Das sind die häufigsten Compliance-Verstöße

Nicht jeder Fall ist so schwerwiegend wie der von Uber, aber die meisten Unternehmen sehen sich mit subtileren, aber wiederkehrenden Problemen in ihren täglichen Abläufen konfrontiert.

Der Fall von Uber zeigte ein systematisches Versagen bei der Absicherung internationaler Datenübertragungen, während in vielen anderen Organisationen Verstöße eher das Ergebnis von Missverständnissen oder Versehen sind.

Daher ist es wichtig, einige häufige Verstöße gegen Compliance-Regeln zu identifizieren. Diese sind:

• Access Control Verstöße
• Unrechtmäßige Weitergabe von Daten
• Ignorieren von Namenskonventionen
• Verletzung von Data Retention Policies
• Verbotene Dateitypen

Dies sind zwar nicht alle Arten von Verstößen gegen Compliance-Regeln, aber doch einige der häufigsten. Eine genauere Betrachtung ist ratsam.

Ein kritischer Verstoß besteht darin, dass der Zugang zu sensiblen Daten nicht sicher genug ist oder dass der Kreis der Personen, die Zugriffsrechte haben, zu groß ist.

Mitarbeiter behalten ihre Zugriffsrechte oft noch lange, nachdem sie ihre Rolle und ihr Projekt gewechselt haben. In einigen Fällen sogar, nachdem sie das Unternehmen verlassen haben. 

Eine Studie von Kaspersky aus dem Jahr 2022 zeigte, dass nur etwa die Hälfte der befragten Unternehmen garantieren konnte, dass ehemalige Mitarbeiter nicht auf Unternehmensdaten oder Firmenkonten zugreifen können. 

Die Aufsichtsbehörden haben wiederholt Geldstrafen gegen Unternehmen verhängt, weil sie bei Routineprüfungen unzureichende Zugangskontrollen aufgedeckt hatten, und es gibt dokumentierte Fälle, in denen ehemalige Mitarbeiter solche Versäumnisse ausgenutzt haben, um auf sensible Informationen zuzugreifen.

Solche Verstöße gegen die Zugriffskontrolle haben fast immer ihren Ursprung in einem fehlerhaften Prozess der rollenbasierten Zugriffskontrolle (RBAC).

Auch jenseits der regulatorischen Konsequenzen haben Unternehmen ein großes Interesse daran, nur bestimmten Rollen Zugang zu bestimmten Daten zu gewähren.

Das Risiko endet nicht bei übermäßigen Zugriffsrechten. Es liegt auch darin, wie autorisierte Mitarbeiter mit Unternehmensdaten umgehen.

Die eigentliche Gefahr beginnt oft erst, wenn die Daten die Unternehmenskanäle verlassen. Wenn Dateien an private E-Mail-Konten weitergeleitet, über unsichere Software von Drittanbietern weitergegeben oder in nicht unterstützte Cloud-Datenspeicher hochgeladen werden, kann der potenzielle Schaden immens sein.

Oft geschieht dies aus Bequemlichkeit, weil ein Mitarbeiter vielleicht eine E-Mail zu Hause fertigstellen oder ein Arbeitsprojekt abschließen möchte. Manchmal geben Menschen sensible Daten an ihre Familie oder Freunde weiter, ohne groß darüber nachzudenken.

Solche Praktiken umgehen jedoch die geltenden Vorschriften und öffnen nicht nur die Tür für schwerwiegende Verstöße gegen die Vorschriften, sondern auch für potenziellen Schaden für das Unternehmen.

Prüfer und Aufsichtsbehörden stufen die unrechtmäßige gemeinsame Nutzung von Daten häufig als schwerwiegenden Verstoß gegen die Compliance-Vorschriften ein, vor allem, wenn personenbezogene Informationen weitergegeben werden. 

Ein oft übersehener Verstoß gegen Compliance-Regeln ist die Missachtung von Namenskonventionen. Es scheint so trivial, unnötig und geradezu lästig im Tagesgeschäft. Doch die Folgen sind gravierend. Es kommt schnell zu Verwirrung.

Es gibt zahlreiche potenzielle Probleme:

• Zwei Dokumente mit fast identischen Namen, die einen völlig unterschiedlichen Inhalt haben (MarketingData.xlsx versus Marketing-Data.xlsx)
• Mehrere Dateien, bei denen unklar ist, welche die neueste ist (Final_Report_May.docx versus Report_May_latest)
• Während eines Audits wird ein bestimmter Vertrag benötigt, kann aber nicht rechtzeitig gefunden werden.
• Skripte oder automatisierte Datenbanken könnten die Daten ignorieren oder falsch verarbeiten

Diese Beispiele zeigen, dass Dateien ohne korrekte Benennung im Laufe der Zeit schwer zu verfolgen sind, bei einer Prüfung kaum auffindbar sind und die täglichen Abläufe behindern.

Bei der Datenverwaltung untergräbt dies das Prinzip der Single Source of Truth (SSOT), d. h. die Vorstellung, dass jede Information in genau einer zuverlässigen und maßgeblichen Version vorliegt.

Außerdem wird dadurch sichergestellt, dass die Daten immer verfügbar und aktuell sind. Die meisten Prüfer betrachten das Ignorieren des SSOT-Prinzips an sich als einen Verstoß gegen die Vorschriften.

Einer der wichtigsten Compliance-Bereiche betrifft die Datenaufbewahrung. Es gibt zahlreiche Vorschriften, die vorschreiben, dass bestimmte Daten nicht nur aus steuerlichen oder finanziellen Gründen, sondern auch aus Gründen der Datensicherheit über einen längeren Zeitraum aufbewahrt werden müssen.

Die Verstöße betreffen aber nicht nur die vorzeitige Löschung von Daten, sondern können auch auftreten, wenn Daten länger als gesetzlich erlaubt aufbewahrt werden. Dieser Teil des Lebenszyklus von Daten ist für viele Aufsichtsbehörden kritisch.

Aus diesem Grund gibt es weltweite Standards, die bekanntesten sind DSGVO, HIPAA und SOX.

So können beispielsweise personenbezogene Daten über Jahre hinweg gespeichert und nie gelöscht werden, oder Mitarbeiter verfügen über lokale Kopien sensibler personenbezogener Daten außerhalb der Compliance-Vorschriften.

Es kann unmöglich sein, diese Daten aufzuspüren und innerhalb des gesetzlich vorgeschriebenen Zeitrahmens zu löschen.

Die Aufsichtsbehörden verhängen nicht nur immer wieder Bußgelder gegen Unternehmen, die gegen die Aufbewahrungsvorschriften verstoßen, sondern diese Verstöße führen auch fast immer zu einem irreversiblen Verlust des öffentlichen Vertrauens.

Noch schlimmer wird die Situation, wenn sensible Daten durch eine Datenschutzverletzung aufgedeckt werden. In solchen Fällen vervielfachen sich die Folgen sowohl für die Bußgelder als auch für das öffentliche Ansehen.

Der letzte dieser Compliance-Verstöße geht fast immer darauf zurück, dass die Mitarbeiter nicht verstehen, wie wichtig es ist, nur vom Unternehmen zugelassene Dateitypen zu verwenden.

Manche Mitarbeiter laden Software herunter, mit der sie vertraut sind, oder legen persönliche Dateien wie Fotos oder Videos auf ihren Laufwerken ab. Solche Dateien verschwenden nicht nur Speicherressourcen, sondern können auch ein Sicherheitsrisiko darstellen.

Malware, die heruntergeladen und in ausführbaren Dateien oder Archiven versteckt wird und möglicherweise bereits die Geräte der Mitarbeiter befallen hat, kann nun auf der Unternehmensinfrastruktur wüten.

Noch schlimmer wird es, wenn die Daten verschlüsselt sind und nicht geöffnet werden können.

Für Auditoren ist das Vorhandensein von nicht autorisierten Dateien fast immer ein Alarmzeichen. Dies verstößt nicht nur gegen die Vorschriften, sondern untergräbt auch die Datensicherheit und die Kontrolle des Unternehmens. Schon ein paar verbotene Dateien können zu hohen Geldstrafen führen.

Doch wie können Sie verhindern, dass es in Ihrem Unternehmen zu solchen Verstößen gegen Compliance-Regeln kommt?

Der erste Schritt besteht darin, die Risiken zu verinnerlichen und klare Richtlinien festzulegen, die von allen verstanden werden. 

Der zweite Schritt ist der Einsatz eines Tools, das Ihnen hilft, die Einhaltung der Vorschriften sicherzustellen. Wir empfehlen SpaceObServer.

Nachdem wir uns eingehend mit den Herausforderungen befasst haben, denen IT-Profis bei der Sicherstellung der Compliance gegenüberstehen, wollen wir nun einen Blick darauf werfen, wie SpaceObServer mit praktischen Tools helfen kann.

Um mit dem Thema zu beginnen: SpaceObServer hilft IT-Teams, immer den vollen Überblick über die Speicherkapazitäten bis hinunter auf Dateiebene zu behalten.

Darüber hinaus hilft SpaceObServer auch bei der Bewältigung der verschiedenen Compliance-Risiken, die wir bereits besprochen haben. Lassen Sie uns einen genaueren Blick darauf werfen, wie es das tut.

Verstöße gegen die Zugriffskontrolle adressieren

Mit SpaceObServer können Sie Zugriffsrechte schnell analysieren und Änderungen von Berechtigungen verfolgen.

Mit SpaceObServer können Sie regelmäßige Scans einrichten, die ACL-Berechtigungsänderungen berechnen.

Details wie das Änderungsdatum, Benutzergruppen und Vererbung helfen Ihnen, den Kontext einer einzelnen Änderung besser zu verstehen und entsprechende Maßnahmen zu ergreifen.

Eine angemessene Zugriffskontrolle stellt sicher, dass Sie die gemeinsame Nutzung von Daten ohne Berechtigung unterbinden können.

Sicherstellung von Namenskonventionen

SpaceObServer analysiert Dateistrukturen und Speichermuster. So lassen sich Unregelmäßigkeiten in den Namenskonventionen leicht erkennen.

Mit der integrierten Dateisuche hilft Ihnen SpaceObServer, wiederkehrende Verstöße gegen Namenskonventionen zu identifizieren. Die Funktion zur Massenumbenennung ermöglicht es Ihnen, Datei- und Ordnernamen auf einmal zu korrigieren.

Stoppen Sie Verstöße gegen Data Retention Policies

Mit nur wenigen Klicks können Sie Dateiduplikate und ähnliche Ordnerstrukturen übersehen und so die Einhaltung von Datenaufbewahrungsrichtlinien sicherstellen.

Bei jedem Speicherscan berechnet SpaceObServer Prüfsummen, um doppelte Dateien in Ihrer gesamten Speicherlandschaft zu identifizieren.

In einer speziellen Registerkarte können Sie die Metadaten vergleichen und Maßnahmen ergreifen, wie z.B. das sofortige Löschen der Dateien. 

Neben exakten Duplikaten erkennt SpaceObServer auch ähnliche Ordnerstrukturen, die Sie interaktiv analysieren können.

Keine verbotenen Dateitypen mehr

Mit SpaceObServer können Sie Datei-Operationen auf der Basis von Dateitypen und Dateierweiterungen über Ihre verschiedenen Speichersysteme hinweg durchführen.

Sie können verbotene Dateitypen herausfiltern und bei Bedarf Ad-hoc-Aktionen durchführen.

Um sicherzustellen, dass die Dateitypregeln langfristig eingehalten werden, können Sie eine automatische Datenverarbeitung einrichten, um verbotene Dateitypen regelmäßig zu verschieben oder zu löschen, z.B. nach einem monatlichen Zeitplan.