Alleine im ersten Halbjahr 2009 waren 110 Millionen Menschen weltweit von Datendiebstahl und -verlust betroffen. Das geht aus dem KPMG-Data-Loss-Barometer hervor, welcher vom Wirtschaftsprüfungsunternehmen KPMG herausgegeben wird. Das heisst: Die Zahl der Betroffenen hat sich in den vergangenen drei Jahren mehr als verdoppelt.
Bedenkt man, dass Geschäftsdaten zu den wichtigsten Gütern von Unternehmen gehören, sollten Firmen diese Entwicklung auf keinen Fall auf die leichte Schulter nehmen – denn schneller, als einem lieb ist, kann sich Datenverlust für ein Unternehmen zu einem Desaster entwickeln. Man stelle sich beispielsweise die Folgen vor, wenn sich die falschen Personen Zugriff auf Klienten-Daten eines Arztes verschaffen oder ein Bauleiter eines Grossprojekts die Einsatzpläne seiner Arbeiter verliert und die ganze Planung durcheinanderbringt.
Unternehmen tun deshalb gut daran, sich frühzeitig mit dem Thema auseinanderzusetzen. Eine Frage, die sich in diesem Zusammenhang stellt, ist: Wo liegen die Gründe für Datenverlust? Und noch viel wichtiger: Wie kann ich ihn verhindern?
Die Ursachen sind vielfältig. In einem Punkt sind sich Experten jedoch einig: Der Mensch, also der Anwender, ist häufig mitschuldig. Dies lässt sich mit Zahlen belegen: Mit einem Anteil von 20 Prozent liegt laut KPMG der Diebstahl oder Verlust eines Computers auf dem ersten Platz, gefolgt von menschlichem Versagen und unsachgemässer Entsorgung von Datenträgern mit 12 Prozent. Cyber-Angriffe und sogenannte kriminelle Insider (mehr zu ihnen im Artikel ab S. 37) fliessen mit jeweils elf Prozent in die Statistik ein. Zu einem ähnlichen Schluss kommt auch eine andere Erhebung von Kroll Ontrack, einem Anbieter von Services und Software im Bereich Datenrettung: Menschliche Fehlbedienungen sind auch in diesem Bericht ein entscheidendes Problem für Datenverlust, insbesondere in virtuellen Umgebungen. Häufigste Ursache sind Fehlbedienungen und mangelndes Know-how.
Ist der Mitarbeiter also eine unkontrollierbare Fehlerquelle, die mit den Technologien völlig überfordert ist? Mitnichten. Denn oftmals liegt die Schuld gar nicht in erster Linie beim Mitarbeiter, sondern bei den Unternehmen selber. Diese versäumen es, ihre Anwender genügend für die Technologien, Produkte oder potentielle Risiken zu sensibilisieren. Gibt man den Anwendern nämlich klare Instruktionen und Guidelines beim Umgang mit den Informatikmitteln, lässt sich das Schlimmste bereits abwenden. Grundsätzlich sollte man dabei drei Bereiche in die Sicherheitsüberlegungen einbeziehen: die Sicherheit der Daten im Büro, beim Arbeiten unterwegs und bei der Übermittlung.
Die Sicherheitslücken im Büro zeigen sich bereits an banalen Beispielen. Zwar legen die meisten Unternehmen heute grossen Wert auf die Sicherung der Daten mittels Passwörtern. Dies macht auch durchaus Sinn. Zu denken, dass damit niemand unbefugt auf diese zugreifen kann, ist jedoch falsch. Denn: Es ist beispielsweise immer noch eine Tatsache, dass viele Mitarbeiter ihre Passwörter schlicht und einfach unter der Mausmatte aufbewahren.
Ein weiterer Punkt ist der Umgang mit Wechselmedien, also zum Beispiel USB-Sticks. Auf Wechseldatenträgern kann bösartige Software abgelegt sein, die schädliche Funktionen auf dem PC ausführen kann. Mitarbeiter sollten deshalb keine privaten oder ausgeliehenen USB-Sticks fürs Geschäft verwenden dürfen.
Da heute auch immer mehr unterwegs gearbeitet wird, kamen in den letzten Jahren neue Gefahrenquellen hinzu. Business-Handys und Notebooks gehören heute in vielen Unternehmen zur Grundausstattung jedes Mitarbeiters. Um von unterwegs aus effizient arbeiten zu können, brauchen Mitarbeiter Zugriff auf alle relevanten Unternehmensdaten wie E-Mails, Kontakte und Kalender. Dies erhöht die Gefahr für Datenverlust erheblich, da die portablen Geräte dafür über einen Exchange-Server direkt mit den Unternehmen verbunden sein müssen.
Wer denkt, dass die Gefahr in der Übermittlung der Daten liegt, liegt falsch. Diese ist nämlich sicher: Die Daten werden für die Übermittlung verschlüsselt und auf dem entsprechenden Endgerät wieder entschlüsselt. Vielmehr geht die Gefahr auch hier von den Mitarbeitern aus: Verlorene oder liegengelassene Laptops – beispielsweise im Zug – kommen leider häufiger vor, als einem lieb ist.
Sollte trotzdem einmal ein Handy oder Laptop mit heiklen Daten verlorengehen, gilt es Ruhe zu bewahren. Diverse Gerätehersteller bieten zum Beispiel aus der Ferne steuerbare Zerstörungs- oder Sperrmechanismen an. Diese Clients sind entweder vorinstalliert oder können auf das Gerät geladen werden. Bei Verlust oder Diebstahl kann der Besitzer so beispielsweise ein SMS schicken und die Daten entweder sperren oder löschen lassen. Es gibt auch Lösungen, die ein verstecktes SMS an den rechtmässigen Besitzer schicken, sobald die SIM-Karte im Gerät ausgewechselt wird. Dieses Tool unterstützt damit auch die Lokalisierung des Geräts.
Ein weiteres Problem, das man heute auch immer wieder, vor allem im Zug, beobachten kann, ist die Tatsache, dass Mitarbeiter sehr «freizügig» mit vertraulichen Informationen umgehen. Oftmals werden als vertraulich deklarierte Präsentationen ohne Sicherheitsvorkehrungen auf dem Laptop geöffnet und sind so für jedermann sichtbar. Dies wäre einfach zu verhindern: Ein Sichtschutz, sprich eine Folie beispielsweise, die man bequem über den Bildschirm legen kann, verunmöglicht den seitlichen Einblick.
Auch das sichere Abspeichern der Firmendaten will gelernt sein. Wenn Daten nur lokal, also auf einem Gerät im Büro gespeichert sind, sind sie bei einem Diebstahl oder unvorhergesehenen Ereignissen verloren und nicht mehr rekonstruierbar. Unternehmen tun deshalb gut daran, ihre Mitarbeiter anzuhalten, wichtige Daten immer an einem Ort abzuspeichern, wo die Daten rekonstruierbar sind, also nicht nur auf dem Desktop oder der Festplatte. Dies kann auf einem internen, aber auch externen Server sein oder aber via Online-Backups erfolgen. Die Bereitstellung der entsprechenden Möglichkeiten liegt allerdings in der Verantwortung der Unternehmen.
Externe Server können von professionellen Anbietern gemietet werden. Dabei werden Firmenapplikationen sowie Speicherplatz auf den Servern des Providers zur Verfügung gestellt. Service und Wartung sind meistens inklusive. Mit der Miete eines externen Servers werden die Firmendaten nicht im Büro «aufbewahrt», sondern in modernen, sicheren Rechenzentren. Bei Online-Backup-Lösungen speichert man die Daten zwar auf dem eigenen PC oder Notebook ab, zusätzlich werden sie jedoch periodisch und automatisch über Internet auf einem externen Server gesichert.
Der Internetanschluss ist ebenfalls eine Gefahrenquelle, die Unternehmer bei der Datensicherheit berücksichtigen sollten – egal, ob von unterwegs aus oder im Büro gearbeitet wird. Denn der häufigste Eintritts-punkt für Hacker oder schädliche Programme sind immer noch E-Mails und das Internet. Darüber gelangt die sogenannte Malware, also zum Beispiel Würmer oder Trojaner, auf den Computer.
Aus diesem Grund müssen KMU darauf achten, dass ihre PCs stets mit aktuellen Anti-Viren-Programmen, Firewalls und Spam-Filtern ausgestattet sind. Aber auch die Mitarbeiter müssen hier erneut sensibilisiert werden: Denn bei der Malware handelt es sich häufig um Dateien, die zuerst ausgeführt werden müssen. So hat es der Anwender buchstäblich selbst in der Hand, ob es tatsächlich zum unbefugten Zugriff kommt oder nicht – denn ausführbare Dateien müssen stets zuerst auf einem Gerät installiert werden. Diesem Vorgang geht meistens eine Warnung voraus, die der Anwender keinesfalls ignorieren darf, wenn er sich entsprechend schützen will.
Da Datenverlust für KMU schwerwiegende Folgen haben kann, ist es wichtig, dass sich Unternehmen frühzeitig und intensiv mit entsprechenden Massnahmen zur Verhinderung vertraut machen. Zahlreiche Lösungen sorgen dafür, dass Arbeiten im Büro und mobiles Arbeiten mit Handy oder Notebook immer sicherer wird – eine 100-prozentige Sicherheit bieten sie allerdings nicht.
Wenn es um den Schutz der eigenen Daten geht, darf eine Gefahrenquelle nicht ausser Acht gelassen werden: der Mitarbeiter. Von ihm geht letztendlich das grösste Risiko aus, sei es im Büro, unterwegs oder beim Zugriff auf das Internet. Mit Richtlinien, entsprechenden Guidelines und der Sensibilisierung für den Gebrauch der Dienstleistungen und Produkte kann dem Datenverlust allerdings sinnvoll entgegengewirkt werden.
