Erfahren Sie, was Datensicherheit ist und warum sie wichtig ist. Entdecken Sie Datensicherheitsdienste, Lösungen und Schutzmethoden zum Schutz sensibler Informationen.
Datensicherheit ist eine grundlegende Methode, um digitale Assets über ihren gesamten Lebenszyklus hinweg zu schützen. Dazu gehört auch zu wissen, wo sie sich befinden, wie sie verwendet oder geteilt werden und welche Risiken bestehen können. Der Prozess der Datensicherheit ist entscheidend, um unbefugten Zugriff zu verhindern, Compliance aufrechtzuerhalten und Geschäftskontinuität zu wahren. Im Folgenden erläutern wir den Prozess und die Arten der Datensicherheit sowie ihre Bedeutung und Risiken.
Datensicherheit ist ein weites Feld und erstreckt sich auf digitale Assets in physischen, digitalen und Cloud-Umgebungen. Sie ist Teil der breiteren Praxis der Informationssicherheit. Ziel der Datensicherheit ist es, digitale Informationen vor unbefugtem Zugriff, Korruption, Diebstahl oder Verlust zu schützen. Häufige Bedrohungen der Datensicherheit können von externen Quellen stammen oder ihren Ursprung intern haben, darunter Cyberangriffe, Hacker, Malware, Ransomware, Phishing-Angriffe, menschliches Versagen, Insiderbedrohungen oder technologische Schwächen.
Datensicherheit umfasst sowohl technische Kontrollen wie Zugriffskontrollen, Firewalls und Verschlüsselung als auch organisatorische Richtlinien wie Sicherheitstraining, Notfallpläne und Datenklassifizierungsrichtlinien.
Sie klingen ähnlich, aber Datensicherheit und Datenschutz sind separate (jedoch verwandte) Praktiken. Während sich Datensicherheit auf den Schutz sensibler Daten konzentriert, diktiert der Datenschutz, wie Unternehmen ihre Daten sammeln, speichern, freigeben und nutzen.
Wichtig ist auch, den Begriff nicht mit Cybersicherheit zu verwechseln. Datensicherheit ist Teil des weiteren Feldes der Cybersicherheit, das ganze Systeme, Netzwerke, Clouds oder Einrichtungen schützt – und Daten sind nur ein Teil davon.
Stellen Sie sich Daten als sensible oder wertvolle Informationen vor, die sich irgendwo (digital oder physisch) befinden und sowohl sicher aufbewahrt werden müssen als auch auf die nur die richtigen Personen zugreifen können. Nehmen wir das einfache Beispiel eines Aktenschranks mit vertraulichen Informationen. Datensicherheit bezieht sich auf die Schlösser oder Einschränkungen des Schranks, die die Informationen vor unbefugtem Zugriff – wie z. B. Diebstahl – schützen. Datenschutz bezieht sich darauf, wie diese Dateien entstanden sind, welche Personen die Schlüssel zum Schrank haben, um sie einzusehen, und wie sie die Dateien darin verwenden dürfen.
Dieses Beispiel kann auf Daten in der digitalen Welt, auf Computern, Servern oder in der Cloud übertragen werden. Datensicherheit schützt die digitalen Assets – sie kann Verschlüsselung umfassen, um die Daten unlesbar zu machen, Zugriffskontrolle, um einzuschränken, wer sie sehen kann, oder Firewalls und Antivirensoftware, um böswillige Akteure zu blockieren. Datenschutz befasst sich mit dem Zugriff auf und der Kontrolle der Daten, wobei Personen Rechte darüber eingeräumt werden, wie ihre Daten verwendet, gespeichert und geteilt werden. Datenschutz wird durch ethische und rechtliche Richtlinien bestimmt. Zu den bekanntesten und breitesten Gesetzen gehören die Datenschutz-Grundverordnung (DSGVO) in der EU und der California Consumer Privacy Act (CCPA), die beide umfassende Datenschutzgesetze über den Umgang mit den Daten von Einwohnern umfassen.
Verschiedene Arten von Datensicherheitsansätzen können in verschiedenen Umgebungen eingesetzt werden. Dazu können unter anderem gehören:
Verschlüsselung ist der Prozess, bei dem lesbare Daten (einfacher Text) in ein unlesbares, verschlüsseltes Format umgewandelt werden, das als Chiffretext bezeichnet wird. Dies geschieht mit einem mathematischen Algorithmus und einem geheimen Schlüssel (wie dem Schlüssel, der unseren Schrank mit den vertraulichen Dateien schützt). Nur jemand mit dem richtigen Schlüssel kann die Daten entschlüsseln und macht sie für Unbefugte nutzlos, selbst wenn es ihnen gelingt, sie zu stehlen. Es ist eine grundlegende Methode, um Daten sowohl bei der Speicherung als auch bei der Übertragung zu schützen.
Datenmaskierung ist eine Methode zum Schutz sensibler oder vertraulicher Daten, indem die ursprünglichen Datenwerte verschleiert oder versteckt werden. Dazu kann die Erstellung einer realistischen, aber synthetischen Version von Daten gehören, die sensible Informationen wie Kreditkartennummern oder Namen durch strukturell ähnliche, aber fiktive Daten ersetzt. Ziel ist es, ein brauchbares Dataset für nicht produktionsrelevante Umgebungen wie Softwaretests oder Mitarbeiterschulungen bereitzustellen, ohne dabei echte, sensible Informationen preiszugeben. So können unbeabsichtigte Datenlecks verhindert und gleichzeitig die Funktionsfähigkeit und Testbarkeit eines Systems gewährleistet werden.
Bei Zugriffskontrolle wird geregelt, wer auf welche Daten oder Systeme zugreifen kann. Dies geschieht in zwei Schritten: Authentifizierung, die die Identität des Benutzers beispielsweise durch ein Passwort oder biometrische Daten verifiziert; und Autorisierung, die festlegt, was der verifizierte Benutzer mit den Daten tun darf. Das Konzept der Zugriffskontrolle mit den geringsten Berechtigungen bedeutet, dass Mitarbeitenden, Auftragnehmern oder Kund:innen nur das Mindestmaß an Zugriff gewährt wird, das für ihre Aufgabe oder Rolle erforderlich ist, und nicht mehr.
Ein Intrusion Detection System (IDS) überwacht den Netzwerkverkehr auf verdächtige Aktivitäten oder bekannte Bedrohungen. Wenn es etwas findet, sendet es eine Warnung an einen Administrator. Ein Intrusion Prevention System (IPS) tut dasselbe, kann aber auch sofortige Maßnahmen ergreifen, um die Bedrohung zu blockieren, z. B. das Löschen böswilliger Netzwerkpakete oder das Sperren der Quell-IP-Adresse, bevor sie Schaden anrichten kann.
Datensicherheit ist für Unternehmen aller Größen von entscheidender Bedeutung und in vielerlei Hinsicht wichtig. Seine primäre Rolle besteht darin, sensible Daten vor allen Arten von Bedrohungen und unbefugtem Zugriff zu schützen, sei es vor externen Angriffen, böswilligen Insidern oder menschlichem Versagen. Mit Tools wie Verschlüsselung und Zugriffskontrolle schützen Datensicherheitsprozesse Daten wie Zahlungsdetails von Kund:innen, Gesundheitsakten oder geistiges Eigentum.
Der Aufbau und die Aufrechterhaltung des Kundenvertrauens ist eine weitere wichtige Rolle der Datensicherheit. Der Ruf eines Unternehmens hängt oft davon ab, wie gut es seine Daten schützt – und verschafft ihm einen Wettbewerbsvorteil, wenn die Menschen dadurch mehr Geschäfte mit einem Unternehmen machen, dem sie vertrauen.
Datensicherheit ist mehr als nur eine Geschäftspraxis, sondern eine rechtliche Notwendigkeit. Eine wachsende Anzahl globaler Verordnungen (einschließlich der DSGVO und des Health Insurance Portability and Accountability Act, HIPAA) schreiben vor, dass Unternehmen spezifische Sicherheitsmaßnahmen zum Schutz von Verbraucherdaten ergreifen müssen.
Die Risiken, die bei der Implementierung einer starken Datensicherheit entstehen, sind schwerwiegend. Der finanzielle Schaden kann erheblich sein: Er reicht von direkten Kosten für die Reaktion auf Vorfälle über Anwaltsgebühren und Geldstrafen bis hin zu Geschäfts- oder Betriebsverlusten durch Ausfallzeiten. Reputationshalber kann ein Datenschutzverstoß zu negativer Medienaufmerksamkeit und einem Verlust des Kundenvertrauens führen – und mit der Zeit könnten die finanziellen Folgen aus verlorenem Geschäft schwerwiegender sein als die ursprünglichen finanziellen Strafen. Ein unzureichender Datenschutz kann auch zu rechtlichen Problemen führen, darunter Klagen von betroffenen Personen, deren Daten kompromittiert wurden, oder Strafen oder Einschränkungen durch Aufsichtsbehörden.
Hier einige der wichtigsten Vorteile der Implementierung starker Datensicherheitspraktiken.
Starke Datensicherheit bietet eine robuste Verteidigung vor Cyberangriffen und Datenschutzverletzungen und schützt sensible Informationen vor unbefugtem Zugriff und Diebstahl.
Unternehmen müssen starke Datensicherheitsmaßnahmen implementieren, um zwingende gesetzliche Anforderungen und Branchenstandards zu erfüllen, Daten zu schützen und kostspielige Strafen und Strafen zu vermeiden.
Durch die Priorisierung der Datensicherheit baut ein Unternehmen Vertrauen bei seinen Kund:innen auf und verbessert so seinen Markenruf als zuverlässige und sichere Einheit.
Cyberangriffe oder andere Verstöße können zu Betriebsstörungen und Geschäftsverlusten führen. Mit effektiver Datensicherheit können Unternehmen jedoch Maßnahmen ergreifen, um sicherzustellen, dass Systeme und Daten für einen reibungslosen Betrieb verfügbar bleiben.
Neue Kunden und Partner werden stärker von Unternehmen angezogen, die Datensicherheit bevorzugen, und Bestandskund:innen werden länger bleiben. Ein zuverlässiger Schutz von Kundendaten hebt Unternehmen von der Konkurrenz ab und bringt einen höheren unternehmerischen Mehrwert mit sich.
Datensicherheitsverfahren bergen Risiken und Schwachstellen können zu einer Reihe von Auswirkungen beitragen. Diese Risiken können unter anderem Folgendes umfassen:
Böswillige Außenstehende können sich unbefugt Zugriff auf sensible Daten eines Unternehmens verschaffen, indem sie Systemschwachstellen durch Phishing, Malware oder andere Hacks ausnutzen.
Risiken können von innen kommen, sei es durch böswillige Akteure, kompromittierte Insider oder menschliches Versagen. Mitarbeiter, ehemalige Mitarbeiter, Auftragnehmer oder andere Partner mit autorisiertem Zugriff können vertrauliche Daten absichtlich oder versehentlich preisgeben, was ein erhebliches Risiko für das Unternehmen darstellt.
Menschliches Versagen kann auch zu weitverbreitetem Datenverlust oder unbefugter Offenlegung führen, wie z. B. versehentliches Löschen von Dateien oder unsachgemäße Datenbankeinrichtung.
Unternehmen wissen möglicherweise nicht, dass ihre Software und Anwendungen Schwachstellen aufweisen, die Angreifer ausnutzen können, um Sicherheitskontrollen zu umgehen und Daten zu kompromittieren.
Der erfolgreiche Schutz sensibler Daten mag kompliziert erscheinen, aber die gute Nachricht ist, dass Unternehmen über viele verwertbare Strategien verfügen, um ein resilientes Datensicherheitsframework aufzubauen.
Unternehmen können Schwachstellen mit regelmäßigen Risikobewertungen erkennen und priorisieren. So tragen sie dazu bei, dass sich die Sicherheitsressourcen auf die wichtigsten Bedrohungen für den langfristigen Schutz und die Compliance konzentrieren.
Indem autorisierte Benutzer nur auf die Daten zugreifen, die sie für eine Aufgabe oder ihre Rolle benötigen, können Unternehmen das Risiko interner Bedrohungen oder Datenschutzverletzungen (böswillig oder versehentlich) minimieren. Dies ist sowohl für die Sicherheit als auch für die langfristige Einhaltung von Vorschriften von entscheidender Bedeutung.
Sensible Daten können anfällig und gefährdet sein, wenn sie gespeichert oder übertragen werden. Die Verschlüsselung schützt sie vor unbefugtem Zugriff, da jeder, der in den Besitz der Daten gelangt, ohne Schlüssel nicht darauf zugreifen kann. Unbefugten Zugriff zu verhindern, ist eine Grundvoraussetzung für die Einhaltung gesetzlicher Vorschriften und hilft beim langfristigen Datenschutz, selbst bei Systembrüchen.
Indem Unternehmen detaillierte Pläne im Voraus vorbereiten, können sie schnell und effektiv auf einen Sicherheitsvorfall reagieren. Diese Vorbereitung und Reaktion kann Schäden minimieren und eine schnelle Rückkehr zum normalen Geschäft ermöglichen, um die langfristige betriebliche Resilienz zu gewährleisten.
Sicherheit sollte von Anfang an direkt in das Systemdesign integriert werden, damit sie eine Kernkomponente statt eines Nachdenkens ist. Der Aufbau eines integrierten Datensicherheitsprozesses schafft eine robustere Grundlage für langfristigen Schutz und Compliance.
Kontinuierliche Überwachung hilft Unternehmen, verdächtige Aktivitäten zu erkennen. Dies ermöglicht proaktive Reaktionen auf potenzielle Bedrohungen, die Schäden und Verluste minimieren, von rechtlichen über finanzielle bis hin zu rufbezogenen Fragen. Kontinuierliche Überwachung trägt dazu bei, das Risiko größerer Verstöße zu verringern.
Branchenspezifische Vorschriften zur Einhaltung von Datensicherheitsstandards richten sich nicht nur an Unternehmen, was sie tun müssen, sondern sind auch gesetzlich vorgeschrieben. Einige der unten aufgeführten Beispiele sind datenschutzkonforme Vorschriften, die jedoch die Datensicherheit zu einem obligatorischen Bestandteil der rechtlichen und operativen Verantwortung eines Unternehmens machen. Sie erfordern Transparenz darüber, wie Unternehmen personenbezogene Daten verwenden, und geben Einzelpersonen das Recht, zu kontrollieren, wie sie verwendet werden.
Die DSGVO ist eine der wichtigsten Vorschriften für Datenschutz und Datensicherheit weltweit. Sie schreibt vor, dass jede Organisation, die personenbezogene Daten von EU-Bürger:innen verarbeitet, ihre Regeln zum Schutz dieser Daten durch spezifische technische und organisatorische Maßnahmen einhalten muss. Darüber hinaus müssen Unternehmen Einzelpersonen Rechte im Zusammenhang mit ihren Informationen gewähren, darunter Zugriff und Löschung.
HIPAA gilt für Unternehmen, die mit geschützten Gesundheitsinformationen (Protected Health Information, PHI) arbeiten, wie Gesundheitsdienstleister, aber auch deren Geschäftspartner. Die HIPAA Security Rule verpflichtet sie, Sicherheitsmaßnahmen zu ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten zu gewährleisten. Diese Schutzmaßnahmen werden als administrative, physische und technische Möglichkeiten zum Schutz sensibler Daten aufgeführt.
Der Payment Card Industry Data Security Standard gilt für Unternehmen, die Daten von Karteninhabern annehmen, speichern, verarbeiten oder übertragen. Die Norm verpflichtet sie, ein sicheres Netzwerk zu unterhalten, Karteninhaberdaten zu schützen und ihre Sicherheitssysteme regelmäßig zu überwachen und zu testen.
CCPA ist eine weitere große regionale Vorschrift, die kalifornische Unternehmen einhalten müssen, wenn sie bestimmte Schwellenwerte für Umsätze, Datenverarbeitung oder Data Sharing einhalten. Sie verpflichtet sie, angemessene Sicherheitsmaßnahmen zu ergreifen, um die personenbezogenen Daten der Einwohner Kaliforniens zu schützen und ihnen das Recht zu geben, zu erfahren, welche Informationen über sie erfasst werden, dem Verkauf zu widersprechen oder seine Löschung zu beantragen.
Es gibt zwar Vorschriften, Risiken und potenzielle Schwachstellen beim Schutz sensibler Daten, aber es gibt viele verwertbare Schritte und Best Practices, die sie befolgen können, um die Datensicherheit aufzubauen und aufrechtzuerhalten. Dazu können unter anderem gehören:
Durch die regelmäßige Evaluierung von Systemen können Unternehmen proaktiv vorgehen und Cyberangriffen oder Datenschutzverletzungen vorbeugen, indem sie erkannte Schwachstellen oder Sicherheitslücken schließen. Sie können Risikobewertungen oder Penetrationstests durchführen, um Schwachstellen in der IT-Infrastruktur zu beseitigen.
Sensible Daten können geschützt werden, indem man einschränkt, wer darauf zugreifen kann – sowohl durch Einschränkungen des Zugriffs als auch durch Verschlüsselung. So entsteht eine grundlegende Verteidigungsebene, um Diebstahl oder Missbrauch der Daten zu verhindern.
Kontinuierliche Überwachung auf ungewöhnliche oder verdächtige Aktivitäten und die Überprüfung von Systemprotokollen ermöglichen es Unternehmen, Bedrohungen zu erkennen und auf diese zu reagieren, damit kleinere Vorfälle nicht zu größeren Verstößen werden.
Unternehmen können von Mitarbeitenden Schulungsmodule verlangen, die Cybersicherheitsthemen behandeln und Angriffe und Datenschutzverletzungen wie Phishing-Angriffe, Passwortsicherheit und Datenverschlüsselung verhindern. Die Schulung der Mitarbeitenden über Compliance-Anforderungen und die Erkennung und Bewältigung von Sicherheitsrisiken unterstützt robuste Datensicherheitspraktiken.
Unternehmen stehen viele verschiedene Datensicherheitstools zur Verfügung, die zu einer mehrschichtigen Verteidigungsstrategie beitragen können. Hier einige Beispiele für Datensicherheitslösungen:
Indem sensible Daten verschlüsselt werden, sind sie ohne den richtigen Schlüssel unlesbar. Dies kann eine letzte Verteidigungslinie sein. Wenn andere Sicherheitsmaßnahmen fehlschlagen und sich ein Angreifer Zugriff auf Daten verschafft, bleiben diese unbrauchbar.
DLP-Systeme fungieren als Gatekeeper, indem sie sensible Informationen automatisch erkennen und blockieren, um das Netzwerk zu verlassen, z. B. in einem E-Mail- oder Cloud-Upload.
IAM-Plattformen nutzen Authentifizierungs- und Autorisierungsrichtlinien und -technologien, um zu steuern, wer worauf zugreifen kann. Sie sind die erste Verteidigungslinie gegen unbefugten Zugriff auf sensible Daten und Systeme.
Der Einsatz von Systemen zur Sicherung sensibler Daten gewährleistet, dass diese wiederhergestellt werden können. Plattformen für Datensicherung und -resilienz erstellen sichere Kopien der Daten, damit ein Unternehmen im Falle einer Sicherheitsverletzung oder eines Angriffs weiterhin über die nötigen Informationen verfügt und schnell zur Arbeit zurückkehren kann.
Datensicherheit ist ein sich ständig weiterentwickelndes Thema und es entstehen immer neue Trends. Hier einige Beispiele für Trends, die die Zukunft der Datensicherheit prägen:
KI-gestützte Sicherheit nutzt maschinelles Lernen, um riesige Datenmengen zu analysieren und Bedrohungen schneller und genauer zu erkennen als Menschen. Diese schnelle und frühzeitige Erkennung von Musterabweichungen kann potenzielle Verstöße verhindern, bevor sie auftreten. Durch die Automatisierung der Bedrohungserkennung und -reaktion können Systeme lernen und sich auf neue Angriffsmethoden einstellen.
Daten, die nicht in herkömmlichen Datenbanken formatiert oder gespeichert sind, werden als unstrukturierte Daten bezeichnet und können aus E-Mails, Chats oder anderen Dokumenten stammen. Traditionell sind unstrukturierte Daten schwer zu schützen. Maschinelles Lernen kann diese Dateien entdecken, klassifizieren und schützen und verändert so grundlegend die Datensicherheit, indem es den Schutz der überwältigenden Mehrheit der Unternehmensinformationen ermöglicht.
Normalerweise beinhalten Ransomware-Angriffe das Verschlüsseln und Erpressen von Unternehmensdaten, um diese zu entschlüsseln. Eine neue Generation von Ransomware-Angriffen umfasst Datendiebstahl und öffentliche Bekanntmachung. Dies gestaltet die Zukunft der Datensicherheit, indem Unternehmen gezwungen werden, in resilientere Backups und Analysen zu investieren, die diese komplexen Angriffe erkennen können, bevor sie dauerhaft Schaden anrichten.
Unternehmen können ihre Daten bei mehreren Cloud-Anbietern haben, weshalb sie eine zentrale Verwaltung ihrer Datensicherheitsrichtlinien über all diese separaten Umgebungen hinweg benötigen. Dies vereinfacht das komplexe Sicherheitsmanagement, das auch bei Datenverschiebungen zwischen verschiedenen Cloud-Plattformen einen konsistenten Schutz bieten kann.
Zero Trust ist ein Prinzip, das davon ausgeht, dass kein Benutzer oder Gerät sicher ist, selbst wenn sie sich innerhalb eines Netzwerks befindet. Deshalb gilt: „Nie vertrauen, immer verifizieren“. Damit ist Identity Access Management (IAM) das Herzstück jeder Sicherheitsentscheidung und erfordert eine kontinuierliche Verifizierung, um Daten aus allen Blickwinkeln zu schützen.
Starke Datensicherheitspraktiken sind für Unternehmen von entscheidender Bedeutung, um rechtliche, finanzielle und Compliance-Auswirkungen zu verhindern, und sie unterstützen den Aufbau des Kundenvertrauens und die betriebliche Resilienz. Wenn sich Bedrohungen und Praktiken weiterentwickeln, sollten Unternehmen darauf vorbereitet sein, ihre sensiblen Informationen durch einen mehrschichtigen, proaktiven Ansatz gegen viele Angriffswinkel zu schützen.
1. Proaktive Schwachstellenbewertung: Bewerten Sie regelmäßig Systeme, um Sicherheitslücken zu erkennen und zu schließen, bevor sie ausgenutzt werden können. Dazu gehören gründliche Risikobewertungen und Penetrationstests.
2. Zuverlässige Zugriffskontrolle und Verschlüsselung: Schützen Sie sensible Daten, indem Sie streng begrenzen, wer darauf zugreifen kann und sie durch Verschlüsselung unlesbar machen. So wird sichergestellt, dass die Daten auch bei unbefugtem Zugriff geschützt bleiben.
3. Kontinuierliche Systemüberwachung: Führen Sie ständige Überwachung der Systemaktivitäten und Auditprotokolle durch, um ungewöhnliche oder verdächtige Ereignisse in Echtzeit zu erkennen und darauf zu reagieren, damit kleinere Bedrohungen nicht eskalieren.
4. Mitarbeiterschulung und Durchsetzung von Richtlinien: Vermitteln Sie Ihren Mitarbeitenden grundlegendes Wissen über Cybersicherheit, indem Sie sie regelmäßig zu Themen wie Phishing, Passworthygiene und Datenverarbeitung schulen. Die Durchsetzung klarer Richtlinien verstärkt eine starke Sicherheitskultur.
5. Sichere Drittanbieterbeziehungen: Ausweitung der Sicherheitsprotokolle auf alle Drittanbieter und Partner. Stellen Sie sicher, dass sie strenge Sicherheitsstandards einhalten, um Daten in der gesamten Lieferkette zu schützen.
Die vier Komponenten der Datensicherheit werden oft als „CIA-Triade“ bezeichnet, zusammen mit einem vierten Element, das sich auf proaktive Sicherheit konzentriert. Sie lauten:
Vertraulichkeit, um zu gewährleisten, dass sensible Daten vertraulich behandelt werden und nur autorisierten Personen zugänglich sind. Dies kann durch Verschlüsselung und Zugriffskontrolle erreicht werden.
Integrität, um zu gewährleisten, dass die Daten zuverlässig und genau bleiben. Um die Datenintegrität zu wahren, braucht es Tools, die Daten auf Änderungen oder Beschädigungen überwachen.
Verfügbarkeit, um sicherzustellen, dass Daten und die Systeme, die darauf zugreifen, autorisierten Benutzer:innen zuverlässig und einheitlich zur Verfügung stehen, wenn sie sie benötigen. Verfügbarkeit erfordert, dass Systeme funktionsfähig bleiben und Unterbrechungen wie Ausfallzeiten oder Serviceunterbrechungen durch den Einsatz von Datensicherungen und redundanten Systemen vermieden werden.
Die Rechenschaftspflicht (oder auch Audit) ist die jüngste Ergänzung zur Triade. Mit Überwachungssystemen und Auditprotokollen können alle Aktionen verfolgt werden, die sich auf Daten beziehen und wie sie verwendet werden, sodass die Aktionen eines Benutzers zu ihm zurückverfolgt werden können. Diese Aufzeichnung, wer auf Daten zugegriffen, sie geändert oder gelöscht hat, kann entscheidend sein, um Vorfälle zu erkennen und darauf zu reagieren und die Einhaltung gesetzlicher Vorschriften zu gewährleisten.
Obwohl es viele Arten von Bedrohungen und Zugangspunkten zu sensiblen Daten gibt, werden menschliche Schwachstellen als die häufigsten und schädlichsten Bedrohungen für die Datensicherheit angesehen. Denn Angriffe wie Social Engineering oder Phishing können die menschliche Psychologie austricksen und ausnutzen, selbst wenn ein System technisch solide und schwer zu durchbrechen ist. Sobald ein Angreifer sensible Informationen erhält, kann er Sicherheitssysteme in größerem Umfang kompromittieren, wie z. B. Malware (einschließlich Ransomware) installieren und dazu übergehen, sensible Daten zu finden und auszunutzen. Obwohl es auch eine Vielzahl technischer Bedrohungen gibt, wird das menschliche Element oft als häufigster Einstiegspunkt für Datensicherheitsvorfälle angesehen.
