Schutz vor Datendiebstahl Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


24.02.2010 Martin Kuppinger*

Schutz vor Datendiebstahl

Die Diskussionen über den Ankauf gestohlener Daten von Steuersündern zeigt, dass das größte Sicherheitsrisiko nicht externe Angriffe, sondern Insider-Attacken sind. Doch wie kann man sich vor solchen Attacken wirksam schützen?

Wie schützt man sich vor Insiderangriffen? Klar ist, dass es keine absolute Sicherheit gibt. Selbst im militärischen Bereich bleibt trotz immenser Investitionen in die Sicherheit ein Restrisiko. Das Ziel muss daher immer eine Abwägung zwischen den Risiken und den Kosten für ihre Entschärfung sein – die »Risk Mitigation«. Dabei ist in den vergangenen Wochen das Thema »Informationslecks« wieder in den Mittelpunkt der Diskussion gerückt, ein Thema, das auch schon in den vergangenen Jahren immer wieder durch auch in der Tagespresse diskutierte Ereignisse ins Blickfeld gekommen war.

DAS PROBLEM Dabei geht es darum, dass Informationen an die Öffentlichkeit oder an unerwünschte andere Personengruppen wie Mitbewerber oder den Staat gelangen, die eben nicht dort landen sollen. In den meisten Fällen werden diese Informationen bewusst oder unbewusst durch zugriffsberechtigte Personen herausgegeben. Angriffe von außen sind auch ein Problem, aber in den meisten Fällen nicht so schwerwiegend wie die Insider-Attacken. Dabei geht es nicht nur um den bewussten Diebstahl wie bei den Daten von Bankkunden. Oft handelt es sich schlicht um menschliches Versagen. Unverschlüsselt auf einem USB-Stick oder einer CD transportierte Daten, die dann an einem öffentlichen Ort verloren werden, gehören genauso dazu. Solche Fälle gab es beispielsweise vor zwei bis drei Jahren mehrfach in Großbritannien.

Die Herausforderung ist also Informationssicherheit bzw. konkreter ausgedrückt der Schutz vor Informationslecks. Das Thema »Data Leakage Prevention«, kurz DLP, ist entsprechend für viele IT-Entscheider bereits ein Thema. Es deckt allerdings, soviel vorab, nur einen Teil der Problematik ab.

DAS RISIKO Bisher wurden die Risiken oft unterschätzt. Gerade der Fall der Daten mit Bankkunden ist aber ein gutes Beispiel dafür, dass die Risiken sehr viel größer sind. Neben dem konkreten Schaden, der den Bankkunden, die Steuern hinterzogen haben, durchaus zu Recht entstehen kann, gibt es auch für die Banken erhebliche Risiken. Dass Steuerhinterziehung strafbar ist und sanktioniert werden muss, steht dabei außer Frage. Ob der Staat allerdings aktiv und erfolgreich die Kriminalität fördern muss, wie am Auftauchen etlicher weiterer CDs mit gestohlenen Daten deutlich wird, ist mehr als fraglich.

Das Risiko für die Banken ist zunächst einmal ein Imageschaden. Dieser kann aber auch konkrete wirtschaftliche Folgen haben, da das erschütterte Vertrauen von Bankkunden sich auf den Netto-Neugeldzugang- respektive -abfluss auswirken kann, also darauf, wie viele Gelder zusätzlich angelegt werden. Ein Abfluss hat wiederum Folgen nicht nur für die Gewinnsituation von Banken, sondern beispielsweise auch für deren Fähigkeit zur Kreditvergabe. Letztlich können sich solche Fälle also sehr massiv auf die wirtschaftliche Leistungsfähigkeit auswirken. Das gilt aber nicht nur für Banken, sondern auch für viele andere Unternehmen. Ein Wechsel von Kunden zu anderen Mobiltelefonanbietern beispielsweise bedeutet ebenfalls einen unmittelbaren und erheblichen wirtschaftlichen Schaden.

Dazu können auch noch weitere Kosten beispielsweise für Schadensersatz kommen. So hat ein Gericht in Liechtenstein unlängst entschieden, dass eine Bank für die verspätete Information von Kunden über gestohlene Daten Schadensersatz leisten muss, weil eine Selbstanzeige der Steuersünder nicht mehr möglich war. Man kann sich, abgesehen von der noch anhängigen Berufung, auch über die moralische Richtigkeit eines solchen Urteils wundern. Rechtliche Sanktionen, auch durch die Verschärfung von Regelungen für den Umgang mit personenbezogenen Daten, sind ein nicht zu unterschätzendes Risiko.

TAKTISCHE MASSNAHMEN Nun haben die meisten Unternehmen ja bereits Maßnahmen ergriffen, um den Zugriff auf sensitive Daten zu kontrollieren. Offensichtlich reicht das aber in vielen Fällen nicht aus. Vor allem bei Angriffen, die durch Mitarbeiter mit umfassenden Zugriffsberechtigungen ausgeführt werden, greifen die meisten Maßnahmen nicht. Andererseits kann man nicht innerhalb kürzester Zeit seine IT grundlegend verändern, sondern wird sich eher auf schnell einzuführende technische und ergänzende organisatorische Maßnahmen beschränken müssen.

Im organisatorischen Bereich zählen dazu die konsequente Durchsetzung des Vier-Augen-Prinzips bei sensitiven Aufgaben und Code-Reviews – mit einem entsprechenden Auditing. Außerdem ist auch das IT-Management gefordert, sich intensiv Gedanken über die Situation und Vertrauenswürdigkeit von Mitarbeitern zu machen, um beispielsweise Unzufriedenheit als einen häufigen Auslöser von Informationsdiebstählen frühzeitig adressieren zu können. Auch die Informationsklassifizierung ist sinnvoll, um besser abschätzen zu können, welche Informationen und Systeme wie geschützt werden müssen. Eine Vorgangsweise, die zwar im staatlichen und militärischen Bereich die Regel, im privaten Sektor aber immer noch eher die Ausnahme ist.

Auf der technischen Ebene ist ein leistungsfähiges PAM-Konzept (Privileged Access Management) unabdingbar, um Zugriffe mit privilegierten Konten wie dem root bei Unix und Linux besser kontrollieren zu können. Definiert werden sollte nicht nur, ob und wer das Konto nutzen darf, sondern auch welche konkreten Aktionen damit ausgeführt werden können.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr

Hosted by:    Security Monitoring by: