe die Skalierbarkeit der Daten berücksichtigen. SaaS-Plattformen sind für ein hohes Maß an Zusammenarbeit ausgelegt. Hier werden immer neue Daten erstellt, gespeichert und gemeinsam genutzt. Automatisierung kann dazu beitragen, Bedrohungen zu bekämpfen und Entscheidungen zu treffen, wenn Menschen dazu nicht in der Lage sind, zum Beispiel den Zugriff auf bestimmte Dateien sofort zu sperren, wenn die Aktivität eines Benutzers verdächtig ist.