Tipps zum Schutz vor Datenlecks Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


12.08.2009 Rudolf Felser

Tipps zum Schutz vor Datenlecks

Der Verlust sensibler Daten kann für Unternehmen zum Desaster werden. Wer sich an die Grundregeln hält, kann Pannen verhindern.

Vertrauliche Daten können heute allzu leicht in die falschen Hände geraten. Viele Unternehmen, die gutgläubig nach dem Motto "bei uns ist noch nie etwas passiert" handelten, haben bereits ein böses Erwachen erlebt. Genügend abschreckende Beispiele liefern die großen Datenskandale der letzten Jahre, bei denen weltweit persönliche Informationen über Millionen von Personen in die falschen Hände gerieten. Wie so oft lagen in diesen Fällen Unachtsamkeit beim Umgang mit vertraulichen Kundendaten und böse Absicht nahe beieinander.

Der Schutz vor Datenverlust (DLP, Data Loss Prevention) befasst sich mit zwei Problemen: Erstens, festzustellen, wo sensible Daten im Unternehmen einem Risiko ausgesetzt sind und zweitens, wie diese Daten das Unternehmen verlassen. Einer der zentralen Punkte ist Transparenz: Unternehmen sollten wissen, wie sensible Daten genutzt werden und welche Regeln und Vorschriften beim Umgang mit den Daten gelten. Dazu acht Tipps auf einen Blick:

1. Regeln für die IT-Security definieren. Jedes Unternehmen braucht eine schriftlich fixierte und an alle Mitarbeiter kommunizierte IT-Sicherheitsstrategie. Sie enthält sämtliche Vorschriften und Regeln, wie sensible Daten intern und mit Kunden, Lieferanten und Geschäftspartnern ausgetauscht werden dürfen. Ohne verpflichtende und zentral überwachte Sicherheitsregeln geht es nicht. Die Security-Vorschriften umfassen interne Anordnungen, aber auch branchenweite Regeln und die gültigen Datenschutzgesetze.

2. Unternehmensdaten segmentieren. Soll eine Lösung zum Schutz vor Datenverlusten eingeführt werden, muss ein Unternehmen zunächst einmal die vorhandenen Daten ermitteln und klassifizieren. Dabei wird festgelegt, welche Informationen allgemein zugänglich, welche vertraulich und welche streng geheim sind. Dazu kommt eine Dokumentation der Geschäftsprozesse, in denen sensible Daten zum Einsatz kommen. Für die Kontrolle der Einhaltung von Sicherheitsmaßnahmen ist dieser Punkt unerlässlich.

3. Sicherheitsrelevante Daten aufspüren. Wer weiß, wo sich im Unternehmen besonders sensible Daten befinden, kann dann auch Maßnahmen ergreifen, um sie optimal zu schützen. Denn nur in den seltensten Fällen verbleiben die vertraulichen Daten gut abgeschirmt im Rechenzentrum. Vertrauliche Kundeninformationen, Konstruktionspläne, Basisdaten für Preiskalkulationen oder Ausschreibungsunterlagen werden per E-Mail verschickt oder sind auf den Notebooks der Außendienstmitarbeiter zugänglich – manchmal unverschlüsselt und ohne sicheres Passwort.

4. Mitarbeiter regelmäßig schulen. Ergänzend zu allen technischen IT-Securitymaßnahmen der Datenklassifikation und zu den schriftlich formulierten Sicherheitsregeln ist es unabdingbar, dass Unternehmen ihre Mitarbeiter regelmäßig schulen und deren Sensibilität beim Umgang mit vertraulichen Daten schärfen. An konkreten Beispielen aus der betrieblichen Praxis lässt sich leicht aufzeigen, welche Gefahren beim leichtsinnigen Umgang mit sensiblen Informationen drohen.

5. Risiken des Datenverlusts bewerten. Unternehmen untersuchen, wie wahrscheinlich das Eintreten eines bestimmten Schadens ist und welche Auswirkungen der Schaden hätte. Die Risikoanalyse liefert die entscheidenden Informationen, um festzustellen, wo im Unternehmen anzusetzen ist und wie sich die gravierendsten Lücken am schnellsten schließen lassen.

6. Zugriff zu vertraulichen Daten regeln. Aus der Klassifikation der Daten leiten sich die Zugriffsrechte für Benutzergruppen ab. Über Arbeitsanweisungen definiert der Sicherheitsbeauftragte eines Unternehmens, wer in welchen Geschäftsprozessen befugt ist, bestimmte Daten zu erstellen und zu ändern. Aus der Kombination Klassifikation und Geschäftsprozesse wird dann über Verzeichnisdienste, etwa Microsoft Active Directory, geregelt, wer vertrauliche Daten an einen bestimmten Kreis von Adressaten verschicken darf. Damit verhindern Unternehmen, dass sensible Informationen unkontrolliert das Unternehmen verlassen.

7. Kommunikationswege überwachen. Wichtig ist, die Kommunikationswege, auf denen vertrauliche Daten das Unternehmen verlassen können, genau zu kennen und zu überwachen. Neben E-Mail und Instant Messaging betrifft dies auch den Export einzelner Files oder gar Teile der Kundendatenbank via USB-Stick oder anderen mobilen Speichermedien. Dazu ist Software zu installieren, die kontrolliert, wer, was, wohin und wie verschickt. Die Möglichkeiten der inhalts- und benutzerbasierenden Kontrolle ergeben sich aus den Zugriffsregeln, wie sie der IT-Securitybeauftragte definiert hat.

8. Datenverkehr verschlüsseln. Alle vertraulichen Informationen dürfen das Unternehmen nur verschlüsselt verlassen. Im idealen Fall gibt es eine automatische Verschlüsselung des Datenverkehrs, falls nicht, sollte sie dringend eingeführt werden. Die Verschlüsselung wird so zu einem wichtigen Baustein einer DLP-Lösung. Versucht dann beispielsweise ein Mitarbeiter versehentlich oder auch absichtlich sensible Daten unverschlüsselt per E-Mail-Anhang zu versenden, weist ihn die DLP-Lösung auf das Fehlverhalten hin und er hat die Möglichkeit, die Aktion zu stoppen.

"Die Gefahren bewerten und die Risiken mindern sind die zentralen Kriterien für eine durchgängige, ganzheitliche End-to-End-IT-Security", erläutert Michael Scheffler, Regional Director Central Europe bei Websense. "Websense versteht darunter Datensicherheit vom Ursprungspunkt der Datenkommunikation bis zu deren Endpunkt. Dazu wird ein vollständig integriertes Sicherheitskonzept benötigt, dass alle potenziellen Gefahrenpunkte berücksichtigt." (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.



Hosted by:    Security Monitoring by: