Es ist Zeit für eine DRM-Neuauflage: Ergebnisse und Erkenntnisse im Kiteworks’ 2023 Bericht zur Kommunikation sensibler Inhalte
Die Digitalisierung erhöht das Risiko
Private und öffentliche Organisationen weltweit werden immer abhängiger von digitaler Kommunikation, wodurch der Bedarf an robusten Cybersicherheitsmaßnahmen immer wichtiger wird. Das Wachstum der digitalen Kommunikation geht einher mit einem Anstieg der Cyber-Bedrohungen, wobei Schurkenstaaten, Cyberkriminelle und auf dem Schwarzmarkt aktive Dienstleister ihre Aufmerksamkeit auf den reichen Schatz, der durch sensible Inhalte geboten wird, lenken.
Vermeiden Sie diese 4 DRM-Stolpersteine zum Schutz Ihres geistigen Eigentums
Laut Harvard Business Review können die finanziellen, rechtlichen und Compliance-Auswirkungen von Cyberangriffen auf Daten dramatisch sein. Beispielsweise sind die Prüfungsgebühren für Organisationen rund 13,5% höher für Organisationen, die einen Datenverstoß erlebt haben, im Vergleich zu denen, die dies nicht getan haben. Und es gibt eine nachgelagerte Auswirkung: 60% der Organisationen, die einen Datenverstoß erleben, haben ihre Preise erhöht. Für börsennotierte Unternehmen gibt es eine messbare Auswirkung: Diejenigen mit einem Datenverstoß bleiben nach einem Jahr um 8,6% und nach zwei Jahren um 11,9% hinter dem NASDAQ zurück.
Die Raffinesse bei Cyberangriffen macht es immer schwieriger, Cyber-Bedrohungen zu bekämpfen. Zum Beispiel hat eine Studie herausgefunden, dass 80% der Bedrohungsgruppen und 40% der Malware im Jahr 2021 zuvor nicht beobachtet wurden. Es wird also zunehmend schwieriger, diese Angriffe zu blockieren.
Zunahme von Datenschutzverletzungen mit sensiblen Daten
Auf dieser bösartigen Welle reitend, steigt der Diebstahl sensibler Inhalte in alarmierendem Maße. Mandiant’s 2023 M-Trends Bericht hebt eine erschreckende Zunahme von Datenraubvorfällen um 37% innerhalb eines Jahres hervor, von 29% auf 40%. Darüber hinaus sind über 3.500 Bedrohungsgruppen, einschließlich 900 neuen im Jahr 2022, Teil dieser Angriffe, die in mehr als einem Viertel der Fälle Dateientschlüsselung und Löschung beinhalten. Kiteworks’ neuester Bericht über Datenschutz und Compliance bei sensiblen Inhalten identifizierte Passwort- und Berechtigungsangriffe, URL-Manipulation und Dienstverweigerung als die häufigsten Angriffsvektoren auf sensitive Kommunikationen.
Der 2023 Verizon Data Breach Investigations Bericht unterstreicht die Bedeutung von persönlichen Daten bei diesen Angriffen, wobei mehr als die Hälfte der Verstöße persönliche Identifikationsdaten (PII) und geschützte Gesundheitsinformationen (PHI) betreffen. In Bezug auf Angriffsvektoren bleibt E-Mail, dicht gefolgt von Webanwendungen und Desktop-Sharing-Lösungen, ein großes Sicherheitsproblem für Organisationen, wobei fast 60% der Social-Engineering-Angriffe auf Vortäuschung und Geschäftsemail-Kompromittierung (BEC) bezogen sind.
Einige Datenverstöße geschehen unbeabsichtigt
Die wachsende Cyber-Bedrohungslandschaft wird nicht nur durch die Handlungen dieser böswilligen Akteure geprägt. Menschliche Fehler spielen eine erhebliche Rolle bei der Offenlegung sensibler Inhalte. Verizons Bericht legt nahe, dass 43% der Datenverstöße auf Datenfehlzustellungen zurückzuführen sind, während 23% aufgrund von Veröffentlichungsfehlern auftreten, bei denen Daten unbeabsichtigt an das falsche Publikum gesendet werden. Diese resultieren aus Fällen, in denen E-Mails und Dateien an den falschen Empfänger oder Empfänger gesendet oder geteilt werden und unberechtigten Benutzern Zugang zu sensiblen Ordnern, Dateien und Webformulardaten gewährt wird.
Aufstieg der Datenschutzvorschriften
Parallel zur eskalierenden Kosten von sensiblen Datenhacks liegt ein Schwerpunkt auf weltweiten Datenschutzvorschriften. Diese reichen von Datenschutzstandards bis hin zu Cybersecurity-Benchmarks und stellen strenge Compliance-Anforderungen an Unternehmen, die in unterschiedlichen Rechtsordnungen tätig sind.
Beispielsweise ist die Allgemeine Datenschutzverordnung (GDPR) der Europäischen Union seit ihrer Implementierung im Jahr 2018 als eine der weltweit strengsten Vorschriften für persönliche Daten hervorgetreten. Sie erstreckt sich über 27 EU-Mitgliedstaaten und sieht erhebliche Strafen für Nichteinhaltung vor. Aber die GDPR steht nicht alleine da. Derzeit haben 157 Länder erhebliche nationale Datenschutzbestimmungen, was einen erheblichen Anstieg gegenüber 145 Ländern nur 15 Monate zuvor bedeutet.
Die USA, obwohl sie keine nationale Regelung ähnlich der GDPR haben, erzwingen strenge PHI-Schutzanforderungen unter dem Health Insurance Portability and Accountability Act (HIPAA). Darüber hinaus haben mehrere US-Bundesstaaten nach der Verabschiedung des California Consumer Privacy Act (CCPA) im Jahr 2018 ihre eigenen Vorschriften eingeführt. All dies trägt zum komplexen Geflecht von Vorschriften bei, mit denen Unternehmen konform gehen müssen.
Regierungsvertragsunternehmen, insbesondere solche in den USA, unterliegen zusätzlichen Vorschriften. Das Federal Risk and Authorization Management Program (FedRAMP) hat Cybersecurity-Praktiken für Cloud-Dienste für alle US-Regierungsbehörden und Auftragnehmer standardisiert. Die Cybersecurity Maturity Model Certification (CMMC) 2.0 erfordert nun von über 300.000 Mitgliedern der Defense Industrial Base (DIB), dass sie sich an eines von drei Reifegraden halten, basierend auf ihren Verträgen mit dem Department of Defense (DoD), mit dem Ziel, Controlled Unclassified Information (CUI) und Bundesvertragsinformationen (FCI) zu schützen.
Rahmen für den 2023 Sensitive Content Communications Privacy and Compliance Report
Vor diesem Hintergrund startete Kiteworks im Jahr 2022 einen jährlichen Bericht – sein
Bericht über den Datenschutz und die Einhaltung von Compliance-Vorschriften bei sensiblen Inhalten. Der Bericht des letzten Jahres brachte zahlreiche nützliche Brancheneinblicke hervor. Zum Beispiel sind mehr als die Hälfte der Organisationen unzureichend gegen Sicherheits- und Compliance-Risiken Dritter im Zusammenhang mit der Kommunikation sensibler Inhalte geschützt. Gründe für diese Misserfolge können auf den Mangel an Verschlüsselung und Governance-Kontrollen, sowie ungenaue und unzureichende Compliance-Berichte zurückgeführt werden. Der Bericht von 2022 fand auch heraus, dass zwei Drittel der Organisationen mehr als vier verschiedene Kommunikationstools für sensible Inhalte verwenden. Die Liste der Ergebnisse könnte weitergehen.
Der Bericht des letzten Jahres befragte über 400 IT-, Sicherheits-, Risiko- und Compliance-Fachleute in sieben Branchen. Für 2023 haben wir die Anzahl der Umfrageteilnehmer auf über 781 Personen in 13 Branchen in 15 Ländern und vier Kontinenten erweitert. Wie oben diskutiert, kann die Offenlegung von PII, PHI, Transaktionsdaten, Unternehmensfinanzen, geistigem Eigentum (IP), nicht öffentlichen Informationen über Fusionen und Übernahmen und rechtlichen Angelegenheiten für die meisten Organisationen katastrophal sein. Um die absichtliche und unbeabsichtigte Datenexposition und die Nichteinhaltung von Vorschriften zu bewältigen, wenden sich Organisationen dem Digital Rights Management (DRM) zu. Diese und andere Aspekte werden im Folgenden detailliert untersucht.
Die Komplexität der heutigen Kommunikationslandschaft entpacken
Die exponentielle Zunahme von Interaktionen mit Drittparteien ist ein bedeutendes Sicherheitsproblem für Organisationen. Der Bericht zeigt, dass 90% der Organisationen im Jahr 2023 Inhalte mit über 1.000 externen Einheiten geteilt haben, ein signifikanter Sprung von 63% im Vorjahr. Darüber hinaus teilen nun 44% Inhalte mit über 2.500 Drittparteien. Dieses weitreichende Netzwerk von Interaktionen mit Drittparteien erstreckt sich über Organisationen verschiedener Größen und Branchen und unterstreicht die Universalität des Problems.
Das Problem wird weiter verschärft durch den zunehmenden Einsatz von Kommunikationskanälen zur Übermittlung sensibler Inhalte. Da 50% der Organisationen sechs oder mehr Tools für die Kommunikation sensibler Inhalte einsetzen, wird die Aufgabe der Verfolgung und Sicherung des Inhaltsaustauschs immer komplizierter. Diese Komplexität erfordert die Zuweisung erheblicher Ressourcen, was zu höheren Kosten und einer schwierigeren Compliance-Landschaft führt.
Lücken in der Sicherheitsreife
Der Bericht macht eine deutliche Lücke zwischen den aktuellen Sicherheitsbemühungen der Organisationen und dem, was für ein effektives Management sensibler Inhalte erforderlich ist, sichtbar. Nur etwas mehr als ein Viertel der Befragten halten ihre Sicherheitsmaßnahmen und Managementpraktiken für ausreichend. Organisationen erkennen die inhärenten Risiken, die mit verschiedenen Kanälen, einschließlich E-Mail, Dateifreigabe, mobilen Apps und APIs, verbunden sind.
Die Anzahl der speziell auf die Kommunikation sensibler Inhalte abzielenden Vorfälle ist alarmierend hoch, wobei mehr als 80% der Organisationen vier oder mehr Exploits im letzten Jahr melden. Die finanzielle und Compliance-Auswirkungen dieser Angriffe waren schwerwiegend, wobei über 60% finanzielle Auswirkungen, 44% Auswirkungen auf die Marke und 42% Compliance- und Rechtskosten meldeten.
Kampf mit Compliance-Anforderungen
Compliance bleibt eine bedeutende Hürde, wobei Organisationen erhebliche Ressourcen aufwenden, um regulatorische Standards wie GDPR, PIPEDA, PCI DSS zu erfüllen., und HIPAA, unter anderem. Obwohl die Befragten ein Verständnis für bewährte Praktiken zeigen, gibt es eine erhebliche Lücke in der Anwendung dieser Praktiken.
Nur ein kleiner Bruchteil der Organisationen hat erfolgreich die Nachverfolgung, Aufzeichnung und Zugriffskontrolle sensibler Inhalte auf alle Benutzer, Abteilungen, Inhaltsarten und Drittparteien ausgedehnt. Folglich fühlen sich nur 27% der Befragten in der Kontrolle ihres Compliance-Risikomanagements. Die verbleibenden 73% glauben, dass entweder eine komplette Überarbeitung ihres Ansatzes oder erhebliche Verbesserungen notwendig sind
Die Verwirklichung des Versprechens des digitalen Rechtemanagements
Trotz der Herausforderungen identifiziert der Bericht einen Hoffnungsschimmer in Form des digitalen Rechtemanagements (DRM). DRM wird als vielversprechende Lösung für diese Probleme angesehen, die die Klassifizierung sensibler Inhalte, ihre Segmentierung nach Risiko und die Kontrolle des Zugriffs nach Rollen und Geographien betont.
Obwohl die Einführung langsam war, verstehen die meisten Organisationen die Bedeutung des DRM und passen ihre Strategien entsprechend an. Wir glauben, dass eine “Wiederholung” notwendig ist. Trotz Herausforderungen bei der Implementierung, wie die Notwendigkeit einer Agentenintervention für unverschlüsselte Dateien mit Drittparteien und anpassbare Kontrollen für verschiedene Benutzer und Inhaltsarten, gewinnt DRM stetig an Boden als bevorzugte Methodik.
Der Bericht unterstreicht auch den Wert der Einhaltung von Branchenstandards wie dem Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST). Die Einhaltung dieser Standards kann die Einführung von DRM vereinfachen und einen robusteren Schutz gegen Cyber-Bedrohungen gewährleisten.
Entscheidende Rolle von Technologiepartnern beim Schutz sensibler Inhaltskommunikation
Öffentliche und sektorale Organisationen, die Cyber-Bedrohungen bekämpfen wollen, müssen die richtigen Technologiepartner finden. Bei sensiblen Kommunikationsinhalten suchen die Umfrageteilnehmer nach robusten Sicherheitsfunktionen, wie automatischer Ende-zu-Ende-Verschlüsselung, DRM und Compliance-Tracking und -Berichterstattung. Sie suchen auch nach Lösungen, die es ihnen ermöglichen, ihre unterschiedlichen Kommunikationswerkzeuge und -systeme zu konsolidieren, um CapEx und OpEx zu reduzieren. Dadurch sparen sie erhebliche Zeit und Ressourcen bei der Zusammenstellung verschiedener Datenpools, die über mehrere Kommunikationswerkzeuge erfasst werden, vorausgesetzt, diese Werkzeuge erfassen überhaupt die zur Demonstration der Einhaltung der zugehörigen Compliance-Verordnung erforderlichen Daten.
Wenn Organisationen ihre Kommunikationswerkzeuge auf einer Plattform vereinen, können sie einheitliche Richtlinien für das Tracking und die Kontrolle sensibler Kommunikationsinhalte in Übereinstimmung mit Industrie- und Regierungsvorschriften festlegen und gleichzeitig einen einheitlichen Sicherheitsansatz anwenden. Dies reduziert sowohl ihre Sicherheits- als auch Compliance-Risiken.
Pessimistische und optimistische Bewertungen von sensiblen Kommunikationsinhalten im Bericht
Der diesjährige Bericht zeichnet ein sowohl besorgniserregendes als auch vielversprechendes Bild. Einerseits bleiben sensible Kommunikationsinhalte eine Herausforderung. Organisationen sind aufgrund der Zunahme der von ihnen genutzten Kommunikationstools und der Vielfalt der Drittparteien, mit denen sie Informationen senden und teilen, einem größeren Risiko ausgesetzt. Es ist nicht überraschend, dass mehr als drei Viertel noch nicht sowohl vor Ort als auch in der Cloud sowie in allen Abteilungen und bei allen Benutzern sensible Kommunikationsinhalte verfolgen und kontrollieren. Diese Probleme, zusammen mit einer zunehmenden Raffinesse von Cyber-Angriffen, machen Ausbeutung unvermeidlich – und bedeutende Auswirkungen sind spürbar. Angesichts finanzieller Zwänge und des Mangels an Cybersicherheitsfachkräften ist es unmöglich, mehr Ressourcen und Budget für die zugewiesenen Probleme bereitzustellen – vorausgesetzt, das würde überhaupt funktionieren.
Andererseits zeigt der Bericht, dass Führungskräfte und Praktiker Lösungen priorisieren, um diese Probleme anzugehen. Diese konzentrieren sich auf vier verschiedene Handlungspunkte:
1. Ganzheitlicher Ansatz zur Compliance
Da verschiedene Gerichtsbarkeiten, einschließlich verschiedener Staaten innerhalb der USA, ein Mosaik neuer Vorschriften einführen, müssen Organisationen ihre Aufmerksamkeit umlenken. In dieser aufkommenden Ära der Compliance sollte der Fokus nicht mehr darauf liegen, die Kästchen jeder einzelnen Regel abzuhaken. Stattdessen müssen Organisationen universelle Best Practices annehmen, die die Einhaltung aller Vorschriften gewährleisten. Wir schlagen vor, einen umfassenden Rahmen wie das NIST CSF zu übernehmen und auf absolute Compliance in all seinen Aspekten hinzuarbeiten. Ein solcher Ansatz mündet natürlich in DRM.
2. Wiederaufleben von DRM
Organisationen müssen eine umfassende Methode anwenden, um Daten akribisch zu kategorisieren und sicherzustellen, dass jede Kategorie für diejenigen, die sie für ihre rollenspezifischen Aufgaben benötigen, leicht zugänglich ist und gleichzeitig der Zugang für alle anderen eingeschränkt wird. Dieser Ansatz ist für ein ordnungsgemäßes Datenmanagement unerlässlich.
3. Schutz vor Insider-Bedrohungen
Fast einer von fünf Datenverstößen wird von Mitarbeitern oder anderen Personen verursacht, die Zugang zu internen Systemen haben. Durch die sorgfältige Klassifizierung und Segmentierung von Daten und die Beschränkung des Zugangs auf der Grundlage spezifischer Rollen können Organisationen sowohl vor absichtlicher als auch vor unbeabsichtigter Datenexposition von innen schützen.
4. Sicherheitsschutz
Cyberkriminelle und illegale Nationalstaaten sind sich des Wertes sensibler Informationen bewusst und zielen darauf ab, Schwachstellen oder Lücken in den Sicherheitsmaßnahmen der Kommunikationstools, die zur Verbreitung dieser Informationen verwendet werden, auszunutzen. Deshalb ist es entscheidend, die Sicherheitsfunktionen Ihrer Kommunikationstools zu verstehen und zu überprüfen. Die Verwendung der in diesem Bericht hervorgehobenen Schwerpunkte als Referenz für diese Überprüfungen könnte einen effektiven Ausgangspunkt bieten.
Fokus auf DRM, NIST CSF und mehr in 2023
Der Kiteworks-Bericht 2023 bietet einen umfassenden Überblick über die Herausforderungen und Chancen in der aktuellen komplexen Sicherheitsumgebung. Mit einer zunehmenden Anzahl von Dritten, die an der Freigabe sensibler Inhalte beteiligt sind, müssen Organisationen ihre Sicherheitsbemühungen intensivieren, um ihre digitalen Ressourcen zu schützen.
Trotz der gewaltigen Aufgabe, optimale Sicherheit zu erreichen, gibt es Optimismus mit dem Aufkommen von Technologien wie DRM und dem NIST CSF. Durch die Nutzung dieser Werkzeuge und die Ausrichtung auf den richtigen Technologieanbieter können Organisationen die Sicherheit ihrer sensiblen Kommunikation gewährleisten, die Compliance aufrechterhalten und letztendlich in einer zunehmend vernetzten Welt gedeihen.
Die Ergebnisse des Berichts unterstreichen die entscheidende Bedeutung der Absicherung sensibler Inhaltskommunikation in unserem digitalen Zeitalter. Angesichts der Art des geteilten Inhalts und seiner breiten Verteilung müssen Organisationen starke Maßnahmen ergreifen, um sich gegen ständig weiterentwickelnde Cyber-Bedrohungen zu schützen.
Die Sicherung sensibler Inhaltskommunikation ist zweifellos mit Hindernissen behaftet. Mit der richtigen Technologie, strategischer Planung, Sicherheitsrahmen und Governance können Organisationen diese Herausforderungen jedoch überwinden. Der Bericht fungiert letztlich als Leitfaden für Unternehmen weltweit und fordert sie auf, konkrete Schritte zum Schutz ihrer sensiblen Kommunikation in einer sich ständig weiterentwickelnden digitalen Landschaft zu unternehmen.
Lesen Sie den vollständigen Bericht zur Privatsphäre und Compliance bei der Kommunikation sensibler Inhalte 2023, indem Sie heute eine Kopie herunterladen. Klicken Sie hier.
Zusätzliche Ressourcen
- Blog Post 4 Erkenntnisse zur Datei- und E-Mail-Kommunikation aus Verizons DBIR
- Blog Post Microsoft ist ein Magnet für Phishing-Angriffe
- Blog Post FedRAMP: Der kurze Weg zu sicheren Inhaltskommunikationen
- Kurzbericht Erreichen Sie Zero Trust mit Kiteworks: Ein umfassender Ansatz zum Datenschutz
- Blog Post Wie KI in der Cybersicherheit und Cyberkriminalität eingesetzt wird