Informationssicherheit und Risikomanagement verstehen
Dieser bearbeitete Auszug stammt aus „How to Use Customer Data“ von Sachiko Scheuing ©2024 und wird mit Genehmigung von Kogan Page Ltd. reproduziert.
Auf einem bestimmten Blatt Papier habe ich eine äußerst vertrauliche Information. Dieses A4-Blatt enthält eine Liste mit Weihnachtsgeschenken, die ich meinen Familienmitgliedern machen möchte.
Um sicherzugehen, dass niemand Zugriff auf diese Informationen erhält, habe ich sie in meinem Arbeitszimmer versteckt, im Schrank neben meinem Schreibtisch. Dort findet man ein dickes Englisch-Wörterbuch.
Wenn Sie die Seite öffnen, auf der „Weihnachten“ aufgeführt ist, finden Sie meine wertvolle Liste, die sorgfältig in zwei Hälften gefaltet ist.
Aber was ist, wenn meine Kinder oder meine bessere Hälfte etwas in einem analogen Wörterbuch nachschlagen wollen? Das Risiko ist zwar gering, aber ich gehe kein Risiko ein. Ich habe eine Geheimsprache namens Japanisch.
Meine Familie findet das Stück Papier vielleicht, aber sie wird nur タータンチェックの野球帽 und 腕時計 sehen, was für sie im Grunde genommen Hieroglyphen sind.
Dank dessen erlebt meine Familie jedes Jahr zu Weihnachten wunderbare Momente beim Austauschen von Geschenken. Allein das Schreiben darüber bringt mich zum Grinsen, wenn ich mir die überraschten Gesichter und das laute Gelächter vorstelle, umgeben vom grünen Duft des Weihnachtsbaums und dem obligatorischen Glühwein.
Dies motiviert mich, diese hochsensiblen Informationen noch stärker geheim zu halten!
Wir diskutieren, wie Unternehmen und ihre Marketingabteilung ihre Geheimnisse und Daten schützen können, um auch ihren Kunden ein Lächeln ins Gesicht zu zaubern.
Informationssicherheit verstehen
In manchen Spielen gibt es diese „Freifahrtkarte“. Mit diesen Karten können Sie vermeiden, eine Spielrunde zu verpassen. Was wäre, wenn ich sagen würde, dass die DSGVO etwas Ähnliches hat?
Das nennt man Datensicherheit.
Die Bestimmungen der DSGVO zur Datensicherheit stehen im Einklang mit dem gesetzlich verankerten risikobasierten Ansatz, bei dem Risiken minimiert und den Verantwortlichen mehr Flexibilität eingeräumt wird.
Wenn Regulierungsbehörden beispielsweise über Geldbußen entscheiden, müssen sie die Sicherheitsmaßnahmen berücksichtigen, die Unternehmen zum Schutz der Daten getroffen haben (siehe Artikel 83(2)c der DSGVO) (legislation.gov.uk, 2016).
Angenommen, Ihr Laptop wird gestohlen.
Wenn die Daten verschlüsselt waren, müssen Sie Ihre Kunden nicht über den Datenmissbrauch informieren. Wenn Sie Ihre Kunden nicht informieren müssen, wird das Markenimage geschützt, das Ihre Marketingabteilung über Jahre aufgebaut hat.
Dies ist ein Grund, warum Datensicherheit eine so wichtige Disziplin ist. Viele Organisationen haben eine separate Sicherheitsabteilung und einen Chief Information Security Officer, der die Funktionsbereiche leitet.
Diejenigen Marketingfachleute, deren Sicherheitsvorfälle in den Nachrichten publik wurden, wissen, wie lebensrettend Kollegen aus dem Sicherheitsbereich in Zeiten der Not sein können.
Definition der Informationsstrategie
Der Begriff „Datensicherheit“ taucht in Artikel 4 der DSGVO, dem Artikel mit den Definitionen, nicht auf. Stattdessen erscheint das Wort „Sicherheit“ in Artikel 5, in dem die Grundannahmen des Datenschutzgesetzes beschrieben werden.
Mit anderen Worten: Datensicherheit ist eines der Hauptprinzipien der DSGVO: „Integrität und Vertraulichkeit“.
Die DSGVO erwartet von Organisationen, dass sie die Verhinderung einer unbefugten oder unrechtmäßigen Verarbeitung sowie eines versehentlichen Verlusts, einer Zerstörung oder Beschädigung von Daten als einen der Ausgangspunkte für den Schutz personenbezogener Daten sicherstellen.
