Die 15 größten Risiken der Offenlegung vertraulicher Daten für 2023

Digitale Transformation enthüllt sensible Daten

Der Vorstoß in Richtung digitale Transformation setzt Unternehmen nach wie vor erheblichen Sicherheits- und Compliance-Risiken aus. Um den Initiativen zur digitalen Transformation einen Rahmen zu geben, haben Regierungen und internationale Normungsorganisationen verschiedene Vorschriften zum Datenschutz erlassen. Das setzt Unternehmen wiederum unter Druck, die gesetzlichen Vorgaben zu erfüllen. Eine von PwC zu Beginn dieses Jahres durchgeführte Studie ergab, dass Datenschutz- und Datensicherheitsvorschriften Führungskräfte stärker belasten als jedes andere Thema, das sich aus der digitalen Transformation ergibt. In derselben Studie wurden Compliance- und regulatorische Risiken sowie Cyberrisiken (gleichauf mit 35 %) als ihre größten Risikoprobleme gegenüber verschiedenen anderen risikobezogenen Themen genannt.

Die Datenflut ist einer der Hauptgründe für die Sorgen von Führungskräften hinsichtlich der Einhaltung gesetzlicher Vorgaben und regulatorischer Risiken. Die enorme Menge an Daten steigt weiterhin explosionsartig an und ist mit datengesteuerten Geschäftsmodellen verbunden, die in praktisch jeder Branche und jeder Abteilungsfunktion zu finden sind. Daten, und vor allem sensible Inhalte, wurden in der Vergangenheit lokal gespeichert und über manuelle Prozesse weitergegeben. Inzwischen wurden vertrauliche Inhalte in die Cloud verlagert, wodurch sie leichter zugänglich sind und von jedem Gerät oder Standort aus gemeinsam genutzt werden können. Infolgedessen sind sensible Inhalte leider auch stärker als je zuvor von unbefugten Zugriffen bedroht, seien sie böswillig oder versehentlich.

Risiken in Bezug auf Datenschutz, Datensicherheit und Compliance

Die Risiken in Bezug auf die Offenlegung von Daten führen zu einer Evolution der regulatorischen Compliance und der Cybersicherheit. Die staatlichen Behörden reagieren auf diese Risiken, indem sie die Art und Weise regulieren, wie Unternehmen personenbezogene Daten senden, weitergeben, empfangen und speichern. Als Reaktion darauf setzen Unternehmen auf Technologien, mit denen sie die Verwaltung von Sicherheit und Compliance rationalisieren und automatisieren können.

Während Unternehmen ihre Strategien und Programme für das Cybersecurity-Risikomanagement für das kommende Jahr neu bewerten und weiterentwickeln, hat unser Team den Bericht „Prognose für 2023 zum Umgang mit dem Risiko der Offenlegung sensibler Inhalte zusammengestellt. Wir sprechen jedes Jahr mit Tausenden von Unternehmen und haben aus diesen Gesprächen verschiedene Voraussagen zusammengestellt, die IT-, Sicherheits-, Risiko- und Compliance-Führungskräfte nutzen können, um Lücken und Prioritäten bei ihren Datenschutzrisiken zu identifizieren. Im Folgenden finden Sie einen kurzen Überblick über die im Bericht hervorgehobenen Risiken und Prognosen.

Die Menge an vertraulichen Daten, die versendet und ausgetauscht werden, nimmt weiterhin exponentiell zu. Es wird erwartet, dass der Markt für File-Sharing bis 2027 mit einer durchschnittlichen jährlichen Wachstumsrate (Compound Annual Growth Rate, CAGR) von 28,1 % wachsen wird, während der Markt für Managed File Transfer (MFT) im gleichen Zeitraum mit einer CAGR von 28,3 % noch schneller expandieren dürfte. Auch das E-Mail-Volumen wird weiter zunehmen – mit einem erwarteten Wachstum von 12 % zwischen 2020 und 2023, trotz der zunehmenden Verbreitung von Instant Messaging- und Collaboration-Plattformen.

Da immer mehr sensible Daten ausgetauscht werden – sowohl innerhalb von Unternehmen als auch mit externen Parteien – werden immer mehr dieser Daten abgefangen und gefährdet. Das Abfangen ist jedoch nur ein Risikofaktor. Wie die vertraulichen Daten empfangen und gespeichert werden, stellt ein weiteres Risiko dar. Daher benötigen Unternehmen eine Kommunikationsplattform für sensible Inhalte, die ein umfassendes Sicherheitskonzept mit mehreren Sicherheitsstufen zum Schutz vertraulicher Informationen vor gefährlichen Cyberkriminellen und Schurkenstaaten verwendet. Dazu gehört auch die Möglichkeit, gesendete E-Mails und freigegebene Inhalte, die versehentlich an den falschen Empfänger übermittelt wurden, zurückzuziehen.

Diese Risikofaktoren können in zwei Prognosebereiche für 2023 unterteilt werden:

1. Der Austausch sensibler Daten ist zwar riskant, aber geschäftlich erforderlich

2. Unsicherer Versand von E-Mails mit sensiblen Inhalten bleibt ein erhebliches Risiko

Das Risiko von Cyberangriffen nimmt zu

Das Ziel vieler Cyberangriffe ist es, an vertrauliche Inhalte heranzukommen, d.h. an sensible Informationen wie und geschützte Gesundheitsinformationen, geistiges Eigentum, Finanzdokumente, juristische Gutachten und Produktionspläne. Cyberangreifer, die diese geheimen Inhalte stehlen, können sie auf verschiedene Weise zu Geld machen – sie können Lösegeld verlangen, sie für Erpressungszwecke missbrauchen, sie im Dark Web verkaufen oder sie der Konkurrenz anbieten. Die Unternehmen, die von der Offenlegung vertraulicher Daten betroffen sind, werden öffentlich bloßgestellt und ihre Marke nimmt Schaden.

Unser Prognosebericht identifiziert vier verschiedene Bereiche für 2023:

3. Mandantenfähiges Cloud-Hosting bietet Cyberangreifern einen idealen Nährboden. Für ein paar tausend Dollar können Angreifer eine Cloud-Instanz von Microsoft und anderen Softwareanbietern erwerben. In einer Sandbox-Umgebung können sie dann Schwachstellen aufspüren und komplexe Exploits zum Abfangen sensibler Inhalte entlang der Software Supply Chain entwickeln. Als Reaktion darauf wird die Verwendung von Single-Tenant-Hosting-Lösungen, z. B. mit FedRAMP-Autorisierung, mit dedizierten Servern, die von anderen Mandanten isoliert sind, im Jahr 2023 verstärkt in den Fokus rücken.

4. Externe Parteien in der Lieferkette erhöhen das Risiko. Unseren Untersuchungen zufolge haben Unternehmen Tausende von Drittlieferanten, Vertragspartner, Rechtsberater und andere externe Stellen, die auf vertrauliche Inhalte zugreifen, diese senden, teilen, empfangen und speichern. Die meisten Unternehmen haben nur zögerlich Verfahren zum Risikomanagement eingeführt, um sensible Daten zu schützen, die an externe Parteien gesendet und mit diesen geteilt werden. Budgetsensible Unternehmen werden im Jahr 2023 verstärkt auf Partner in der Lieferkette zurückgreifen, trotz des damit verbundenen Risikos.

5. Angriffe durch Schurkenstaaten sind auf dem Vormarsch. Aufgrund des Krieges zwischen Russland und der Ukraine und anderer Faktoren haben wir im vergangenen Jahr viel über Cyberangriffe von Schurkenstaaten gehört. Jüngste Untersuchungen von Mandiant sagen voraus, dass Angriffe auf kritische Infrastrukturen auch im Jahr 2023 ein Problem darstellen werden. Die meisten Angriffe werden von einer ganzen Reihe von Schurkenstaaten ausgehen – Nordkorea, Russland, China und Iran. Ein vorrangiges Ziel für diese Angreifer sind vertrauliche Inhalte. Unternehmen sollten diese daher sorgfältig schützen.

6. Cyberangreifer werden immer raffinierter – und immer gefährlicher. Cyberkriminalität ist heute eine Multimilliarden-Dollar-Industrie. Gut finanzierte kriminelle Organisationen und Schurkenstaaten setzen fortschrittliche Technologien wie künstliche Intelligenz (KI) und maschinelles Lernen (ML) ein, um ihre Präsenz für Monate oder sogar Jahre zu verschleiern und ihre Spuren zu verwischen, nachdem sie Terabytes an sensiblen Inhalten gestohlen haben.

Cybersecurity-Risikomanagement entwickelt sich weiter, um den Risken der Offenlegung vertraulicher Daten zu begegnen

Unternehmen entwickeln ihre Strategien für das Cybersecurity-Risikomanagement weiter, um den technologischen, finanziellen und verfahrenstechnischen Möglichkeiten von Cyberangreifern gerecht zu werden. Wir konnten dies bei der US-Bundesregierung mit neuen Standards und Mandaten wie der Executive Order 14028 des Weißen Hauses und den nachfolgenden Memoranden zu Zero Trust und der Cybersecurity Maturity Model Certification (CMMC) für Lieferanten des Verteidigungsministeriums (DoD) beobachten.

