Die Gefahr verwaister Daten

Wie zurückgelassene Dateien ehemaliger Mitarbeiter Unternehmen schädigen können. [...]

Sascha Hempe von Datadobi: “Es keine Option, die Risiken verwaister Daten einfach zu ignorieren. Wenn man keine Maßnahmen zur effektiven Verwaltung von Daten ergreift, können die Sicherheit, der Ruf und die finanzielle Stabilität des Unternehmens auf dem Spiel stehen." (Bild: Datadobi)

Verwaiste Daten, im Englischen „Orphaned Data“, sind Daten, die innerhalb eines Unternehmens keinen Owner haben. Beispielsweise, weil die für die Erstellung und Speicherung der Daten verantwortliche Person das Unternehmen verlassen hat, ohne das Eigentum oder das Wissen über die Daten an eine andere Person oder Abteilung zu übertragen. Solche „verwaiste Daten“ können für Organisationen zahlreiche Probleme darstellen.

Wie sammeln sich Orphaned Data an?

Angestellte in modernen Büroumgebungen produzieren während der Arbeit naturgemäß Daten, wie etwa E-Mails, Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen oder Datenbanken. Je nach Branche und Funktion sind die Menge und die Art der erzeugten Daten unterschiedlich.

Die absolute Mehrheit dieser von Menschenhand erzeugten unstrukturierten Daten sind weitgehend harmlos. Der Nutzen dieser Daten für das Unternehmen ist im Allgemeinen jedoch eher gering. Auch harmlos, wenn auch lästig, sind private Daten, die Mitarbeiter auf ihren Geräten und in Folge auf der Speicherinfrastruktur hinterlassen.

Speichert ein Mitarbeiter beispielsweise seine Urlaubsfotos auf dem Dienstcomputer, so ist dies auf den ersten Blick kein großes Problem – der Rechner wird nach dem Ende des Arbeitsverhältnisses ohnehin meist neu formatiert. Doch Unternehmen fertigen von allen Daten Backups an, meist nach dem 3-2-1-Prinzip.

Das bedeutet, dass die private Urlaubsfotosammlung nicht nur auf dem Rechner des ehemaligen Mitarbeiters gespeichert ist, sondern wahrscheinlich auch auf dem Backupspeicher und dem zweiten Air-Gap- oder Cloud-Backup-Speicher. Und dort können die Daten deutlich schwieriger als nutzlos identifiziert und gelöscht werden.

Neben diesen lästigen und Speicher belegenden harmlosen Daten, gibt es auch Orphaned Data der gefährlichen Art: Denn viele Mitarbeiter, die ihre Geräte auch für private Zwecke nutzen, speichern oft zahlreiche Daten auf ihre Rechner, die dort nicht hingehören. Dazu können urheberrechtlich geschützte Dateien wie Videos, Filme, Serien, Musik, Bilder und Softwares zählen, oder auch Torrents, die zum Download von Dateien genutzt werden.

Oft wurden diese Dateien aus irgendeiner Quelle aus dem Internet lokal auf den Rechner heruntergeladen. Solche Daten können hohe Risiken bergen, beispielsweise durch die Verbreitung von Viren und Malware. Oder schlicht, weil sie illegal kopiert wurden und innerhalb der Infrastruktur eines Unternehmens gespeichert sind.

Im schlimmsten Fall kann es sich um tatsächliche „illegale Daten“ handeln, deren alleiniger Besitz strafbar ist. Auch können sich auf Rechnern ehemaliger Mitarbeiter sensible oder vertrauliche Informationen befinden, die aus Compliance-Gründen nicht mehr gespeichert werden dürfen.

Doch egal ob harmlos, mehr oder weniger gefährlich oder gar illegal, alle Arten von Orphaned Data können zahlreiche Risiken bergen:

Operative Risiken:

Orphaned Data können für Unternehmen auf der operativen Ebene eine enorme finanzielle Belastung darstellen. Sie belegen teuren Speicherplatz und müssen aktiv und kontinuierlich verwaltet werden. Sie belasten die IT-Infrastruktur unnötig und mindern dadurch die Systemleistung. Auch führen die unnötigen Daten zu längeren Backup-Intervallen. Die Kosten für die Speicherung und Pflege dieser Daten können sich schnell aufsummieren, insbesondere wenn eine große Menge Mitarbeiter in einer Organisation arbeitet, und diese eine hohe Fluktuation aufweist.

Sicherheitsrisiken:

Wenn verwaiste Daten sensible oder vertrauliche Informationen enthalten, können sie eine Goldgrube für Cyberkriminelle sein. Geraten die Informationen in die falschen Hände, kann dies verheerende Folgen haben, wie Identitätsdiebstahl, Finanzbetrug oder Unternehmensspionage. Auch können von Mitarbeitern illegal heruntergeladene Dateien Malware in die IT-Infrastruktur einschleusen, die nur darauf wartet, aktiviert zu werden.

Compliance-Risiken:

Wenn ein Unternehmen verwaiste Daten nicht ordnungsgemäß verwaltet, können sich diese im Laufe der Zeit ansammeln und zur Nichteinhaltung von Vorschriften wie DSGVO, SOX, HIPAA und FISMA führen. Die Nichteinhaltung von Branchenvorschriften kann für Unternehmen ein Albtraumszenario sein.

Die potenziellen rechtlichen und finanziellen Strafen können ruinös sein und zu hohen Geldstrafen, Gerichtsverfahren und sogar zur Schließung des Unternehmens führen.

Reputationsrisiken:

Der Verlust sensibler oder vertraulicher Daten aufgrund von Nachlässigkeiten bei der Datenverwaltung ist für viele Unternehmen ein weiteres Schreckensszenario. Dies könnte ein fataler Schlag für den Ruf des Unternehmens und das Vertrauen der Kunden sein.

Der Schaden, der durch einen solchen Vorfall entsteht, kann unermesslich sein, und es kann Jahre dauern, bis man sich von dem Verlust des Vertrauens und der Loyalität der Kunden erholt hat. Ganz zu schweigen von den Kosten, die durch mögliche Klagen und Vergleiche entstehen.

Die Einführung von Richtlinien und Verfahren zur Datenverwaltung

Offenbar belegen verwaiste Daten nicht nur unnütz Speicherplatz, sie können Unternehmen auf zahlreiche Art und Weise schädigen. Es ist für Unternehmen also von großem Interesse, das Problem verwaister Daten dauerhaft zu lösen.

Dies bedeutet in der Theorie, bestehende verwaiste Daten entweder wieder einem neuen Owner zuzuordnen oder sie zu löschen, wenn nicht mehr benötigt werden. Was einfach klingt, kann in der Praxis unendlich schwieriger sein. Denn ein Unternehmen, das unbekannte Mengen verwaister Daten hat, hat offenbar keine festgelegten Richtlinien für die Erstellung und Speicherung von Daten – und sehr wahrscheinlich auch keine technische Lösung, um verwaiste Daten zu identifizieren und zu löschen.

Über eine herstellerunabhängige Lösungen für die Verwaltung unstrukturierter Daten lassen sich alle unstruktutierten Daten eines Unternehmens aus nur einer einzigen Lösung und Oberfläche verwalten. So kann man Daten ohne Eigentümer einfach finden und anschießend entsprechende Maßmahmen ergreifen. (Bild: Datadobi).

Um sicherzustellen, dass alle Daten ordnungsgemäß dokumentiert, gespeichert und gepflegt werden, müssen Unternehmen zuerst einmal Richtlinien und Verfahren zur Datenverwaltung einführen. Dies kann die Durchführung regelmäßiger Datenaudits, die Zuweisung klarer Eigentumsrechte und Verantwortlichkeiten für Daten sowie die Festlegung von Richtlinien für die Erstellung und Speicherung von Daten beinhalten.

Herstellerunabhängige Lösungen für die Verwaltung unstrukturierter Daten

Dies gelingt am einfachsten mit einer herstellerunabhängigen Lösung für die Verwaltung unstrukturierter Daten. Die Lösung muss herstellerunabhängig sein, damit sie alle auf zahlreichen unterschiedlichen Datenspeichern abgelegten Daten zugreifen kann.

Mitgelieferte proprietäre Lösungen für das Datenmanagement von Speicherherstellern tun sich schwer damit, Daten auf Speichern anderer Hersteller zu verwalten. Darüber hinaus ist die Verwaltung aller unstrukturierter Daten deutlich einfacher, wenn man dies aus nur einer einzigen Lösung und Oberfläche tun kann.

Solche Lösungen ermöglichen es, verwaiste Daten zu identifizieren und zu verwalten, indem sie Einblick in unstrukturierte Daten gewährt, die im gesamten Unternehmensbestand gespeichert sind. Durch den Vergleich der Liste der aktuellen Mitarbeiter mit den Daten, die sich auf dem Speicher befinden, können so alle Daten identifiziert werden, die keinen eindeutigen Eigentümer haben.

Anschließend können aus der Lösung selbst Maßnahmen ergriffen werden. Dies kann unter anderem das Löschen, die Übertragung des Eigentums oder die Verlagerung in eine geeignetere Umgebung umfassen.

Fazit: Aktives Datenmanagement reduziert das Risiko

Unter dem Strich ist es keine Option, die Risiken verwaister Daten einfach zu ignorieren. Wenn man keine Maßnahmen zur effektiven Verwaltung von Daten ergreift, können die Sicherheit, der Ruf und die finanzielle Stabilität des Unternehmens auf dem Spiel stehen.

Um alle Daten ordnungsgemäß zu dokumentieren, zu speichern und zu verwalten, müssen Unternehmen Richtlinien und Verfahren zur Datenverwaltung einführen und diese mit der Nutzung einer geeigneten Lösung für das Management unstrukturierter Daten umsetzen. So wird das Risiko verwaister Daten erheblich reduziert.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*