Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Archiv Datenschutz

    Weniger ist mehr: Der Cyber-Fall für Datenminimierung

    Unternehmen erzeugen und verwalten jährlich Milliarden von Terabyte an Daten, die nicht alle einen Wert haben. Datenminimierung kann die Cybersicherheit, die Einhaltung von Vorschriften und die Kosten verbessern.

    by Stephanie Overby
    43BLOG_1.jpg

    Wichtige Punkte

    • Die übermäßige Aufbewahrung von Daten kann das Cyber-Risiko eines Unternehmens, die Herausforderungen bei der Einhaltung von Vorschriften und die Kosten erhöhen.
    • Datenminimierung - die Beschränkung der Erfassung, Speicherung und Verarbeitung von Daten auf solche, die einen eindeutigen geschäftlichen Nutzen haben oder notwendig sind - kann Risiken mindern und Kosten senken.
    • Richtlinien und Verfahren für die Beseitigung unnötiger oder überflüssiger Daten können die Bemühungen um den Schutz wertvoller Daten bündeln.

    Während der Blütezeit von Big Data sammelten viele Unternehmen eifrig mehr und mehr Daten in der Annahme, dass die riesigen Mengen gespeicherter Informationen eines Tages einen Schatz an Geschäftseinblicken liefern würden. Mit dem Eintritt in das digitale Zeitalter ist jedoch klar geworden, dass nicht alle diese Daten tatsächlich einen langfristigen Geschäftswert haben. In vielen Fällen kann die Speicherung von zu vielen Daten sogar zu einem höheren Geschäftsrisiko führen, insbesondere bei Cyberrisiken. Die Datenminimierung kann Unternehmen dabei helfen, diese Bedrohung zu verringern.

    Unternehmensdaten vermehren sich weiterhin in rasantem Tempo. IDC Global DataSphere prognostiziert, dass die Gesamtmenge der erzeugten Daten in den nächsten fünf Jahren mit einer durchschnittlichen jährlichen Wachstumsrate von 21,2 % zunehmen und bis 2026 mehr als 221.000 Exabyte (oder 221 Milliarden Terabyte) erreichen wird[1 ]. Fast drei Viertel der im letzten Jahr befragten Führungskräfte gaben an, dass sie davon ausgehen, dass die von ihrem Unternehmen verwaltete Datenmenge in den nächsten fünf Jahren sehr schnell ansteigen wird.[2 ] Einfach ausgedrückt bedeutet dies, dass eine große Menge an Daten nicht nur verwaltet, sondern auch geschützt werden muss. Und es sind nicht nur die großen Unternehmen, die vor dieser Herausforderung stehen. Eine Umfrage des Dienstleistungsunternehmens RSM unter mittelständischen Unternehmen in den USA aus dem Jahr 2023 ergab, dass 77 % der Befragten über eine eigene Abteilung für Datensicherheit und Datenschutz verfügen; im Vorjahr waren es noch 60 %.[3]

    Der Schutz von Unternehmensdaten war noch nie so wichtig wie heute und steht im Mittelpunkt aller Mimecast Software und Services. Es gibt jedoch auch Möglichkeiten für Unternehmen, die Zahl der gespeicherten Daten zu begrenzen - ein Ansatz, der nicht nur das Cybersicherheitsrisiko verringert, sondern auch die Betriebskosten senken kann. Eine solche Datenminimierung kann Unternehmen auch dabei helfen, bestehende und neue Datenschutzbestimmungen für Verbraucher einzuhalten. 

    Wie der CIO einer globalen Anwaltskanzlei kürzlich erklärte, vollzieht sich ein deutlicher Wandel in der Art und Weise, wie Unternehmen über Daten denken müssen - von "Daten als das neue Öl" zu "Daten als Waffe", die gegen ein Unternehmen eingesetzt werden kann. Es ist zwar wichtig, Daten zu nutzen, die einen geschäftlichen Mehrwert schaffen, aber genauso wichtig ist es, Daten loszuwerden, die ein Unternehmen nicht mehr benötigt. Das Abwägen zwischen Datenrisiken und -chancen erfordert nicht nur einen Wandel in der Herangehensweise, sondern auch in der Denkweise und der Technologie, und Cyber-Führungskräfte können eine zentrale Rolle dabei spielen, die Argumente für die Datenminimierung vorzubringen.

