Viele Unternehmen haben in den vergangenen Jahren erheblich in Tools für das Data Security Posture Management (DSPM) investiert. Diese sollen helfen, Schwachstellen in der Datensicherheit und bei der Governance zu identifizieren. Doch die Praxis offenbart eine entscheidende Lücke: DSPM-Lösungen liefern zwar Erkenntnisse, haben aber keine operativen Möglichkeiten, um diese in konkrete Maßnahmen zu überführen.
Unternehmen müssen in der Lage sein, regulierte oder sensible Daten so zu verschieben und zu verwalten, dass ihre Integrität gewahrt bleibt.
(Bild: Gemini / KI-generiert)
Eine grundlegende Doppelfrage im Datenschutz ist: Wo befinden sich unsere sensiblen Unternehmensdaten, und wer hat Zugriff darauf? Die Antwort darauf zu finden, ist meist schwieriger als gedacht. Denn jahrelanges exponentielles Datenwachstum, Veränderungen in der IT-Infrastruktur, die rasante Einführung von Cloud-Lösungen und eine Vielzahl weiterer Faktoren machen diese Fragestellung hochkomplex. Ein Großteil der Unternehmensdaten liegt heute außerdem in unstrukturierter Form vor, etwa in E-Mails oder Dokumenten. Diese Dateien unterliegen oft mehrstufigen Zugriffsberechtigungen und uneinheitlichen Richtlinien.
Viele Unternehmen haben diese Probleme bereits erkannt und Millionen für DSPM-Lösungen ausgegeben, nur um dann festzustellen, dass diese Einblicke in mögliche Risiken geben, aber kein direktes Handeln erlauben. Zwar decken sie auf, wo potenzielle Probleme bestehen und was sich ändern muss. Doch Nutzer können aus diesen Erkenntnissen keine Aktionen ableiten.
Erkenntnisse ohne Maßnahmen
Die Situation entsteht dadurch, dass viele Firmen Datensicherheit und Governance viel zu lange vernachlässigt haben, weil die Modernisierung der Kerninfrastruktur und Initiativen zur digitalen Transformation im Vordergrund standen.
Als Reaktion darauf hat sich jetzt DSPM als Lösungskategorie etabliert. Die Technologie eröffnet strukturierte Einblicke zur Datengefährdung, sodass Sicherheits- und Governance-Teams Risiken bewerten und Lücken in der Zugriffskontrolle identifizieren können. Tatsächlich lassen sich mithilfe von DSPM in vielen Unternehmen potenziell schwerwiegende Probleme erkennen, die sonst in großen Dateibeständen unentdeckt blieben. Diese reichen von verwaisten Daten über zu weit gefasste Zugriffsberechtigungen bis hin zur Nutzung ungeeigneter Speicherorte.
Genau an diesem Punkt stoßen die DSPM-Prozesse allerdings häufig an ihre Grenzen. Die Lösungen zeigen zwar, wo Richtlinien und Realität auseinanderliegen. Doch daraus folgt nicht automatisch, dass Unternehmen diese Erkenntnisse in konkrete Verbesserungen umsetzen können. Diese Diskrepanz zwischen Wissen und Handeln führt im Endeffekt dazu, dass Unternehmen zwar ihre Risikosituation besser verstehen, sich die zugrunde liegende Gefährdung jedoch kein bisschen geändert hat.
Herausforderung im großen Maßstab
Die übermäßige Vergabe von Berechtigungen etwa ist in vielen Unternehmen ein Missstand. Ihn aufzuspüren, ist eine Sache, ihn in Hunderttausenden von Verzeichnissen zu beheben, jedoch eine ganz andere Herausforderung.
Ein weiteres Beispiel sind große NAS-Umgebungen, in denen eine einzige administrative Änderung Millionen von Dateien betreffen kann oder in denen Berechtigungen oft tief in komplexen Vererbungsstrukturen eingebettet sind. Ebenso gibt es vielleicht Sicherheitsrichtlinien, doch häufig ist kein automatisierter Mechanismus vorhanden, mit dem sich überprüfen lässt, ob die Live-Umgebung diesen auch entspricht.
Oft sind erhebliche Änderungen erforderlich, um solche datenbezogenen Risiken zu beseitigen. Und das möglichst, ohne die Geschäftsabläufe zu stören. Es gibt aber selten eine klare Methodik, um DSPM-Ergebnisse in Form von konformen, wiederholbaren Abhilfemaßnahmen umzusetzen. Hinzu kommt, dass mit zunehmendem Erkenntnisgewinn der Druck von operativer Seite wächst.
Die Funktionslücke schließen
Die fehlende Komponente im DSPM-Ansatz ist Datenmobilität. Um die Handlungslücke zu schließen, müssen beide Funktionen miteinander verzahnt sein. Nur so können Unternehmen eine Feedbackschleife aus Erkennung, Klassifizierung, Behebung, Verifizierung und kontinuierlicher Überwachung etablieren – und die Daten-Governance durch praktische Maßnahmen unterstützen.
Angenommen, ein globaler Konzern übernimmt ein weiteres Unternehmen. Quasi über Nacht landen Millionen von Dateien, Datenbanken und Cloud-Buckets des akquirierten Unternehmens in der vorhandenen IT-Umgebung. Niemand weiß genau, was sie enthalten oder wo sie sind. Hier setzt die Schleife an:
Erkennung: Im ersten Schritt geht es darum, alle Daten aufzufinden. Es heißt, Cloud-Speicher, SaaS-Apps, lokale Server und Datenpipelines zu durchsuchen, um eine umfassende Bestandsaufnahme zu machen. Anstatt bloß zu raten („Vermutlich befinden sich die Kundendaten irgendwo in diesen S3-Buckets“), kann jetzt auf eine klare, visuelle Zuordnung zugegriffen werden. Sie zeigt, welche Daten vorliegen und wo sie sich befinden.
Klassifizierung: Sind die Daten gefunden, geht es im nächsten Schritt darum, sie zu verstehen. Handelt es sich um Tabellen mit internen Budgetangaben oder um Listen mit Sozialversicherungsnummern? Personenbezogene Daten, Zahlungsdaten, Patientenakten oder Betriebsgeheimnisse werden entsprechend als solche gekennzeichnet. Jetzt weiß das verantwortliche Team nicht nur, wo die Daten liegen, sondern auch, welche Art von Informationen sie beinhalten und wie damit umgegangen werden muss.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Behebung: Sobald die Klassifizierung erfolgt ist, treten erste Probleme zu Tage. Möglicherweise befindet sich ein Ordner mit unverschlüsselten Kontonummern von Kunden in einem öffentlichen Speicherbereich, oder sensible Personalakten wurden an unbefugte Personen weitergegeben. Nun geht es darum, konkret zu handeln. Es reicht nicht aus, das Problem nur aufzuzeigen, sondern die Daten müssen verschoben, mit beschränkten Zugriffsrechten versehen, verschlüsselt oder gelöscht werden, um Compliance-Anforderungen zu erfüllen. So kommt die Governance voll zum Tragen.
Verifizierung: Jetzt muss überprüft werden, ob die Problembehebung erfolgreich war. Befinden sich die Dateien nun an der richtigen Stelle? Wurden die Berechtigungen eingeschränkt? Sind sensible Daten ordnungsgemäß maskiert? Es heißt sicherzustellen, dass die einzelnen Maßnahmen wie vorgesehen gegriffen haben.
Überwachung: Daten sind immer in Bewegung. Ständig werden neue Dateien erstellt, geteilt oder verschoben. Das Monitoring offenbart, wenn Daten gegen Vorschriften verstoßen oder neue vertrauliche Informationen hinzukommen. In diesem Fall beginnt die Schleife wieder von vorne, mit der Erkundungsphase.
Fünf Schritte zu mehr Datenkontrolle
In diesem Beispiel ermöglichen Datenmobilität und Zugriffsberechtigungen, dass DSPM-Erkenntnisse nicht nur dokumentiert, sondern auch korrigiert werden. Auch bei Migrationen und Konsolidierungsprojekten bietet dieser schrittweise Prozess den idealen Ansatz, um Berechtigungen zu vereinheitlichen und Richtlinien zuverlässig durchzusetzen: Im Rahmen von Datenverschiebungen lassen sich Zugriffsstrukturen den Governance-Anforderungen anpassen, anstatt sie unverändert zu übernehmen.
Grundsätzlich reicht es für einen effektiven Datenschutz nicht aus, zu wissen, wo regulierte oder sensible Daten gespeichert sind. Unternehmen müssen auch in der Lage sein, diese Daten so zu verschieben und zu verwalten, dass ihre Integrität gewahrt bleibt. In der Praxis bedeutet dies, das Posture Management in die Datenmanagement-Plattformen einzubetten.
Denn wenn Erkennungstools und Datenmobilitäts-Funktionen nur isoliert voneinander eingesetzt werden, erfolgt die Risikoerkennung unter Umständen viel schneller als die Risikobeseitigung. Unternehmen bleiben dann über längere Zeiträume hinweg bekannten Sicherheitsrisiken ausgesetzt. Wenn die beiden Funktionen hingegen zusammenspielen, dann wird die Problembehebung einfach Teil der regulären Betriebsabläufe.
:quality(80)/p7i.vogel.de/wcms/85/3c/853cb31461d6645416dd13e94644f9ff/0131873297v1.jpeg "Die ETERNUS AB-Familie mit dem Fokus auf All Flash und die ETERNUS HB-Familie als hybrides Storage-System. (Bild: Fsas Technologies)")
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4f/26/4f26ebf1ecaf5f5a8f8100b4b13a04df/0131946733v1.jpeg "Rubriks neue „Agentic Cyber Resilience“ könne Risiken mindern, die sowohl durch externe KI-Angriffe als auch durch den Einsatz interner Agenten entstehen. (Bild: Rubik)")
:quality(80)/p7i.vogel.de/wcms/3b/a4/3ba491c08daa6162f7e47853ff72d9a7/0131327372v1.jpeg "Vier europäische Tech-Unternehmen stellten in Berlin das erste vollständig souveräne Notfallwiederherstellungspaket Europas vor, dass die Geschäftskontinuität unabhängig von ausländischen Cloud-Anbietern sicherstellt. (Bild: Cubbit)")
:quality(80)/p7i.vogel.de/wcms/e7/26/e726f4bffe2cf01a36351bf24e899aca/0131784648v1.jpeg "Eine zukunftsfähige Backup-Architektur muss auf Prinzipien basieren, die über klassische IT-Standards hinausgehen. Grundvoraussetzung ist die konsequente physische und logische Trennung der Daten. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/89/b48944821f08409fc2b48bb981158b32/0131864837v1.jpeg "Der Supercomputer Alps basiert auf dem System Cray-EX von HPE. (Bild: CC BY-SA 3.0 / cscs.ch)")
:quality(80)/p7i.vogel.de/wcms/f4/63/f463b2ba92d461500039f7837fe34bb7/0131753254v1.jpeg "Künstliche Intelligenz mischt mittlerweile auch bei der Formel 1 mit. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/10/5710e617a19923ad867cd690e87311ac/0131790540v1.jpeg "Unternehmen müssen in der Lage sein, regulierte oder sensible Daten so zu verschieben und zu verwalten, dass ihre Integrität gewahrt bleibt. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6d/84/6d8433c262834eec1421e6a4a8208da4/0129016991v1.jpeg "Mit WeTransfer lassen sich Daten bequem über den Webbrowser teilen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2c/60/2c603428813b10ca939f8f22b5d09da0/0131784632v1.jpeg "Felix Kuhlenkamp leitet den Bereich Sicherheit beim Digitalverband Bitkom. Seiner Erfahrung nach scheitert digitale Sicherheit häufiger an fehlender Routine als an fehlendem Wissen. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/73/a3/73a38c6b825a6d80eaf53425c603c522/0131434411v1.jpeg "OpenEBS wurde für Kubernetes entwickelt und stellt dort Container-nativen Storage bereit. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4e/31/4e31cbf0807636f54ea7f6d60b7e5528/0131660732v1.jpeg "MailStore 26.2 steht ab sofort für alle Produktlinien zur Verfügung, einschließlich der Cloud-Variante und der Service Provider Edition. (Bild: MailStore)")
:quality(80)/p7i.vogel.de/wcms/99/b8/99b80de8dcbb3f9c1dc64e7e095c417c/0130967771v1.jpeg "LTFS ist ein Dateisystem für LTO-Bänder. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/cc/04ccc504aee183fd610969ddf31ebbc1/0130625872v1.jpeg "Für praktisch jeden Speicherzweck findet der geneigte Kunde auch passende europäische Angebote. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/59/4e/594e382999d9a47b5403169895e3ec2a/0131438659v1.jpeg "Simplyblock stellt NVMe-basierten, softwaredefinierten Block-Storage für I/O-intensive Workloads auf Kubernetes, Red Hat OpenShift und virtuellen Maschinen bereit. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/8c/e48c24923888321bdb37d6af61b98391/0131437680v1.jpeg "Das Quobyte-Speichersystem wurde für anspruchsvolle Aufgaben entwickelt, die große Datenmengen und hohe Performance benötigen, und eignet sich damit auch für KI-Anwendungen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/61/c9/61c9458652bb8c641220f941e078edbc/0131910829v1.jpeg "Everpure Data Intelligence soll alle Daten im Unternehmen erfassen und den Zugang zu ihnen eröffnen, ohne sie umständlich zu verlagern. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4f/06/4f06e790a4c0090fb14ea75b077151ce/0131123783v1.jpeg "Oberfläche mit älterem Design und Charme: Toolwiz Care. (Bild: Joos – MajorGeeks)")
:quality(80)/p7i.vogel.de/wcms/ff/5b/ff5b58682271becaa4ac5af26e0c88a5/0131434597v1.jpeg "LINBIT DRBD spiegelt die Daten von Festplatten, Partitionen oder logischen Volumes zwischen zwei oder mehreren Hosts. (Bild: Gemini / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/69/98/699837ff85e16/datacore-logo-700x700px.jpeg "datacore-logo-700x700px (DataCore)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ec/9d/ec9d99fa57e416ff5aa4020fea2567c5/0125893205v1.jpeg "In dieser Folge von „Speicherhungrig“ spricht Chefredakteur Dr. Jürgen Ehneß mit Sascha Hempe, Regional Sales Manager, DACH & Nordics bei Datadobi, über Datenmanagement, die Storage-Branche und Privates. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/53/db/53db6c4942780a64685d96926f77aee8/0128478562v1.jpeg "Veeam bündelt nach der Übernahme von Securiti AI Data-Resilience, Datenschutz, Governance und KI-Sicherheit in einer einheitlichen Plattform für bessere Datenqualität und vertrauenswürdige Grundlagen für souveräne KI- und IT-Betriebsszenarien. (Bild: © little_rat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/77/c777729cfb833e2196cfb6613a138466/0130382609v1.jpeg "Erweiterter Status für Datensicherheit (DSPM). (Bild: Commvault)")