Unser Prognosebericht für das Jahr 2023 identifiziert sechs Bereiche der Cybersicherheit, die Unternehmen im Jahr 2023 zur Verwaltung sensibler Inhalte berücksichtigen werden:

7. Inhaltsdefiniertes Zero Trust und Private Content Network. Die meisten Unternehmen haben Zero Trust bereits für ihre Netzwerkgrenzen und das Identitäts- und Zugriffsmanagement für Ereignisse eingeführt. Wie bereits erwähnt, sind Inhalte das Ziel vieler Cyberangriffe, und die Unternehmen werden sich der Tatsache bewusst, dass die gleichen Zero-Trust-Prinzipien auch auf Inhalte angewendet werden müssen. So entstand das Private Content Network, eine spezielle Plattform, die die digitale Kommunikation sensibler Inhalte mit Hilfe von Zero-Trust-Richtlinien für Inhalte schützt.

8. Least-Privilege-Zugang und Authentifizierung. 11 % der ursprünglichen Infektionsvektoren sind das Ergebnis gestohlener Zugangsdaten, so der neueste M-Trends Report von Mandiant. Als Reaktion darauf setzen viele Unternehmen eine Multi-Faktor-Authentifizierung ein, um den Diebstahl von Zugangsdaten für den Netzwerk- und Anwendungszugang zu verhindern. Dies sollte künftig auch für den Zugriff auf Inhalte gelten.

9. Immer mehr Unternehmen entscheiden sich für den Alleinbesitz ihrer Verschlüsselungscodes. Viele Kunden verwalten ihre Verschlüsselungscodes nur mitverantwortlich, was es Strafverfolgungs- und Sicherheitsbehörden, Anwälten und anderen Stellen ermöglicht, diese zu umgehen und die Verschlüsselungscodes von Cloud-Anbietern anzufordern. Als Reaktion darauf suchen Unternehmen nach Anbietern, die den alleinigen Besitz der Verschlüsselungscodes anbieten und damit sicherstellen, dass nur der jeweilige Kunde auf seine Daten zugreifen kann.

10. Beseitigung von Schwachstellen in Bibliotheken und Software von Drittanbietern. Die Zahl der im Jahr 2022 veröffentlichten Common Vulnerabilities and Exposures (CVE) ist bereits 35 % höher als die Zahl der im Jahr 2021 veröffentlichten. Da ein großer Teil der Software aus Open-Source-Komponenten besteht, müssen Unternehmen ihre Software Supply Chain ständig überprüfen. Unternehmen werden daher nach Lösungsanbietern Ausschau halten, die Security Hardening und mehrere Sicherheitsebenen einsetzen, um den CVSS-Schweregrad von Open-Source-Schwachstellen zu reduzieren.

11. KI wird immer häufiger zur Erkennung von Anomalien bei Datenfreigaben und -transfers eingesetzt. Künstliche Intelligenz (KI) birgt ein nahezu unendliches Potenzial für die Cybersicherheit, einschließlich der erweiterten Erkennung und des Schutzes sensibler Inhalte. Unternehmen können KI-Funktionen in Tools für die Kommunikation sensibler Inhalte und im Security Operations Center (SOC) nutzen, um anomales Verhalten in Bezug auf vertrauliche Inhalte zu erkennen (z. B. Spitzen bei Zugriffen, Versendungen, Freigaben usw.) und Echtzeitwarnungen an Sicherheitsteams zu senden.

12. Unternehmen werden mehr Ressourcen für die Verbesserung und die Integration von Sicherheitsmaßnahmen einsetzen. IT-, Sicherheits-, Risiko- und Compliance-Teams arbeiten effektiver und effizienter, wenn sie Bedrohungsdaten und Compliance-Daten in einer einzigen Ansicht konsolidieren können. Unternehmen reduzieren das Cyberrisiko enorm, wenn sie Antivirus-Funktionen, Content Disarm and Reconstruction (CDR), Data Loss Prevention (DLP) und Advanced Threat Protection (ATP) in die Plattform oder die Tools zur Verwaltung der Kommunikation mit sensiblen Inhalten einbetten können.