    Datenminimierung 101

    Die Datenminimierung ist in der Theorie einfach zu handhaben. Es handelt sich um die Praxis, die Erfassung, Speicherung und Verarbeitung von Daten auf das zu beschränken, was ein Unternehmen tatsächlich für den Geschäftsbetrieb, für behördliche Anforderungen und für rechtliche Verfahren benötigt. 

    Die Begrenzung der Menge an personenbezogenen Daten, die ein Unternehmen sammelt, speichert und verarbeitet, ist die Grundlage vieler Datenschutzbestimmungen auf der ganzen Welt, die den Schutz von Verbraucherdaten zum Ziel haben. Die Allgemeine Datenschutzverordnung der EU (GDPR) und der kanadische Personal Information Protection and Electronic Documents Act (PIPEDA) enthalten Vorschriften zur Datenminimierung, ebenso wie eine wachsende Zahl von Datenschutzgesetzen in den USA, darunter Gesetze in Kalifornien, Virginia, Colorado, Utah und Connecticut, die dieses Jahr in Kraft treten[4][5].

    Mehr Daten, mehr Probleme: Die Reform der Datensammler

    Die ordnungsgemäße Pflege und Entsorgung personenbezogener Daten ist zwar von entscheidender Bedeutung, doch ist dies nicht die einzige Art von Data Governance, die Unternehmen bei ihren Bemühungen um Datenminimierung berücksichtigen sollten. Wie ein Experte für Information Governance und Compliance kürzlich schrieb, "hat die Anhäufung von nicht verwalteten Unternehmensdaten einen Wendepunkt für die Fachleute für Datensicherheit und Informationsmanagement erreicht"[6]. Die Lösung? "Wenn Sie es nicht brauchen, löschen Sie es", sagt er. 

    Das ist zwar leichter gesagt als getan, aber das ist das Ziel des CIOs einer globalen Anwaltskanzlei, der über seine Bemühungen um Data Governance sprach. Die Anwaltskanzlei speicherte Daten zu Fällen, die Jahrzehnte zurücklagen. "Die Position des Unternehmens war es, alle Daten, die wir bekommen konnten, zu behalten", erklärte der CIO. Doch je mehr Daten das Unternehmen anhäuft, desto mehr Daten stehen Cyberkriminellen zur Verfügung, die sie gegen das Unternehmen oder seine Kunden einsetzen können. Das Ziel des CIO ist es, Daten loszuwerden, die das Unternehmen nicht mehr aktiv nutzt. "Es wird weiterhin Fälle geben, in denen Partner oder Kunden wünschen, dass wir auf Fälle von vor 20 Jahren zurückgreifen", sagte er. "Wir führen also diese Gespräche über die damit verbundenen Kompromisse." Da es sich hierbei um eine erhebliche Veränderung des Status quo handelt, muss der CIO während des gesamten Prozesses eng mit der Unternehmensleitung und dem Vorstand zusammenarbeiten, um sicherzustellen, dass diese verstehen, wie das Risiko für das Unternehmen reduziert wird. 

    Abwägung von Risiko und Chance 

    Die unnötige Vorratsspeicherung von Daten birgt beträchtliche Risiken. Sie kann den Aktionsradius eines Cyberangriffs erweitern und damit sowohl die Menge der von einer Sicherheitsverletzung betroffenen Daten als auch die Zahl der betroffenen Personen erhöhen. Sie kann auch die Kosten und die Komplexität der Reaktion auf eine Datenschutzverletzung in die Höhe treiben und das Risiko der Nichteinhaltung von Datenschutzgesetzen und von Durchsetzungsmaßnahmen erhöhen. Zu diesen Multiplikatoreffekten kommen noch die erhöhten Kosten für die Speicherung von mehr Daten, für die Verwaltung und für Backups.