Zu diesem Zweck müssen TOMs implementiert werden, damit die Integrität und Vertraulichkeit der Daten geschützt wird (Artikel 5(f) DSGVO) (legislation.gov.uk, 2016).
Außerhalb der DSGVO wird Informationssicherheit wie folgt definiert
Informationssicherheit ist der Schutz von Informationen und Informationssystemen vor absichtlichem und unabsichtlichem unbefugtem Zugriff, Störung, Änderung und Zerstörung durch externe oder interne Akteure. (Gartner, Inc., 2023)
Informationssicherheit umfasst die Technologien, Richtlinien und Praktiken, die Sie zum Schutz Ihrer Daten wählen. (gov.uk, 2018)
Informationssicherheit: Der Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, Nutzung, Offenlegung, Störung, Änderung oder Zerstörung, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. (NIST, 2023)
Ansatz zur Informationssicherheit
So wie Marketingexperten strategische Rahmenwerke – 4Ps, 7Ps, 4Cs usw. – entwickelten, so hat auch die Schule der Informationssicherheitsstrategie Rahmenwerke entwickelt: die CIA-Triade und die Parkerian Hexad.
CIA steht für Vertraulichkeit, Integrität und Verfügbarkeit.
Donn Parker, ein Sicherheitsberater, erweiterte diesen Rahmen später um drei weitere Elemente, nämlich Nutzen, Authentizität und Besitz.
Nachfolgend finden Sie eine kurze Beschreibung der sechs Aspekte der Parkerian Hexad (Bosworth et al., 2009).
Verfügbarkeit
Verfügbarkeit bezieht sich auf die Fähigkeit der Organisation, auf Daten zuzugreifen. Wenn es beispielsweise zu einem Stromausfall kommt und Ihre Marketingmitarbeiter nicht auf Kundendaten zugreifen können, gilt dies als Verfügbarkeitsproblem.
Die Datei ist vorhanden und somit nicht gestohlen. Allerdings kann der Vermarkter vorübergehend nicht auf die betreffenden Daten zugreifen.
Dienstprogramm
Der Nutzen des Parkerian Hexad hängt mit dem Problem zusammen, dass die Daten ihren Nutzen verlieren. Wenn ein Kampagnenmanager beispielsweise den Verschlüsselungsschlüssel für die Daten verliert, sind die Daten immer noch vorhanden und können abgerufen werden.
Eine Nutzung dieser Daten ist allerdings nicht möglich, da die für die Durchführung einer E-Mail-Kampagne benötigten E-Mails verschlüsselt und damit unbrauchbar sind.
Integrität
Unter Wahrung der Integrität versteht man die Verhinderung unbefugter Änderungen an den Daten.
Löscht beispielsweise ein Praktikant der Marketingabteilung versehentlich das Feld „mehr als zwei Artikel gekauft“ im Datensatz, handelt es sich um einen integritätsrelevanten Sicherheitsvorfall.
Kann der Vorgesetzte des Praktikanten die Löschung des Feldes rückgängig machen, bleibt die Integrität der Daten erhalten.
Normalerweise wird die Integrität durch die Zuweisung unterschiedlicher Zugriffsrechte gewahrt, beispielsweise Nur-Lese-Zugriff für Praktikanten und Lese- und Schreibzugriff für den Marketingmanager.
Authentizität
Unter Authentizität versteht man die Zuordnung von Daten oder Informationen zum rechtmäßigen Eigentümer bzw. Ersteller dieser Daten oder Informationen.
Stellen Sie sich vor, Ihre Werbeagentur, die als Ihr Datendienstanbieter fungiert, erhält eine gefälschte E-Mail mit der Anweisung, alle Ihre Kundendaten zu löschen.
Die Agentur könnte denken, es handele sich um eine echte Anweisung Ihres Unternehmens und führt den Befehl aus. Dies ist dann ein Authentizitätsproblem.
Vertraulichkeit
Wenn eine unbefugte Person Zugriff auf eine bestimmte Marketinganalysedatei erhält, wird die Vertraulichkeit verletzt.
Besitz
Das Parkerian Hexad verwendet den Begriff Besitz, um Situationen zu beschreiben, in denen Daten oder Informationen gestohlen werden.
Beispielsweise lädt ein böswilliger Mitarbeiter der Marketingabteilung alle Vertriebskontaktinformationen auf ein Mobilgerät herunter und löscht sie anschließend aus dem Netzwerk. Dies ist ein Besitzproblem.
Risikomanagement
Zusätzlich zum Verständnis der Probleme, mit denen Sie bei der Verwendung von Parkerian Hexad konfrontiert sind, muss Ihr Unternehmen die potenziellen Sicherheitsrisiken für das Unternehmen kennen.
Andress schlägt einen nützlichen und allgemeinen fünfstufigen Risikomanagementprozess für verschiedene Situationen vor (Andress, 2019).
Schritt 1: Vermögenswerte identifizieren
Bevor Ihr Unternehmen mit der Verwaltung der Risiken Ihrer Marketingabteilung beginnen kann, müssen Sie alle Datenbestände Ihrer Marketingabteilung abbilden.
Dabei müssen sämtliche Daten berücksichtigt werden, die teilweise auf unterschiedliche Systeme verteilt sind oder Dienstleistern anvertraut werden.
Sobald diese Übung abgeschlossen ist, kann Ihre Marketingabteilung bestimmen, welche Datendateien am wichtigsten sind. RoPA, in dem alle Prozesse personenbezogener Daten abgebildet sind, kann für diese Übung genutzt werden.
Schritt 2: Bedrohungen identifizieren
Für alle im vorherigen Schritt identifizierten Datendateien und Prozesse werden potenzielle Bedrohungen ermittelt. Dies kann bedeuten, dass eine Brainstorming-Sitzung mit Marketingfachleuten sowie Sicherheits- und Datenschutzabteilungen abgehalten wird, um die Daten und Prozesse einzeln durchzugehen.
Das Parkerian Hexad aus dem vorherigen Abschnitt kann bei der Durchführung solcher Sitzungen eine große Hilfe sein. Es wird auch hilfreich sein, während dieser Übung die kritischsten Daten und Prozesse zu identifizieren.
Schritt 3: Schwachstellen bewerten
In diesem Schritt werden für jede in Schritt 2 aufgetauchte Datennutzung relevante Bedrohungen identifiziert.
Dabei werden der Betriebskontext Ihres Unternehmens, die verkauften Produkte und Dienstleistungen, die Beziehungen zu Lieferanten sowie der physische Standort des Unternehmensgeländes berücksichtigt.
Schritt 4: Schwachstellen bewerten
In diesem Schritt werden die Bedrohungen und Schwachstellen der einzelnen Daten und Prozesse verglichen und ihnen Risikostufen zugewiesen.
Schwachstellen ohne entsprechende Bedrohungen oder Bedrohungen ohne zugehörige Schwachstellen werden als risikolos eingestuft.
Schritt 5: Risiken minimieren
Für die in Schritt 4 aufgetretenen Risiken werden in dieser Phase die notwendigen Maßnahmen zur Verhinderung ihres Auftretens festgelegt.
Andress identifiziert drei Arten von Kontrollen, die zu diesem Zweck eingesetzt werden können. Die erste Art der Kontrolle, die logische Kontrolle, schützt die IT-Umgebung für die Verarbeitung Ihrer Kundendaten, beispielsweise durch Kennwortschutz und die Platzierung von Firewalls.
Die zweite Art der Kontrolle ist die administrative Kontrolle, die normalerweise in Form einer Unternehmenssicherheitsrichtlinie umgesetzt wird, die die Organisation durchsetzen kann. Die letzte Art der Kontrolle ist die physische Kontrolle.
Wie der Name schon sagt, dient diese Art der Kontrolle dem Schutz von Geschäftsräumen und bedient sich dabei Hilfsmittel wie Videoüberwachung, schlüsselkartengesteuerte Türen, Feuermelder und Notstromgeneratoren.
Mit der Zeit können sich die Risiken ändern.
Beispielsweise könnte Ihre Marketingabteilung physisch in ein neues Gebäude verlegt werden, wodurch sich die Anforderungen an die physische Sicherheit ändern, oder Ihr Unternehmen könnte sich für die Migration von einem physischen Server zu einem Cloud-basierten Hosting-Dienst entscheiden, was bedeutet, dass auch Ihre Kundendaten verschoben werden müssen.
Beide Situationen erfordern den Start einer neuen Runde des Risikomanagementprozesses.
Generell ist es ratsam, den Risikomanagementprozess in regelmäßigen Abständen, beispielsweise jährlich, zu überprüfen, um in Ihrem Unternehmen alle Risiken im Blick zu behalten, die für Ihre Marketingabteilung und darüber hinaus bestehen.
Risikomanagement mit drei Verteidigungslinien
Das Institute of Internal Auditors (IIA) hat ein Risikomanagementmodell mit der Bezeichnung „Drei Verteidigungslinien“ entwickelt.
Das Modell erfordert drei interne Rollen: (1) das Leitungsgremium, das die Aufsicht über die Organisation hat, (2) die Geschäftsleitung, die Maßnahmen zum Risikomanagement ergreift und dem Leitungsgremium Bericht erstattet, und (3) die interne Revision, die unabhängige Prüfung bietet. Diese drei Rollen müssen zusammenarbeiten und als robuster Schutz für die Organisation fungieren (IIA, 2020).
Die Elemente der drei Verteidigungslinien sind (IIA, 2020):
Erste Verteidigungslinie
Verwalten Sie Risiken, die mit den täglichen Betriebsaktivitäten verbunden sind. Die Hauptverantwortung liegt bei der Geschäftsleitung, und der Schwerpunkt liegt auf Menschen und Kultur.
Die Aufgabe der Marketingmanager besteht darin, sicherzustellen, dass ihre Abteilung sich der Datenschutzrisiken, einschließlich Sicherheitsrisiken, bewusst ist und die relevanten Unternehmensrichtlinien befolgt.
Zweite Verteidigungslinie
Identifizieren Sie Risiken im täglichen Geschäftsbetrieb. Teams für Sicherheit, Datenschutz und Risikomanagement führen Überwachungsaktivitäten durch.
Die oberste Führungsebene, einschließlich des CMO, ist letztlich für diese Verteidigungslinie verantwortlich. Eine gut funktionierende zweite Verteidigungslinie erfordert eine gute Zusammenarbeit zwischen Marketing- und Sicherheits-, Datenschutz- und Risikomanagementteams.
In der Praxis bedeutet dies, dass Sie die Bedeutung von Audits auf Betriebsebene verstehen und dem Sicherheitsteam Input geben, auch wenn andere dringende Termine oder geschäftliche Probleme anstehen.
Dritte Verteidigungslinie
Sorgen Sie für eine unabhängige Prüfung des Risikomanagements, indem Sie die erste und zweite Verteidigungslinie bewerten. Diese Aufgabe übernehmen in der Regel unabhängige interne Revisionsteams von Unternehmen.
Auch hier wird die Marketingabteilung gebeten, bei Audits mitzuarbeiten. Die dem Leitungsgremium gemeldeten Prüfungsergebnisse dienen der Geschäftsleitung als Grundlage für strategische Geschäftsmaßnahmen.
R Referenzen
- Andress, J (2019) Grundlagen der Informationssicherheit, No Starch Press, Oktober 2019.
- Bosworth, S, Whyne, E und Kabay, ME (2009) Computer Security Handbook, 5. Ausgabe, Wiley, Kapitel 3: Auf dem Weg zu einem neuen Rahmen für Informationssicherheit, Donn B Parker
- Gartner, Inc. (2023) Informationstechnologie: Gartner-Glossar, www.gartner.com/ en/information-technology/glossary/information-security (archiviert unter https://perma.cc/JP27-6CAN)
- IIA (2020) The Institute of Internal Auditors (IIA), Das Drei-Linien-Modell des IIA, eine Aktualisierung der Drei Verteidigungslinien, Juli 2020, www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-ofdefense-july-2020/three-lines-model-updated-english.pdf (archiviert unter https://perma.cc/9HX7-AU4H)
- legislative.gov.uk (2016) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, 27. April 2016, www.legislation.gov.uk/eur/2016/679/ Inhalt (archiviert unter https://perma.cc/NVG6-PXBQ)
- NIST (2023) National Institute of Standards and Technology, US-Handelsministerium, Computer Security Resource Centre, Information Technology Laboratory, Glossar, aktualisiert am 28. Mai 2023, https://csrc.nist.gov/glossary/term/ information_security (archiviert unter https://perma.cc/TE3Z-LN94); https://csrc.nist.gov/glossary/term/non_repudiation (archiviert unter https://perma.cc/DJ4A-44N2)
Um das ganze Buch zu lesen, erhalten SEJ-Leser einen exklusiven Rabattcode von 25 % und kostenlosen Versand in die USA und nach Großbritannien. Verwenden Sie den Promocode SEJ25 bei koganpage.com hier.
Mehr Ressourcen:
- Google Analytics 4 Funktionen zur Vorbereitung auf die Abschreibung von Drittanbieter-Cookies
- Was sind First-Party-Daten und wie werden sie verwendet?
- Google testet IP-Proxys: Was das bedeutet und welche Auswirkungen dies auf Sie haben kann
Vorgestelltes Bild: Paulo Bobita/Search Engine Journal