Datenlecks entstehen, wenn Informationen unbeabsichtigt oder unbefugt nach außen gelangen, beispielsweise durch Fehlbedienung, technische Schwächen oder vorsätzlichen Missbrauch. Solche Vorfälle können erhebliche rechtliche, wirtschaftliche und reputative Schäden verursachen. Dieses Control stellt sicher, dass geeignete Maßnahmen implementiert werden, um den Abfluss sensibler Informationen zu verhindern oder frühzeitig zu erkennen.
Zweck des Controls
A 8.12 soll gewährleisten, dass sensible Informationen vor unbefugter Offenlegung geschützt sind. Ziel ist es, Datenlecks zu verhindern, Risiken durch menschliche und technische Faktoren zu minimieren und die Vertraulichkeit von Informationen über ihren gesamten Lebenszyklus hinweg sicherzustellen.
Anforderungen und Maßnahmen
1. Identifikation schützenswerter Informationen
Organisationen müssen festlegen, welche Informationen besonders vor Datenlecks zu schützen sind, insbesondere:
personenbezogene Daten
vertrauliche Geschäfts- und Kundendaten
geistiges Eigentum
regulatorisch oder vertraglich geschützte Informationen
Die Identifikation muss sich an der Informationsklassifizierung orientieren.
2. Festlegung von Schutzanforderungen gegen Datenlecks
Schutzanforderungen müssen definiert werden:
zulässige und unzulässige Übertragungswege
Anforderungen an Speicherung und Verarbeitung
Schutzbedarf je Informationsklasse
Verantwortlichkeiten für die Umsetzung
Die Anforderungen müssen dokumentiert sein.
3. Einsatz technischer Maßnahmen zur Datenleckprävention
Geeignete technische Maßnahmen müssen eingesetzt werden, zum Beispiel:
Data-Loss-Prevention-(DLP)-Lösungen
Kontrolle von E-Mail-, Web- und Dateiübertragungen
Überwachung von Schnittstellen und Endpunkten
Einschränkung externer Datenträger
So wird unbefugter Datenabfluss reduziert.
4. Kontrolle von Datenübertragungen
Datenübertragungen müssen kontrolliert erfolgen:
Überprüfung ausgehender Kommunikationskanäle
Einschränkung oder Freigabe bestimmter Übertragungswege
technische Einschränkungen bei Kopieren oder Weitergabe
Schutz vor Fehladressierung oder Fehlkonfiguration
Berücksichtigung mobiler und externer Arbeitsumgebungen
So werden menschliche Fehler reduziert.
6. Überwachung und Erkennung von Datenlecks
Potenzielle Datenlecks müssen erkannt werden:
Monitoring verdächtiger Aktivitäten
Alarmierung bei Regelverstößen
Integration in Incident-Management-Prozesse
Analyse von Ereignissen und Vorfällen
Dies ermöglicht schnelles Eingreifen.
7. Sensibilisierung der Mitarbeitenden
Mitarbeitende müssen für Risiken von Datenlecks sensibilisiert werden:
Schulungen zu sicherem Umgang mit Informationen
Awareness für typische Fehlerquellen
klare Meldewege bei Verdachtsfällen
regelmäßige Auffrischungen
Der Mensch ist ein zentraler Schutzfaktor.
8. Dokumentation und kontinuierliche Verbesserung
Maßnahmen zur Datenleckprävention müssen dokumentiert werden:
Richtlinien und technische Maßnahmen
Verantwortlichkeiten
Vorfälle und getroffene Maßnahmen
regelmäßige Überprüfung und Anpassung
Dies unterstützt Wirksamkeit und Compliance.
Zusammenfassung
A 8.12 fordert, dass Organisationen geeignete organisatorische und technische Maßnahmen zur Verhinderung von Datenlecks implementieren. Durch Identifikation schützenswerter Informationen, klare Schutzanforderungen, Einsatz von DLP-Technologien, Kontrolle von Datenübertragungen, Sensibilisierung der Mitarbeitenden sowie kontinuierliche Überwachung wird sichergestellt, dass sensible Informationen nicht unbeabsichtigt oder unbefugt offengelegt werden. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
