Was geschehen kann, wenn Sicherheitsrichtlinien zum Schutz von Daten nicht ausreichend aufgestellt oder eingehalten werden, musste die britische Steuerbehörde im November 2007 erleben. Die gespeicherten Daten von 25 Millionen Briten verschwanden spurlos, nachdem ein Angestellter der Behörde diese auf CD gebrannt und per Kurier nach London geschickt hatte.
Ganz ähnlich die Nachricht über den Datendiebstahl durch einen Mitarbeitenden der LGT-Bank, Liechtenstein, und der Kauf dieser Daten durch die deutsche Steuerbehörde. Die Diskussion über die politische Verantwortung überdeckt jedoch die eigentliche Problematik: Wie ist es möglich, dass ein Mitarbeiter eine solche Menge sensibler Daten auf eine CD brennt und stiehlt? Es darf als sicher gelten, dass die entsprechende Stelle über Richtlinien zur Datensicherheit verfügt. Jedoch sind sie offensichtlich nicht mit technischen Massnahmen umgesetzt worden.
Datendiebstähle können mit Hilfe wirksamer Richtlinien zur IT-Sicherheit weitgehend ausgeschlossen werden, wenn deren Durchsetzung mit technischen Massnahmen unterstützt wird. Diese können beispielsweise den Zugriff auf Anwendungen beziehungsweise bestimmte Vorgänge auf einen autorisierten Personenkreis beschränken. Nur so kann der Gefahr der Nicht-Beachtung der IT-Sicherheitsrichtlinien, wie es durch böswilligen Diebstahl geschieht, begegnet werden. Mit den entsprechenden technischen Massnahmen hätte in Liechtenstein dafür gesorgt werden können, dass der Mitarbeitende entweder keinen Zugriff auf die Daten oder aber keine Möglichkeit gehabt hätte, sie ohne weiteres auf CD zu brennen.
Die Marktforschungsgesellschaft Gartner geht davon aus, dass etwa 70 Prozent der Datenpannen, die zu einem Informationsverlust führen, intern verursacht werden. Diese Schätzung sowie die Kosten eines Datenverlustes, insbesondere auch die Auswirkungen für das Image eines Unternehmens oder einer Behörde, unterstreichen das Potential dieser Bedrohungen.
Die Schäden, die einem Unternehmen durch Datenverlust entstehen, sind allerdings nur schwer in Zahlen auszudrücken. Dies liegt nicht zuletzt an den unterschiedlichen Perspektiven, die in Bezug auf den Begriff «Datenverlust» möglich sind: Manche Unternehmen ermitteln ihre Kosten über entgangene Einnahmen, andere über die Mittel für die Wiederherstellung der verlorenen Daten. Auch die Kosten, die durch Rechtsstreitigkeiten aufgrund von Datenverlust entstehen können, sind ein möglicher Faktor zur Bemessung der realen finanziellen Schäden durch einen Datenverlust.
Was können Unternehmen tun? Die Implementierung einer ganzheitlichen IT-Risikostrategie ist eine Lösung. Dies gilt für kleine und mittlere Unternehmen genauso wie für Konzerne. Dazu gehören Faktoren wie die Priorisierung und Quantifizierung des Risikopotentials, vor allem aber auch die kontinuierliche Überprüfung der Wirksamkeit der Richtlinien und deren Einhaltung. Moderne Software bietet beispielsweise die Möglichkeit, mittels Pop-up-Fenstern den Anwender auf die Verletzung einer Richtlinie aufmerksam zu machen. Dies schliesst Links in das Intranet zu den relevanten Security Policies ein. Schritt für Schritt erhöht sich somit die Awareness im Unternehmen.
Wie aber können Daten weiter vor Angriffen von innen oder «versehentlichem» Verlust durch Unachtsamkeit, Leichtsinn etc. geschützt werden?
Der Umgang mit etwa jeder 50. Datei auf Desktops und Shared-File-Servern, die vertrauliche Daten enthält, verstösst gegen interne Vorschriften und Compliance-Richtlinien. DLP-Lösungen wie beispielsweise Data Loss Prevention von Vontu sorgen dafür, dass diese an verschiedenen Orten im Netzwerk abgelegten Daten sowohl identifiziert als auch durch automatisch wirksame Regeln (Klassifikation, Speicherung, Archivierung, Verschlüsselung, Digital Rights Management etc.) präventiv vor unrechtmässigem Zugriff geschützt werden. Dabei sollte jede einzelne Verletzung der Datenschutzrichtlinien aufgedeckt werden, unabhängig von Ort, Zeitpunkt und Form.
Sensible Dateien werden basierend auf den implementierten Regeln von den weniger sicheren Speicherorten entfernt und in eine sichere Umgebung verschoben. Dieser Überwachungsmechanismus verhindert ebenfalls, dass sie wieder an einen nicht sicheren Speicherort kopiert werden können. Die relevanten Fragen dazu finden Sie im Kasten rechts unten.
Bei der umfassenden Überwachung der Datenausgänge und Endpunkte ist der E-Mail-Verkehr nur ein Teil des Problems. Instant Messenger, Blogs, USB-Sticks, CDs/DVDs und MP3-Player sind weitere potentielle Gefahrenquellen, die ein schnelles Kopieren ungesicherter Daten ermöglichen. Neben einer umfassenden Überwachung muss die Möglichkeit gegeben sein, die unsichere und unerwünschte Übertragung von Daten zu stoppen, zum Beispiel mit einer Lösung für Endpoint-Sicherheit. Durch entsprechende Regeln wird verhindert, dass sensible Daten sowohl im ursprünglichen Format (DOC, XLS, PPT etc.), als auch in ein anderes File-Format (z.B. PDF) konvertiert das Unternehmen verlassen können. Dies gilt für den Endpoint genauso wie für das Netzwerk.
Im Anschluss an die Identifizierung von Verstössen gegen Sicherheitsvorschriften und/oder Datenverlust sollte eine Automatisierung der erforderlichen Massnahmen erfolgen. Zusammen mit einer flexiblen Handhabung der Lösung, wie sie zum Beispiel manuell einstellbare Wahlmöglichkeiten bieten, wird die Konfigurationszeit und der Arbeitsaufwand reduziert.
Es gibt Programme, die die Möglichkeit bieten, die Mehrheit der auftretenden Regelverstösse basierend auf den implementierten Regeln automatisiert zu bearbeiten. Der Sender wird per Mail über den Vorfall benachrichtigt, der Zuständige wird zur Nachschulung des Mitarbeiters aufgefordert.
Bei richtiger Nutzung ist die Verschlüsselung ein wirksames Instrument, um die sichere Übermittlung von Daten zu gewährleisten. Allerdings sind verschlüsselte Daten nicht in jedem Fall zur Übertragung freigegeben, beziehungsweise sind zur Übertragung freigegebene Daten nicht immer verschlüsselt. Übermittlungen, die Verschlüsselungsregeln verletzen, müssen identifiziert, gestoppt und zu einem Verschlüsselungsserver weitergeleitet werden.
Die Überwachung interner Daten und der Mitarbeiter-Kommunikation bringt nicht nur erhöhte Sicherheit, sondern auch mehr Verantwortung mit sich. Sie kann zu einem «gefühlten» Verlust der Privatsphäre der Mitarbeiter, generellem Misstrauen und – im schlimmsten Fall – zu Klagen führen. Aus diesem Grund sollte eine DLP-Strategie auch Massnahmen zum Schutz der Privatsphäre beinhalten. Die Überwachung der vertraulichen Daten sollte regelbasiert erfolgen, um keine Willkür aufkommen zu lassen und gezielte Massnahmen zu ermöglichen. Rollenbasierte Zugangskontrollen ermöglichen es, wichtige Daten nur bestimmten Personenkreisen zugänglich zu machen und so die Sicherheit zu steigern.
Die Richtlinien, die den Umgang mit sensiblen Daten regeln, sind schriftlich meist bereits vorhanden und im Intranet einsehbar. Die Regeln dienen dem Schutz vor Datenverlust und können nicht zur Leistungs- und Verhaltenskontrolle der Mitarbeiter herangezogen werden. Nur Aktivitäten, die gegen definierte Regeln verstossen, werden registriert, keinesfalls aber was und wie viel der Mitarbeiter macht. Das Rollenmodell stellt sicher, dass nur autorisierte Personen benutzerspezifische Daten einsehen können.
Die Aussage «Backup ist ein Muss» mag banal klingen, aber ein erheblicher Teil der Kosten bei einem Datenverlust entsteht durch die Massnahmen zur Wiederherstellung der Daten. Eine intelligente Archivierungslösung greift schon im Moment der Datenentstehung, um die neu geschaffenen Daten zu klassifizieren und eine Speicher-Strategie festzulegen. Eine solche Lösung sollte zudem in der Lage sein, individuell passende Klassifizierungen anzubieten und sich zudem in bestehende Content-Management-Systeme eingliedern lassen.
Fazit: Unternehmen können die Gefahren, die ihnen von innen drohen, mit Awareness-Kampagnen und geeigneten technischen Mitteln abwenden. Sie müssen aber bereit sein, Richtlinien nicht nur zu entwickeln, sondern auch durchzusetzen.
· Wo sind die sensiblen Daten gespeichert (File Server, Datenbanken etc.)?
· Wie wird mit diesen Daten umgegangen? Gibt es Prozesse, die neu definiert werden müssen?
· Wohin und an wen werden die sensiblen Daten gesendet?
· Wie wird die schriftliche Richtlinie zum Umgang mit sensiblen Daten schnell und effektiv im Unternehmen umgesetzt?
Bernd Bilek ist Pre-Sales Manager Compliance and Security Solutions EMEA bei Symantec
