Sie sind hier: Home » Fachartikel » Administration

Datenverletzung in Unternehmen


Datenschutz-Disziplin direkt am Computer des Mitarbeiters durchsetzen
Was moderne Endpunkt-DLP-Lösungen leisten müssen

(08.11.10) - Obwohl das Thema Datenverletzung in Unternehmen in der letzten Zeit weniger Beachtung in den Medien fand, nehmen die Schäden, die Unternehmen weltweit durch Datenverletzung entstehen, immer noch zu und stehen weiterhin im Fokus der qualifiziertesten Marktforschung. Dies hat die jüngste Jahresstudie des Ponemon Institute "Cost of a Data Breach" erneut bestätigt, die dieses Jahr für die fünf führenden westlichen Wirtschaftsmächte, d.h. USA, Deutschland, Großbritannien, Frankreich und Australien, veröffentlicht wurde.

Derselbe Trend wurde im Markt für kleine und mittlere Unternehmen festgestellt. Nach den Ergebnissen des "Symantec 2010 Global SMB Information Protection Survey" gehört ein Datenverlust für kleine und mittelständische Unternehmen zu den größten Bedrohungen. Da dürfte die Feststellung keine Überraschung sein, dass die durchschnittlichen jährlichen Kosten eines Internetangriffs bei kleinen und mittelständischen Unternehmen fast 190.000 US-Dollar ausmachen.

Drei Hauptfaktoren haben zu diesem alarmierenden Trend beigetragen:

Der erste Faktor ist die "Consumerization von IT-Systemen" - die allgegenwärtige Verbreitung von Endgeräten wie Smartphones, Tablet PCs und Web 2.0-Software in der IT-Umgebung der Unternehmen.

Zweifellos haben sich die Social Media und das Peer-to-Peer-Networking, Instant Messaging, die Blogs und Webmail als äußerst effektive Instrumente in der modernen internetorientierten Wirtschaft erwiesen, in der die Aufmerksamkeit des Kunden Mangelware wird. Gleichzeitig sind sie aber auch eine wertvolle Quelle für Marketing, PR und sogar Vertrieb. Außerdem sind sie bereits für die interne Verwendung im Unternehmen unerlässlich geworden.

Im Hinblick auf die Informationssicherheit schaffen all diese Kommunikationsmittel jedoch neue Gelegenheiten für Datenlecks, die weder die herkömmliche Netzwerksicherheit noch Antivirus-Lösungen kontrollieren können. Wie groß die Besorgnis der Industrie über den Missbrauch der Social Media im IT-Bereich von Unternehmen ist, wurde klar, als im Mai 2010 der führende Verband zur Förderung von IT-Standards ISACA ein spezielles White Paper herausgab mit dem Titel: "Social Media: Business Benefits and Security, Governance and Assurance Perspectives", das Empfehlungen für Unternehmen zur sicheren Nutzung von Social Media in ihren IT-Systemen enthielt.

Nicht weniger riskant für Unternehmen scheinen die "Vorteile" von Peer-to-Peer (P2P)-Anwendungen zu sein. Anfang des Jahres wurden von der Federal Trade Commission in fast 100 US-Unternehmen umfangreiche Datenverletzungen auf Grund der unangemessenen Verwendung von P2P-Filesharing aufgedeckt.

Zweitens haben sich in den letzten zehn Jahren die von außen kommenden Bedrohungen für die IT-Sicherheit in Unternehmen strategisch verlagert: Ziel ist nicht mehr die IT-Infrastruktur, sondern die Jagd nach Daten oder, genauer gesagt, nach wertvollen Daten. Die Internetkriminalität ist inzwischen gut organisiert und kommerzialisiert. Derzeit erzielt sie einen Jahresumsatz von ca. 1 Milliarde US-Dollar.

Ganz wichtig ist, dass die modernen Bedrohungen aus dem Internet immer häufiger Endpunkt-Computer zum Ziel haben, weil diese weniger geschützt sind als Server, jedoch gleichzeitig Unmengen an sensiblen privaten Daten und Unternehmensinformationen speichern. Die Angriffe von außen werden immer raffinierter: man kombiniert modernste Software und Netzwerktechniken mit der ganzen Macht des Social Engineering, um Endpunkt-Computer mit kommerzieller Malware zu infizieren.

Ein unbedachter Klick auf ein Link in einer Spam-E-Mail reicht aus, um den Unternehmenscomputer mit einem kleinen Programm zu infizieren, das den RAM-Speicher nach Daten der gewünschten Art ausspionieren, die gewünschten Informationen heimlich speichern und später über verfügbare Kommunikationssysteme an ein Ziel im Internet senden kann.

Der dritte - und gefährlichste - Faktor der Datenverletzung ist schließlich der Mensch selbst, bzw. das Verhalten sogenannter "Insider". Falsches Verhalten und Nachlässigkeit stellen ein wesentliches Element der meisten Endpunkt-Datenlecks dar. Trotz aller Vorschriften und Richtlinien in einem Unternehmen, speziellen Schulungen, administrativen Sanktionen und Strafen wird sich die menschliche Natur nicht ändern: auch loyale Mitarbeiter werden versehentlich Fehler machen, seltsame Fehler - werden etwas tun, das sie nicht tun sollten, und böswillige Insider sind bewusst auf der Jagd nach Informationen, die von großem Wert sind.

Daher muss die Disziplin bei der Datenkommunikation und Speichersicherheit auf Unternehmenscomputern mit Mitteln durchgesetzt werden, die nicht vom Menschen abhängen - einem automatischen Werkzeug, das alle Benutzeraktionen im Rahmen der jeweiligen Aufgabenbereiche transparent zulässt und gleichzeitig versehentliche oder absichtliche Versuche blockiert, etwas außerhalb der festgesetzten Grenzen zu tun.

Und genau darauf zielen die Lösungen zur Verhinderung von Endpunkt-Datenlecks (DLP) ab. Ihre Hauptfunktion ist es, den Grundsatz des "geringsten Privilegs" präzise umzusetzen, wenn Benutzerrechte für den Datentransfer und die Datenspeicherung erteilt werden, und die Datenschutz-Disziplin direkt am Computer des Mitarbeiters durchzusetzen. Daraus ergibt sich, dass Endpunkt-DLPLösungen bereits im Voraus mögliche Datenleck-Szenarien verhindern, bei denen die Benutzer zu weitreichende Berechtigungen für Kommunikationswege besitzen, die nicht in ihren Aufgabenbereich fallen.

Was das Risikomanagement anbelangt, so reduziert sich dadurch unmittelbar die Gefahr, dass sensible Informationen unkontrolliert einen Unternehmenscomputer verlassen, egal ob durch Nachlässigkeit oder in böswilliger Absicht.

Die Möglichkeit, den Inhalt der zulässigen Kommunikation zu analysieren und nicht genehmigte Daten herauszufiltern, ist ein weiteres Merkmal der DLP-Lösungen, das ihre Effizienz als Tool zur Durchsetzung einer gewissen Disziplin bei der Sicherheit an Unternehmens-Endpunkten weiter erheblich steigert.

Moderne Endpunkt-DLP-Lösungen blockieren nicht nur beschränkte Vorgänge und Daten, sondern protokollieren jedes Detail und erstellen bei Bedarf Schattenkopien in zentralen Datenbanken, die zur Verfügung stehen, wenn die Einhaltung der Sicherheitsrichtlinien überprüft wird und Nachforschungen zu bestimmten Vorkommnissen angestellt werden.

Neben dem Hauptzweck, nachlässige oder böswillige Insider zurückverfolgen, identifizieren und bestrafen zu können, ist dieses Merkmal gleichzeitig ein großer Anreiz für die Mitarbeiter, die Regeln eingeführter Datensicherheitsrichtlinien nicht zu verletzen. Weil jeder von ihnen weiß, dass ihre Endpunkt-Kommunikation und Datenübertragungen überwacht und protokolliert werden, entwickelt sich durch das Bewusstsein, dass man "überwacht" wird, eine gewisse Selbstkontrolle durch unbewusste Umsetzung der Vorschriften - ein im Gedächtnis ansässiger "DLP-Agent", der häufig die Unternehmensdaten zuverlässiger schützt als die raffiniertesten Techniken.

Diese innere Selbstkontrolle ergänzt die DLP-Disziplin insgesamt messbar - wenn auch nicht fühlbar - und verdoppelt deren Leistung. Vor allen Dingen erhöht sich die Zuverlässigkeit eines DLP-Systems auch, weil der interne "DLP-Agent" ständig im Dienst ist und als virtuelles Backup für die Systemkomponente dient, wenn diese vorübergehend abgeschaltet oder gewartet wird. Natürlich sind Datenlecks und Disziplinverluste bei der Informationssicherheit so eng miteinander verbunden, was Kontext, Prozesse und Einfluss betrifft, dass eine Lösung, die einen dieser Punkte neutralisiert, dementsprechend die anderen Punkte abschwächt.

Es mag wie ein Wortspiel erscheinen, aber es ist wirklich sinnvoll, das Akronym "DLP" als "Discipline’s Loss Prevention" bzw. Verhinderung des Disziplinverlustes zu interpretieren und den Datensicherheitsbeauftragten bei DLP-Lösungen die Berücksichtigung der Aspekte Disziplin und Selbstdisziplin in allen Phasen eines DLP-Projektes zu empfehlen. In erster Linie wird dies auch helfen, die Erwartungen der Geschäftsleitung und der Endbenutzer zu erfüllen, sowie die Projektergebnisse realistisch zu bewerten und ordnungsgemäß zu interpretieren. (DeviceLock: ra)

DeviceLock: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

Compliance und Software-Audits Compliance-Monitoring in ERP-Systemen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen