in Government, IT & Data security, Enterprise
,

Wo sind meine Daten geblieben?

Der Angestellte einer Polizeidienststelle schaltet die Überwachungskameras aus und stiehlt die Backup-Bänder mit den Mitarbeiternummern und Kontodaten von 80.000 Polizisten. Ein führender Adresshändler schaltet die Sicherheitssoftware aus und besorgt sich die persönlichen Daten von über 13.000 Menschen. Als der Datendiebstahl bekannt wird, verhängt die US-Kartellbehörde eine Strafe von 275.000 Dollar gegen das Unternehmen. Diese und andere Vorfälle haben sich tatsächlich ereignet. Sie werden regelmäßig in den Berichten der US-Verbraucherschützerorganisation „Privacy Rights Clearinghouse“ aufgelistet.

Elektronische Daten werden schon seit langem verschlüsselt. Bei der Verschlüsselung wird der Ausgangstext in eine Zeichenfolge umgewandelt („Schlüsseltext“), die für Unbefugte unverständlich ist. Der Empfänger der verschlüsselten Nachricht kann die Originalfassung mit Hilfe des „Schlüssels“ (einer Gebrauchsanweisung zum Entschlüsseln) wieder herstellen.  

„Verlorene und gestohlene Notebooks sind die Hauptursache für Datendiebstahl“, sagt Tim Matthews, Leiter Produktmarketing bei der Datenschutzfirma PGP Corporation. „Auf den gestohlenen Rechnern können sich natürlich auch Passwörter und Zugangscodes für Gebäude befinden, wodurch die Gebäudesicherheit gefährdet ist.“  

Verschlüsselung sei jedoch nur ein Element der Gesamtsicherheit, meint Ashley Richards, der bei Absolute Software für die interne Konzernkommunikation zuständig ist. „Verschlüsselung hilft nicht, wenn ein Mitarbeiter sein Passwort auf einen Notizzettel schreibt und den Zettel auf sein Notebook klebt. Mit einer IT-Tracking- und Verwaltungslösung können Sie herausfinden, wo sich Ihre Rechner befinden und wer gerade damit arbeitet. Bei verdächtigen Aktivitäten, etwa bei der Installation nicht erlaubter Software, kann Sie das System benachrichtigen.“

Verschlüsselungsstrategie nötig
Das Ponemon Institute, ein Forschungszentrum für Datenschutzmanagement, hat untersucht, wie verbreitet die Datenverschlüsselung ist. Dazu wurden IT-Spezialisten und Manager in fünf Ländern befragt. 85 Prozent der Umfrageteilnehmer aus den USA, 80 Prozent aus Großbritannien, 69 Prozent aus Australien, 67 Prozent aus Frankreich und 53 Prozent aus Deutschland berichteten von mindestens einem Datendiebstahl im letzten Jahr. Dabei darf nicht vergessen werden, dass die Dunkelziffer sehr hoch ist. Insgesamt stellten die Analysten einen wachsenden Bedarf an besserer Verschlüsselung fest. In der Mehrzahl der Unternehmen kommen bereits einfache Verschlüsselungsverfahren zum Einsatz.  

Datendiebstahl kann hohe Folgekosten haben: Die betroffenen Kunden müssen benachrichtigt werden, andere Kunden wandern ab. Immer häufiger verhängen Behörden auch empfindliche Geldstrafen. In Großbritannien muss ein betroffenes Unternehmen im Schnitt 1,7 Millionen Pfund und in den USA 6,6 Millionen Dollar zahlen. So kann schon ein einziger Diebstahl eine schmerzhafte Bresche in das Sicherheitsbudget schlagen.  

Für die Umfrageteilnehmer waren professionelle Datendiebe nicht die einzige Gefahr. Sie fürchteten auch, dass „verärgerte Mitarbeiter in der angespannten Wirtschaftslage wertvolle Kundendaten aus dem Unternehmen tragen“. PGP-Berater Matthews ergänzt: „Sicherheitsexperten installieren Schlösser und Alarmeinrichtungen, um Einbrüche zu verhindern. Wir sollten von ihnen lernen und „Datenschlösser“ installieren und die vertrauliche Daten verschlüsseln, die jeden Tag in den Aktentaschen der Mitarbeiter die Firma verlassen.“  

„Wir müssen stärker darauf achten, wie ernst unsere Geschäftspartner den Datenschutz nehmen“, fährt Matthews fort. Er verweist auf eine Statistik von Ponemon, nach der über 40 Prozent aller Datendiebstähle bei Geschäftspartnern oder bei externen Lohnbuchhaltungen und anderen Dienstleistern erfolgen. „Auch wenn die Partnerfirma Schuld ist, kann der Auftraggeber für die Verluste haftbar gemacht werden und erhebliche wirtschaftliche Einbußen erleiden.“  

Schutz mobiler Daten
Die Ponemon-Studien weisen darauf hin, dass es immer wichtiger wird, die Daten auf den Mobilgeräten der Mitarbeiter zu verschlüsseln. Im Zusammenhang mit Wachstumstechnologien wie Smartphones und Cloud Computing hat Matthews beobachtet, dass „die Angriffsfläche für Datendiebstähle breiter wird und die IT-Sicherheit vor neuen Aufgaben steht. Smartphone-Nutzer können vertrauliche Dateien empfangen und senden. Eine bequeme Sache, aber ein Smartphone lässt sich noch leichter stehlen als ein Notebook. Und beim Cloud Computing werden vertrauliche Daten irgendwo auf der Welt von Rechenzentren verwaltet, deren genauen Standort kaum jemand kennt. Das bringt die IT-Sicherheitsverantwortlichen gehörig ins Schwitzen, denn ihr direkter Einfluss endet bei den eigenen Servern und Clients.  Die Unternehmensdaten müssen durch Verschlüsselung so geschützt werden, dass sie überall auf der Welt sicher sind. Cloud-Anbieter sind ein gutes Beispiel für Unternehmen, die viele vertrauliche Daten verwalten und sich durch eine Kombination aus mechanischen Schutzmaßnahmen und starker Datenverschlüsselung schützen müssen.“  

Wenn es um die Verschlüsselung von stationären und mobilen Daten geht, entscheiden sich immer mehr Unternehmen für ein Plattformkonzept. Für dieses Konzept werden eine Reihe von Vorteilen angeführt. Verglichen mit den klassischen Lösungen – Software und Hardware von unterschiedlichen Anbietern werden irgendwie zu Insellösungen zusammengeführt – sind bei Plattformen die Einkaufskosten niedriger, die Verschlüsselungslösungen können zentral installiert und verwaltet werden, viele Verwaltungsaufgaben werden überflüssig und das System bleibt erweiterungsfähig.  

Richards von Absolute Software erinnert daran, dass der menschliche Faktor stets berücksichtigt werden muss, wenn es um das Warum und Wie von Datendiebstahl geht. „Klassische Sicherheitsschulungen sind unverzichtbar: Die Mitarbeiter müssen lernen, durch welche Situationen, Motivationen und Verhaltensweisen unbefugte Personen Zugang zu Orten erlangen, wo sie in Rechner eindringen oder diese stehlen können.“  

Ponemon hat eine Effektivitätsskala entwickelt, die 24 Sicherheitsaspekte berücksichtigt. Vier Aspekte sind vor allem für klassische Gebäude- und Zugangsschützer wichtig: A. Informieren Sie sich, in welchen Räumen und Rechnern vertrauliche Daten gespeichert werden. B. Beschränken Sie den physischen Zugriff auf Speichergeräte, auf denen vertrauliche Daten abgelegt wurden. C. Setzen Sie alle Datenschutzrichtlinien um, die für die Gebäudesicherheit relevant sind und drängen Sie Ihren Arbeitgeber, diese Umsetzung zu forcieren, bevor es zu Verstößen kommen kann. D. Informieren Sie sich, an welchen Punkten Mitarbeiter, Kunden und Geschäftspartner Zugriff auf Ihr Netzwerk haben. Schützen Sie diese Punkte besonders sorgfältig, denn sie sind durch Virtualisierungslösungen und andere technologische Fortschritte besonders gefährdet.

Comment

You must be logged in to post a comment.