Kontrolle des digitalen Austauschs sensibler Daten

Governance wird heute als wesentliche Grundlage für das Risikomanagement angesehen. Unternehmen müssen über die richtige Nachverfolgung und Kontrolle verfügen, um sensible Inhalte vor Cyberbedrohungen zu schützen und die Einhaltung einer wachsenden Zahl gesetzlicher Vorgaben und Standards nachzuweisen. Die folgenden drei Prognosebereiche vervollständigen unsere Liste für 2023:

13. Anpassung an neue und erweiterte Datenschutzbestimmungen. Derzeit gibt es in mehr als 80 Ländern der Welt eine Form von Datenschutzgesetzen. Der Health Insurance Portability and Accountability Act (HIPAA) regelt den Datenschutz in Bezug auf vertrauliche Informationen. FISMA, GLBA, PCI DSS (Payment Card Industry Data Security Standard) und andere schreiben den Schutz von Finanzdaten und personenbezogenen Daten vor. Die GDPR (DSGVO) der EU war eine der ersten Bestimmungen, die den Datenschutz auf regionaler Ebene regelte. In den USA war der CCPA (California Consumer Privacy Act) das erste Gesetz, das dies tat. Vier weitere US-Bundesstaaten haben ähnliche Gesetze verabschiedet, die im Jahr 2023 in Kraft treten werden. Aufgrund dieser und anderer Datenschutzgesetze müssen Unternehmen nach Lösungen suchen, die über umfassende Sicherheitskontrollen sowie Funktionen zur Nachverfolgung der Einhaltung von Vorschriften und zur Bereitstellung von Berichten verfügen.

14. Geofencing beim Austausch vertraulicher Daten wird zunehmen. Der Austausch sensibler Daten innerhalb und zwischen bestimmten Gerichtsbarkeiten muss geschützt und geregelt werden. Geofencing sollte eingesetzt werden, um das unbefugte Senden und Teilen von vertraulichen Inhalten wie personenbezogenen Daten und Gesundheitsinformationen zwischen Ländern zu verhindern. Dazu gehören das Blockieren von Sende-, Freigabe- und Empfangsvorgängen und der Einsatz von Kontrollen in Bezug auf die Datenhoheit, die einzelne Dateien und Ordner auf die Speicherung im Heimatland des Dateninhabers beschränken.

15. Anwendung von Best Practies für Cybersecurity-Kontrollen und -Frameworks. Der Einfluss von Frameworks für die Cybersicherheit wie ISO 27001, NIST CSF und SOC 2 wird weiter zunehmen, und ihre Umsetzung wird dementsprechend folgen. Wenn Unternehmen das Risiko der Offenlegung sensibler Inhalte bewerten, werden sie sich zunehmend auf Cybersecurity-Frameworks stützen.

Minimierung des Risikos der Offenlegung sensibler Inhalte mit Kiteworks

Das Risiko, das von Cyberkriminalität und Compliance-Bestimmungen ausgeht, war noch nie so groß wie heute. Die rasche Weiterentwicklung im Bereich der Datenanalyse und -wissenschaft und die zunehmende Vernetzung der Lieferketten rücken die gemeinsame Nutzung und Übertragung von Daten in den Vordergrund vieler Initiativen zur digitalen Transformation. Dabei handelt es sich um geschäftskritische Vorhaben, die Wettbewerbsvorteile bieten – von der Steigerung der betrieblichen Effizienz bis hin zu Möglichkeiten des Umsatzwachstums.

Da die meisten Cyberangriffe darauf abzielen, vertrauliche Daten abzufangen, und staatliche und branchenspezifische Stellen im Gegenzug regulieren, wie Unternehmen diese vertraulichen Daten zu schützen haben, wird das Risiko weiter zunehmen. Wir glauben, dass ein inhaltsdefinierter Zero-Trust-Ansatz, der Richtlinien für sensible Inhalte innerhalb eines Private Content Network (PCN) einsetzt, die Antwort auf diese Herausforderungen ist. Kiteworks PCN vereinheitlicht Ihre Kommunikation mit sensiblen Inhalten auf einer Plattform, um diese Inhalte unter Verschluss zu halten und Ihnen gleichzeitig die Möglichkeit zu geben, die Einhaltung gesetzlicher Vorgaben durch zuverlässige Nachverfolgung und Kontrollen nachzuweisen.

Lesen Sie unseren vollständigen Prognosebericht 2023, nehmen Sie an unserer Webinar-Podiumsdiskussion mit drei hochkarätigen Gästen teil und besuchen Sie unsere Webseite mit weiteren Informationen zum  .

Weitere Informationen

• Blog Post Get the Top 115 Cybersecurity Stats in 2022
• Blog Post 7 Industriezweige, die Datenverschlüsselung benötigen
• Blog Post 8 Arten von Daten, die Sie unbedingt verschlüsseln müssen