    Letztendlich kommt es bei der effektiven Datenminimierung darauf an, den geschäftlichen Wert der Daten gegen das Risiko ihrer Erfassung oder Speicherung abzuwägen. Es geht nicht nur darum, das Datenvolumen zu begrenzen, sondern zu verstehen, welche Daten wichtig sind, und den Rest zu bereinigen. Hier kommt die Kunst der Datensparsamkeit ins Spiel. Experten auf dem Gebiet der Datenminimierung empfehlen diese Schritte für den Anfang:

    • Einführung einer Strategie des aktiven Datenmanagements. Die Verantwortlichen müssen deutlich machen, dass alle Unternehmensdaten, einschließlich der von den Mitarbeitern kontrollierten Daten, aktiv verwaltet werden müssen.
    • Argumentieren Sie für die Datenminimierung. Arbeiten Sie eng mit der Geschäftsführung, dem Vorstand, den Rechts- und Finanzverantwortlichen und anderen wichtigen Interessengruppen zusammen, um sie über die Vorteile der Risikominderung aufzuklären und ihre Zustimmung zu erhalten.
    • Erstellen Sie Richtlinien zur Datenverwaltung. Die Richtlinien sollten die Grundsätze der Organisation in Bezug auf die Verwaltung von Aufzeichnungen, Datenschutzbestimmungen und die Entsorgung von Daten klarstellen.
    • Durchsetzung und Automatisierung von Data-Governance-Richtlinien. Die Durchsetzung von Richtlinien und die Automatisierung von Schlüsselprozessen - wie z. B. Datenerfassung, -aufbewahrung und -entsorgung - können die Bemühungen um Datenminimierung und -verwaltung optimieren und dazu beitragen, die Aufbewahrung oder Entsorgung von Daten nach Bedarf sicherzustellen.

    Die Quintessenz

    Es steht außer Frage, dass Daten im digitalen Zeitalter zu den wertvollsten Vermögenswerten eines jeden Unternehmens gehören. Aber nicht alle Daten haben einen geschäftlichen Wert. Die Datenminimierung kann sich positiv auf die Wirksamkeit der Cybersicherheit, die Einhaltung von Vorschriften und die Betriebskosten auswirken. Die Erstellung von Richtlinien und Verfahren zur sicheren Entsorgung unnötiger oder überflüssiger Daten kann dazu beitragen, die Bemühungen zum Schutz hochwertiger Daten zu konzentrieren. Lesen Sie mehr darüber, wie wichtig der Schutz von Daten vor unbefugtem Zugriff, unbefugter Nutzung oder Offenlegung für den Schutz Ihres Unternehmens vor Cyber-Bedrohungen ist.

     

     

    [1 ] "High Data Growth and Modern Applications Drive New Storage Requirements in Digitally Transformed Enterprises", IDC-Whitepaper, gesponsert von Dell Technologies und NVIDIA

    [2 ] "The World Is Moving Beyond Big Data, According to Ocient Survey of 500 Data and Technology Leaders", Ocient

    [3 ] "2023 RSM US Middle Market Business Index Cybersecurity Special Report", RSM

    [4] "Richtlinien zur Datenminimierung: Eine wichtige Voraussetzung für wirksame Cybersicherheit", Archive360

    [5 ] "U.S.-Datenschutzgesetze werden 2023 in eine neue Ära eintreten", Reuters

    [6]  "Richtlinien zur Datenminimierung: Eine wichtige Voraussetzung für wirksame Cybersicherheit", Archive360

    Verwandte Artikel

    Archiv Datenschutz
    Was ist Datensicherung und Sicherungsspeicherung?
    Archiv Datenschutz
    Plattformübergreifende Angriffe könnten Ransomware noch tödlicher machen
    Archiv Datenschutz
    Best Practices für sichere Backups und Archive

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang