Die Datensicherheit im Unternehmen zu gewährleisten, wird immer anspruchsvoller. Das elektronische Geschäft weitet sich aus, Mobile Working ist zum Normalfall geworden und zunehmend werden Daten per Cloud Computing über das Internet bearbeitet und gespeichert. Hinzu kommen neue gesetzliche Auflagen wie zum Beispiel der Nachweis eines internen Kontrollsystems (SAS70 Type II) und regulatorische Vorschriften (FINMA-Rundschreiben).

All diese Herausforderung zu meistern, erfordert umfassende Spezialkenntnisse und zieht sich wiederholende, massive Kosten und Investitionen nach sich – in einem Randbereich, der für die meisten Firmen nicht zum eigentlichen Kerngeschäft gehört.

Ein sicheres ICT-Netzwerk und eine sichere ICT-Infrastruktur sind jedoch, und das dürfte jedem bekannt sein, die Basis des verantwortungsvollen geschäftlichen Handelns – denn darauf beruhen alle internen und externen Geschäftsprozesse und letztlich der Erfolg des Unternehmens. Dementsprechend sollten folgende altbewährten Schwerpunkte gesetzt werden:

? Sicherheit muss sein

Das kommerzielle Interesse, das eigene Geschäft – insbesondere Kundendaten, Handelsgeheimnisse, Forschungsresultate, Preisstrategien etc. – vor unbefugtem Zugriff zu schützen, ist für ein Unternehmen überlebenswichtig. ICT-Security muss deshalb höchste Management-Priorität haben.

? Risiken sicher identifizieren

Damit kritische Risiken proaktiv identifiziert werden können, ist die Unternehmensleitung gemäss revidiertem Aktienrecht verpflichtet, entsprechende Risikoanalysen durchzuführen und geeignete Schutzmassnahmen einzuleiten. Der Verwaltungsrat haftet dafür persönlich. Wichtig ist hier die Gesamtbetrachtung: Werden oder wurden sensitive Daten klassifiziert? Wie werden sie wirkungsvoll in der Ablage, bei der Bearbeitung und auf dem Transport geschützt? Sind die Prozesse entsprechend gestaltet und wird danach gearbeitet?

? Schlüssel zur Zusammenarbeit

Unternehmen arbeiten immer enger zusammen und tauschen sensitive Informationen aus. Das bedeutet, dass das Vertrauen in die sichere Verarbeitung und Speicherung der Informationen zwischen den Partnern sehr gross sein muss. Eine ungenügende ICT-Security beeinträchtigt die vertrauensvolle Zusammenarbeit. Im schlimmsten Fall verhindert sie sie sogar und kann zum Killerargument für eine strategische Zusammenarbeit werden. Das würde automatisch zu Wettbewerbsnachteilen führen. Die Kommunikationsverbindungen müssen also Vertraulichkeit und Integrität garantieren. Nur so können sensitive Daten bedenkenlos ausgetauscht, die Vorteile der elektronischen Datenverarbeitung genutzt und schliesslich medienbruchfreie Prozesse praktiziert werden.

? Internem Datendiebstahl vorbeugen

Datendiebstahl durch die eigenen Mitarbeiter kann ein Unternehmen substantiell schädigen – die aktuellsten Fälle bei diversen Finanz-unternehmen sind nur ein Beispiel dafür. Um Datendiebstahl vorzubeugen, empfiehlt sich der Einsatz von Sicherheitssoftware, die das unkontrollierte Kopieren von grossen Datenmengen verhindert. Diese sogenannten «Data-Loss-Prevention-Systeme» (DLP) sind heute bereits bei vielen Unternehmen erfolgreichim Einsatz. Was der Markt im Bereich DLP heute zu bieten hat, können Sie übrigens in der letzten Ausgabe Nr. 7/8 des Swiss IT Magazine in einer grossen Marktübersicht nachlesen.

Mit der rapiden Verbreitung moderner Handys, sogenannten Smartphones, ergeben sich für ICT-Security-Verantwortliche und Unternehmen derzeit ganz neue Probleme. Insbesondere der Erfolg von Lifestyle-Geräten wie dem iPhone stellt die IT vor neue Aufgaben.Das unangefochtene Blackberry-Imperium mit seinem kontrollierten, gesicherten Datenaustausch und der integrierten Verschlüsselung bekommt durch die Nachfrage der Mitarbeiter nach Lifestyle-Handys ernst zu nehmende Konkurrenz.

Die Palette an mobilen Arbeitsgeräten wird in Unternehmen also immer breiter und die Aufrechterhaltung eines angemessenen Sicherheitslevels immer komplexer. Es ist deshalb ratsam, für das Design und den Unterhalt der entsprechenden ICT-Sicherheitsinfrastruktur Experten hinzuzuziehen. Neben der Technik muss aber vor allem auch geregelt werden, wie Technologien und Geräte im Unternehmen zu nutzen sind:

• Was ist der Zweck der mobilen Kommunikation im Unternehmen? Aktive Unterstützung der Mitarbeiter im Aussendienst oder bequemes Lesen der E-Mail im Zug?

• Was soll mobil bearbeitet werden können? Nur E-Mail, Adressen und Kalendereinträge oder braucht es eine komplette Mobile-Office-Lösung?

• Wie hoch sind die Sicherheitsanforderungen? Genügt eine einfache Authentifizierung, oder ist eine Zertifikats-basierte Lösung erforderlich? Was passiert bei Verlust eines Geräts?

• Was soll verboten sein? Sollen zum Beispiel ungeprüfte Applikationen oder unverschlüsselte Geschäftsdokumente zugelassen werden? Kann dies durchgesetzt werden?

Je nach Antwort auf diese Fragen müssen auch Konsequenzen bei der Zulassung bestimmter Geräte gezogen werden. Wenn beispielsweise verlangt wird, dass sämtliche Daten auf den Geräten lokal und hardware-mässig verschlüsselt werden, fallen bereits etliche Geräte wie das iPhone für einen Einsatz weg. Eine sehr wichtige Rolle spielt ein zentrales Management der Endgeräte. Damit kann kontrolliert werden, welcher Mitarbeiter welches Gerät im Einsatz hat und was er damit machen darf. Falls ein Gerät verlorengeht oder gestohlen wird, kann dessen gesamter Inhalt gelöscht werden.