Verbessern Sie die Einhaltung gesetzlicher Vorschriften durch mehrschichtige Sicherheitsmaßnahmen
Falls es zu Ihrem Tagesgeschäft gehört, Ihr Unternehmen vor Cyberbedrohungen zu schützen, dann haben Sie höchstwahrscheinlich auch einen zeitraubenden Nebenjob, nämlich die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Mehr als 130 Länder haben Datenschutzgesetze verabschiedet und in 156 Ländern (80 % aller Länder weltweit) sind Gesetze zur Bekämpfung von Cyberkriminalität in Kraft.
Darüber hinaus hat jede Datenschutzvorschrift ihre eigenen Anforderungen und Vorschriften für folgende Sicherheitsaspekte:
- Durchführung von Risikobewertungen
- Nachweisen von Sicherheitsrichtlinien und -plänen
- Berichterstattung für Audits (und bei Bedarf Meldung von Datenschutzverletzungen)
Viele CISOs nutzen die begrenzte Zeit ihrer Teams für Compliance-Bemühungen, die an den wichtigsten Sicherheitsaspekten orientiert sind. Nehmen wir zum Beispiel die Richtlinie zur Netz- und Informationssicherheit 2 (NIS2) der EU. Dienstanbieter in den EU-Ländern führen Zugriffskontrollen nach dem Prinzip der minimalen Berechtigungsvergabe durch, um die NIS2-Anforderungen zum Schutz vertraulicher Daten zu erfüllen.
Zu den gängigen Verfahren gehören die Verwendung sicherer Passwortspeicher für die Anmeldeinformationen von IT-Nutzern mit umfassenden Zugriffsrechten sowie das Erstellen von Berichten über die spezifischen Zugriffsrechte für Aufsichtsbehörden. Ein ähnlicher Ansatz existiert in Branchen wie dem Gesundheitswesen, wo Unternehmen, die geschützte Gesundheitsinformationen (protected health information, PHI) von US-Bürgern verarbeiten, verpflichtet sind, Patientenakten gemäß dem Health Insurance Portability and Accountability Act (HIPAA) zu sichern.
Der Fokus auf gängige Sicherheitspraktiken ist gut für den Datenschutz und daher auch vorteilhaft für die Einhaltung von Vorschriften. Der Ansatz, die Türen abzuschließen und die Schlüssel zu verstecken, deckt allerdings nur einige Ebenen der potenziellen Angriffsfläche ab.
Darüber hinaus ist es wichtig, zu wissen, wie das Unternehmen die Ressourcen selbst schützt, sollte der Fall eintreten, dass ein Angreifer eine Schwachstelle erkennt und in das System eindringt. Angesichts eines angenommenen Angriffs muss die Frage lauten: Unternimmt das Unternehmen alles in seiner Macht Stehende zum Einschränken der Mobilität der Angreifer, um laterale Netzwerkbewegungen zu vermeiden und zu verhindern, dass die Angreifer Berechtigungen eskalieren und beträchtlichen Schaden anrichten können.
In dieser Blogbeitragsreihe erklären wir, welche Ebenen der potenziellen Angriffsfläche Sie schützen müssen, um den Anforderungen der Regulierungsbehörden zu entsprechen. Und wir bieten Best Practices an, um Sie bei der Umsetzung zu unterstützen.
Wie die Ausrichtung an Sicherheitsprinzipien die Compliance verbessern kann
Branchenexperten empfehlen, die Compliance-Bemühungen eines Unternehmens an bewährten Sicherheitsrichtlinien auszurichten, wie sie von Organisationen wie dem National Institute for Standards in Technology (NIST-Framework) oder der International Organization for Standardization (ISO-Standards) bereitgestellt werden. Dies bietet einen einfachen Weg, um Folgendes umzusetzen:
- Best Practices von renommierten Behörden übernehmen und so Vertrauen gewinnen
- Compliance-Bemühungen auf eine Vielzahl von Vorschriften ausrichten und damit die Effizienz steigern
Da sich Angriffsflächen – und Vorschriften – sich jedoch weiterentwickeln, sollten wir uns diese Frage stellen: Warum sollten nicht auch die Compliance-Maßnahmen Ihres Unternehmens an einem etablierten Cybersicherheitsprinzip ausgerichtet werden? Manche nennen diese Strategie „Defense-in-Depth“, aber wir betrachten es als mehrschichtige Sicherheit. Dieses Prinzip eines mehrschichtigen Sicherheitsansatzes ist bereits erprobt und gut etabliert.
Auf einen mehrschichtigen Ansatz setzen
Anstatt sich hauptsächlich auf ein Sicherheitstool oder einen Kontrollmechanismus zu verlassen, sollten Sie mehrere Sicherheitsebenen miteinander kombinieren, um Angreifer mit einer Vielzahl von Hindernissen, Fallen und unerfreulichen Überraschungen zu konfrontieren. Auf diese Weise können Sie Angreifer abwehren, indem Sie ihre Optionen, ihren Zugriff und ihre Dateneinsicht erheblich einschränken. Durch einen mehrschichtigen Ansatz können die für bestimmte Risiken vorgesehenen Sicherheitskontrollen die Stärken der jeweils anderen ergänzen. Wenn ein Mechanismus ausfällt, kann ein anderer greifen und handeln. Wenn eine Kontrollinstanz ein Angriffssignal erfasst, dann kann ihr Gegenstück auf diese Erkenntnisse reagieren und die Bewegungen eines Angreifers blockieren. Und wenn ein Tool den menschlichen Zugriff absichert, schützt ein anderes vor maschinellem Zugriff.
Unternehmen können diesen Ansatz auch bei der Compliance anwenden. Regulierungsbehörden fordern Nachweise dafür, dass Sie alles in Ihrer Macht Stehende tun, um Angreifer von Ihren Daten und Ihrer Infrastruktur fernzuhalten. Das umfasst Angriffe, die das Ziel verfolgen, personenbezogene Daten von Millionen von Verbrauchern offenzulegen, ebenso wie Attacken auf kritische Infrastrukturbereiche wie beispielsweise Wasseraufbereitungsanlagen.
Die Risiken sind hoch: Die Nichteinhaltung gesetzlicher Vorschriften hat die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2024 von 4,88 Millionen US-Dollar auf fast 5,12 Millionen US-Dollar erhöht.
Betrachten wir gemeinsam einige häufige Lücken vom Nachweis umfassender Sicherheitspläne bis hin zur Berichterstattung – und wie wir sie beheben können.
Wie mehrschichtige Sicherheit auf Compliance-Standards angewendet werden kann
Viele Unternehmen haben beim Schutz der Anmeldedaten ihrer IT-Nutzer Fortschritte erzielt – in den falschen Hängen könnten diese Daten Angreifern die Kontrolle über Netzwerke und Zugriff auf sensible Daten geben. Regulierungsbehörden erwarten starke privilegierte Zugriffsoptionen, vom Payment Card Industry Data Security Standard (PCI-DSS v4.0) bis hin zur Datenschutz-Grundverordnung (DSGVO).
Es ist jedoch auch hilfreich, Kontrollmechanismen zu etablieren, durch die Daten zur Sicherung isoliert und segmentiert werden, wobei jeder Datentyp durch Autorisierungskontrollen geschützt wird, die auf seine spezifischen Attribute zugeschnitten sind. Dazu gehören beispielsweise die Vertraulichkeit von Daten sowie standortspezifische gesetzliche Anforderungen.
Wird das Netzwerk auf diese Weise in kleinere, isolierte Segmente aufgeteilt, die alle über eigene Informationssicherheitsrichtlinien verfügen, dann erhalten Sicherheitsteams eine präzisere Kontrolle über Datenzugriff und laterale Bewegungen.
Mit den richtigen Mikrosegmentierungstools bietet dieser granulare Ansatz folgende Vorteile:
- eine verringerte Angriffsfläche
- begrenzter potenziellen Schaden bei einem Verstoß oder Ransomware-Angriff
- Sicherheitsteams haben die Möglichkeit, nachzuweisen, wie sie Daten, Systeme und Betriebsabläufe schützen – sowohl in ihren Gesamtplänen als auch bei regelmäßigen Audits.
Welche weiteren Möglichkeiten haben Sicherheitsteams, um den mehrschichtigen Sicherheitsansatz auf die Einhaltung gesetzlicher Vorschriften anzuwenden? Sehen wir uns die immer wichtige Rolle des Datenschutzes an.
API-Sicherheitsanforderungen erfüllen
Laut dem Verizon DBIR Report 2025 sind 60 % aller Sicherheitsverletzungen auf den Faktor Mensch zurückzuführen (etwa Mitarbeitende, die auf Phishing-Maschen hereinfallen, was zu einem Datendiebstahl führt). Daher implementieren Unternehmen Kontrollen für das Identitäts- und Zugriffsmanagement, um kostspielige Bußgelder und Reputationsschäden zu vermeiden. Viele Regulierungsbehörden und Frameworks schreiben solche Lösungen zwingend vor.
Ihr Unternehmen kann Regulierungsbehörden gegenüber vielleicht nachweisen, wie Sie die Abhängigkeit von Passwörtern verringern und Zwei-Faktor-Authentifizierungsmethoden für Nutzer durchsetzen. Aber was ist mit dem anderen, dem nicht-menschlichen Faktor?
In einem einzigen Unternehmen arbeiten möglicherweise Tausende von APIs (Application Programming Interfaces) hinter den Kulissen, um den schnellen Austausch von Daten zu ermöglichen. Angreifer wissen, dass APIs oft falsch konfiguriert sind, keine ausreichenden Authentifizierungskontrollen aufweisen oder leicht so zu manipulieren sind, dass sie vertrauliche Informationen preiszugeben.
Tatsächlich haben 84 % der Organisationen in den letzten zwölf Monaten einen Vorfall im Zusammenhang mit API-Sicherheit erlebt – IT- und Sicherheitsexperten schätzen die durchschnittlichen Kosten auf 943.162 US-Dollar.
Durch die Anwendung eines mehrschichtigen Sicherheitsansatzes zur Erfüllung der Compliance-Anforderungen kann ein Sicherheitsteam die Zugriffskontrollen, die für die Belegschaft gelten, um Tools zur Überwachung und Sicherung der API-Assets erweitern. Dazu gehören auch Funktionen zur Verwaltung der API-Sicherheitslage:
Analyse des API-Verhaltens auf Anomalien im Vergleich zur Standardaktivität
Erkennung schädlicher Aktivitäten in Echtzeit und Benachrichtigung anderer Tools, um Maßnahmen wie das Blockieren unbefugter Zugriffe zu ergreifen
Bereitstellung einer kontinuierlichen Ansicht potenzieller API-Sicherheitsvorfälle, die den Compliance-Frameworks zugeordnet sind, denen Sie folgen
Best Practices zur Einhaltung von Datenschutzbestimmungen: Abdeckung vier wichtiger Sicherheitsebenen
In weiteren Blogbeiträgen in dieser Reihe werden wir untersuchen, wie Sicherheitsteams in Unternehmen Compliance-Lücken und -Herausforderungen angehen können. Wir sind davon überzeugt, dass die Einhaltung von Datenschutzgesetzen einen strategischen Ansatz erforderlich macht, welcher der Umsetzung mehrschichtiger Strategien, die Unternehmen zum Schutz der gesamten Angriffsfläche ergreifen, stark ähnelt.
Wir uns mit Best Practices beschäftigen, die direkt mit den aktuellen Anforderungen der Regulierungsbehörden verknüpft sind, einschließlich umfassender Transparenz über den gesamten IT-Bereich hinweg.
Mehr erfahren
Besuchen Sie unsere Seite zur Cybersicherheits-Compliance und erfahren Sie mehr darüber, wie Akamai Sie dabei unterstützen kann.
