Wiz
Alle Artikel

Erläuterung der Einhaltung der Datensicherheit

Shaked Rotlevi
Spickzettel zur DatensicherheitKubernetes-Spickzettel herunterladen

Was ist die Einhaltung von Datensicherheitsvorschriften?

Die Einhaltung der Datensicherheit ist ein kritischer Aspekt der Data Governance, bei dem es um die Einhaltung der sicherheitsorientierten Regeln und Vorschriften geht, die von Aufsichts- und Regulierungsbehörden, einschließlich Bundesbehörden, festgelegt wurden. Diese Regeln und Vorschriften decken ein breites Spektrum der Datensicherheit ab, einschließlich technischer und organisatorischer Sicherheitsmaßnahmen, Datensicherheitstools und -lösungen sowie Techniken und Strategien zur Verhinderung von Datenschutzverletzungen.

The Data Security Best Practices [Cheat Sheet]

No time to sift through lengthy guides? Our Data Security Best Practices Cheat Sheet condenses expert-recommended tips into a handy, easy-to-use format. Get clear, actionable advice to secure your cloud data in minutes.

Download cheat sheet

Daten-Compliance vs. Einhaltung der Datensicherheit

Viele Menschen verwechseln die Einhaltung von Datensicherheit mit der Einhaltung von Datenvorschriften. Obwohl die Grundprinzipien beider Bereiche der Einhaltung gesetzlicher Vorschriften die gleichen sind, gibt es wichtige Unterschiede. Es ist wichtig, sich daran zu erinnern, dass die Einhaltung der Datensicherheit eine Komponente der Datenkonformität ist. 

Zur Datenkonformität gehören Gesetze und Vorschriften, die den gesamten Datenlebenszyklus umfassen. Dazu gehören Erfassung, Speicherung, Verwaltung, Stewardship, Auffindbarkeit und Transparenz. Kurz gesagt, die Vorschriften zur Einhaltung von Daten decken ab, welche Daten Unternehmen besitzen, woher sie diese Daten beziehen und was sie damit tun. 

Auf der anderen Seite konzentriert sich die Einhaltung der Datensicherheit auf die Sicherheit. Während andere Aspekte der Compliance auch mit der Sicherheit zu tun haben, befassen sich diese Gesetze und Vorschriften speziell damit, wie gut Unternehmen ihre Daten und damit auch die Kunden und Mitarbeiter schützen, die wertvolle und sensible Daten mit ihnen teilen.

Warum ist die Einhaltung der Datensicherheit für das Unternehmen wichtig?

Laut IBMs Cost of a Data Breach Report 2023 war die Nichteinhaltung von Compliance-Vorschriften einer der größten Verstärker für die Kosten von Datenschutzverletzungen. Ein weiterer einflussreicher Faktor für die Einhaltung der Datensicherheit ist die Frage, ob Unternehmen in Umgebungen mit hohen oder niedrigen Vorschriften arbeiten. In Regionen und Sektoren mit geringer Regulierung lösen Unternehmen 64 % der Compliance-Kosten innerhalb des ersten Jahres nach einer Datenschutzverletzung. In Umgebungen mit hoher Regulierung steigen die Kosten jedoch nach dem ersten Jahr um 58 %.

Werfen wir nun einen Blick auf 6 kritische Gründe, warum die Einhaltung der Datensicherheit von beispielloser Bedeutung ist:

  • Entwicklung der Bedrohungslandschaft: Die Bedrohungslandschaft war noch nie so gefährlich wie heute. Laut Der Unabhängigeverursachten Bedrohungsakteure im Jahr 2023 mehr als 290 Millionen Datenlecks, und Datenschutzverletzungen betrafen mehr als 364 Millionen Personen. Trends und Entwicklungen deuten darauf hin, dass die Cyberkriminalität weiter rasant zunehmen wird. Das Hauptziel von Cyberkriminellen sind fast immer Unternehmensdaten, was die Einhaltung der Datensicherheit immer komplexer und schwieriger macht.

Wiz Akademie

Data Leakage: Risiken, Ursachen und Prävention

Mehr lesen

  • Cloud-Compliance: Die meisten Unternehmen arbeiten in komplexen Cloud-Umgebungen. Einige Unternehmen hosten Cloud-Umgebungen selbst, während andere IaaS-, PaaS- und SaaS-Angebote von Drittanbietern wie AWS, GCP, Azure und Alibaba verwenden. Unter dem Gesichtspunkt der Datensicherheit besteht die größte Herausforderung darin, die Feinheiten des Modells der geteilten Verantwortung zu identifizieren. (Das Modell der geteilten Verantwortung hebt hervor, welche Verantwortlichkeiten für die Datensicherheit beim Cloud-Anbieter liegen.) Darüber hinaus müssen Unternehmen, die Dienste von unterschiedlichen Cloud-Anbietern nutzen, möglicherweise mehrere Datensicherheitsprobleme bewältigen Cloud-Konformität herausforderungen.

Figure 1: The AWS Shared Responsibility Model

  • Neue Gesetze und Verordnungen: Für Unternehmen ist es schon schwierig genug, die bestehenden Compliance-Vorschriften einzuhalten. Aufgrund der zunehmenden Cyberkriminalität und unzähliger branchenspezifischer Compliance-Katastrophen gehen die Regulierungsbehörden nun in die Offensive und führen neue Regeln ein. Unternehmen müssen verstehen, wann neue Regeln gelten, wie sie sich mit bestehenden Regeln überschneiden und welche Datensicherheitsmaßnahmen sie implementieren müssen, um den wachsenden Compliance-Anforderungen gerecht zu werden.

  • Komplexe Datenökosysteme: Die Komplexität von Datenökosystemen hängt von der Größe, der Branche und den übergeordneten Zielen eines Unternehmens ab. Da Unternehmen versuchen, ihre Daten auf neue Weise freizuschalten und zu nutzen, werden Datenökosysteme immer komplexer und verworrener. In komplexen Datenökosystemen gibt es einen höheren Prozentsatz an Schatten-Daten, d. h. Daten, die außerhalb der Sichtbarkeit und Verwaltung von IT- und Sicherheitsabteilungen liegen. Komplexe Datenökosysteme können ein leistungsstarkes Sprungbrett für die Datenprojekte eines Unternehmens sein, aber sie erfordern auch mehr Einhaltung der Datensicherheit.

  • DevOps-Initiativen: Die meisten Unternehmen setzen auf agile und beschleunigte Betriebsmodelle und -methoden. Entwickler treiben die Software Development Lifecycles (SDLCs) auf Hochtouren und erhöhen die Geschwindigkeit, mit der sie Daten nutzen. Die schnelle und skalierbare Entwicklung und Implementierung von Anwendungen kann die Datensicherheit gefährden und die Einhaltung gesetzlicher Vorschriften vernachlässigen.

  • Internationale Datenprojekte: Da die Grenzen in der Geschäftswelt verschwimmen, entstehen neue Herausforderungen an die Einhaltung der Datensicherheit. Betrachten Sie beispielsweise die Probleme bei der Einhaltung der Datensicherheit eines Unternehmens mit Sitz in Europa und hauptsächlich europäischen Kunden, das seine Daten in Rechenzentren in den USA hostet. In einem Fall wie diesem muss sich das Unternehmen mit den unterschiedlichen, sich überschneidenden und manchmal widersprüchlichen Datensicherheitsvorschriften mehrerer Länder auseinandersetzen, von denen jedes seinen eigenen Ansatz für die Datensicherheit hat. Darüber hinaus können geopolitische Spannungen und seismische politische Ereignisse erhebliche Auswirkungen auf die Einhaltung der Datensicherheit bei internationalen Datenprojekten haben.

    • Beispiel aus der Praxis: Im April 2023 verhängte die irische Datenschutzkommission (DPC) eine Geldstrafe Meta 1,3 Milliarden US-Dollar für die Übertragung der Daten von in der EU ansässigen Personen auf Server in den USA. 

8 Vorschriften und Standards zur Datensicherheit

Im Folgenden finden Sie 10 wichtige Vorschriften, Branchenstandards und Compliance-Frameworks, die Sie beachten sollten: 

  1. DSGVO: Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Gesetzgebung, die sich auf den Datenschutz konzentriert.

  2. SOX: Der Sarbanes-Oxley Act (SOX) ist ein U.S. Bundesgesetz über die Rechnungslegung.

  3. PCI-DSS: Der Payment Card Industry Data Security Standard (PCI-DSS) ist eine Reihe von Informationssicherheitsstandards für U.S. Kreditkarteninformationen. PCI-DSS-Compliance-Fehler können Unternehmen zwischen 5.000 und 100.000 US-Dollar pro Monat kosten.

  4. CCSA: Der California Consumer Privacy Act (CCPA) ist ein staatliches Gesetz zur Verbesserung und Gewährleistung des Verbraucherschutzes.

  5. HIPAA: Der Health Insurance Portability and Accountability Act (HIPAA) ist eine Reihe nationaler Standards zum Schutz der US-amerikanischen Informationen zum Gesundheitswesen. 

  6. FISMA: Der Federal Information Security Modernization Act (FISMA) ist ein Gesetz, das Rahmenbedingungen für die Sicherung von U.S. Regierungsdaten.

  7. PIPEDA: Das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA) ist ein kanadisches Gesetz, das sich auf den Datenschutz konzentriert.

  8. ISO/IEC: Die Normen der Internationalen Organisation für Normung/Internationale Elektrotechnische Kommission (ISO/IEC) sind eine Reihe globaler Normen zur Gewährleistung der Informationssicherheit und zur Optimierung von Sicherheitsmanagementsystemen. 

Wiz Akademie

10 Cloud Security Standards Explained: ISO, NIST, CSA, and More

Mehr lesen

Praktische Schritte zur Einhaltung der Datensicherheit

1. Verstehen Sie die regulatorischen Anforderungen

Example of a data security compliance assessment against PCI DSS v4 requirements

  • Identifizieren Sie geltende Vorschriften: Ermitteln Sie basierend auf Ihrer Branche und Ihrem Standort relevante Vorschriften (z. B. DSGVO, HIPAA, CCPA, PCI DSS), die vorschreiben, wie mit Daten umgegangen werden sollte.

  • KI-spezifische Regulierungen: Wenn KI-Systeme im Einsatz sind, sollten Sie spezifische KI-Vorschriften in Betracht ziehen, z. B. solche, die sich mit Fairness, Transparenz und Voreingenommenheit bei der KI-gesteuerten Entscheidungsfindung befassen. Ein Beispiel dafür ist der KI-Rechtsakt der EU, der einen verantwortungsvollen Umgang mit Daten für KI-Modelle vorschreibt.

  • Ausrichtung an Sicherheits-Frameworks: Übernehmen Sie anerkannte Frameworks wie ISO 27001, NIST Cybersecurity Framework oder SOC 2, um Ihren Ansatz zur Einhaltung der Datensicherheit zu standardisieren.

2. Gewinnen Sie Datentransparenz 

Example of the level of visibility you should aim for into your data security

  • Datenermittlung: Beginnen Sie mit Tools zur Datenermittlung um alle sensiblen und regulierten Daten in Ihrer Organisation zu identifizieren und abzubilden. Zu verstehen, wo sich Ihre Daten befinden, ist ein wichtiger erster Schritt bei der Einhaltung von Vorschriften.

  • KI-Datensätze: Beziehen Sie Daten, die für KI-Modelle verwendet werden, in den Ermittlungsprozess ein. Oft verlassen sich KI-Systeme für das Training und die Validierung auf umfangreiche Datensätze, die sensible Informationen enthalten können.

  • Automatisiert Klassifizierung der Daten: Setzen Sie Tools ein, die Daten automatisch nach Vertraulichkeit klassifizieren (z. B. personenbezogene Daten, Finanzdaten). Diese Klassifizierung hilft bei der Verwaltung der Compliance, indem sie sicherstellt, dass Sie vertrauliche Daten sofort identifizieren und schützen können.

  • Kontinuierliche Transparenz: Implementieren Sie Lösungen wie Verwaltung der Datensicherheitslage (DSPM) um einen kontinuierlichen Einblick in Ihre Datenumgebung zu erhalten, einschließlich KI-Trainingsdatensätzen und betrieblichen Datenflüssen.

3. Katalogisieren und Verwalten von Daten

  • Implementierung des Datenkatalogs: Richten Sie eine Datenkatalog , um ein Inventar aller Datenbestände zu erstellen. Dieser Katalog sollte einen organisierten, durchsuchbaren Index von Datensätzen enthalten, einschließlich vertraulicher Informationen und KI-spezifischer Daten, die beim Modelltraining oder bei der Entscheidungsfindung verwendet werden.

  • Verwaltung von Metadaten: Verwenden der Metadatenverwaltung zum Nachverfolgen von Daten'Herkunft, Nutzung und Governance-Regeln, insbesondere für Datensätze, die KI-Modelle speisen. Für die Einhaltung gesetzlicher Vorschriften ist es unerlässlich, dass Sie wissen, woher die Daten stammen und wie sie verarbeitet werden.

  • Markieren Sie sensible Daten: Wenden Sie geeignete Tags auf Daten an, die auf ihrer Vertraulichkeit und den gesetzlichen Anforderungen basieren. Dieses Tagging sollte sowohl traditionelle Daten als auch Datensätze abdecken, die in KI-Workflows verwendet werden.

  • Automatisierte Updates: Stellen Sie sicher, dass der Datenkatalog Dynamisch aktualisiert wenn neue Daten in das System gelangen oder geändert werden. Für KI-Anwendungen bedeutet dies, dass alle Datensätze, Ein- und Ausgänge auf dem neuesten Stand gehalten werden müssen.

4. Verfolgen Sie die Datenherkunft und Rückverfolgbarkeit

  • Verfolgung der Datenherkunft: Verfolgen Sie, wie sich Daten innerhalb Ihrer Systeme von der Erfassung über die Verarbeitung bis hin zur Speicherung bewegen. Dies ist für den Nachweis der Compliance und für die Prüfung von KI-Modellen unerlässlich, da Sie so zeigen können, wie KI-gesteuerte Entscheidungen getroffen werden.

  • KI-Rückverfolgbarkeit: Stellen Sie sicher, dass KI-Modelle und ihre Datensätze vollständig rückverfolgbar sind, insbesondere wenn sie in Compliance-kritischen Sektoren wie dem Finanz- oder Gesundheitswesen eingesetzt werden.

5. Implementieren Sie starke Datenverschlüsselung und Zugriffskontrollen

  • Verschlüsselung: Verschlüsseln Sie Daten sowohl im Ruhezustand als auch während der Übertragung. Stellen Sie bei KI-Anwendungen sicher, dass Trainingsdaten und alle Ausgaben, die vertrauliche Informationen enthalten, ebenfalls verschlüsselt werden.

  • Zugriffskontrolle:Werkzeug rollenbasierte Zugriffskontrolle (RBAC) und Zugriff mit den geringsten Rechten um einzuschränken, wer auf vertrauliche Daten zugreifen kann. Stellen Sie bei KI-Systemen sicher, dass nur autorisiertes Personal auf Trainingsdaten, -modelle und -ausgaben zugreifen kann.

  • Multi-Faktor-Authentifizierung (MFA): Verwenden Sie MFA für den Zugriff auf Systeme, die sensible Daten verarbeiten, einschließlich KI-Tools oder Umgebungen, in denen Modelle trainiert werden.

6. Sicherstellung von Datenminimierung und Anonymisierung

  • Datenminimierung: Sammeln und speichern Sie nur die minimale Menge an Daten, die für Ihren Betrieb erforderlich ist. Dieses Prinzip gilt auch für das Training von KI-Modellen: Verwenden Sie nach Möglichkeit synthetische Daten oder anonymisierte Daten, um Datenschutzrisiken zu minimieren.

  • Anonymisierung und Pseudonymisierung: Wenden Sie Anonymisierungstechniken an, um personenbezogene Daten (PII) aus Datensätzen zu entfernen, die im KI-Training oder anderen Datenprozessen verwendet werden, um die Einhaltung von Datenschutzgesetzen zu gewährleisten.

7. Implementieren Sie KI-spezifische Sicherheitskontrollen

  • Sichere KI-Modelle: KI-Modelle können anfällig sein für Gegnerische Angriffe, bei dem böswillige Eingaben dazu führen, dass Modelle falsche Entscheidungen treffen. Implementieren Sie Sicherheitsmaßnahmen, um diese Angriffe zu erkennen und zu verhindern.

  • Schutz vor Datenvergiftung: Stellen Sie sicher, dass Datensätze, die zum Trainieren von KI-Modellen verwendet werden, gesichert und überwacht werden, um Data Poisoning-Angriffe die KI-Ergebnisse beeinträchtigen und zu Nichteinhaltung führen können.

  • Modell-Governance und Erklärbarkeit: Stellen Sie sicher, dass KI-Modelle, die in sensiblen Bereichen wie dem Gesundheitswesen oder dem Finanzwesen eingesetzt werden, über Mechanismen für Erklärbarkeit und Überprüfbarkeit verfügen, um das Vertrauen und die Einhaltung gesetzlicher Standards zu wahren.

Wiz-Blog

38TB of data accidentally exposed by Microsoft AI researchers

Mehr lesen

8. Ununterbrochen Überwachen Sie Risiken und prüfen Sie die Datenaktivität

  • Implementieren Sie eine kontinuierliche Überwachung: Überwachen Sie den Datenzugriff, die -verschiebung und -nutzung systemübergreifend in Echtzeit. Nutzen Sie Cloud-native Lösungen wie DSPM, um Einblick in Datenflüsse zu erhalten, einschließlich solcher, die KI-Datenpipelines betreffen.

  • Prüfen von KI-Modellen: Regelmäßige Auditierung von KI-Systemen, um die Integrität der Modelle und der Daten, auf die sie sich stützen, sicherzustellen. Schließen Sie Audits von Trainingsdaten ein, um sicherzustellen, dass sie Sicherheits- und Compliancestandards erfüllen.

  • Messwerterfassung: Führen Sie detaillierte Protokolle des Datenzugriffs und der Datennutzung. Stellen Sie für KI sicher, dass Protokolle darüber geführt werden, wer auf Trainingsdatasets zugegriffen hat, welche Modelle mit welchen Datasets trainiert wurden und welche Entscheidungen oder Ausgaben generiert wurden.

  • Plan zur Reaktion auf Vorfälle: Haben Sie eine klar definierte Plan zur Reaktion auf Vorfälle zur Behebung von Datenschutzverletzungen, einschließlich KI-spezifischer Datenschutzverletzungen. Stellen Sie sicher, dass der Plan Rollen, Verantwortlichkeiten und Kommunikationsstrategien enthält.

Wiz-Blog

Why data security capabilities should be integrated with CNAPP

Mehr lesen

Wie Wiz bei der Einhaltung von Datensicherheitsbestimmungen helfen kann

Wiz can detect sensitive and remove attack paths to sensitive training data in AI pipelines

Die DSPM-Lösung von Wiz Ermöglicht es Unternehmen, agentenlose Scans ihrer gesamten Datenlandschaft durchzuführen, Datenrisiken auf der Grundlage tiefer und komplexer Kontexte zu priorisieren und die Offenlegung von Daten zu verhindern, indem toxische Kombinationen und Angriffspfade behandelt werden. Wiz erweitert seine DSPM-Funktionen auf KI-Daten, was eine der wichtigsten Sicherheitsanforderungen in der heutigen KI-gesteuerten Welt ist. 

Mit Breite Cloud-Abdeckung und Kompatibilität mit unzähligen Cloud-Plattformen und -Technologien ist Wiz das ultimative Tool für umfassende und einheitliche Datensicherheit. Mit dem DSPM-Tool von Wiz können Sie die komplexesten und anspruchsvollsten Gesetze zur Datensicherheit und zum Datenschutz ganz einfach befolgen und einhalten. 

Demo anfordern um zu sehen, wie Wiz Ihre Daten schützen und die Einhaltung von Vorschriften sicherstellen kann.

Protect your most critical cloud data

Learn why CISOs at the fastest companies choose Wiz to secure their cloud environments.

Informationen darüber, wie Wiz mit Ihren personenbezogenen Daten umgeht, finden Sie in unserer Datenschutzerklärung.