Skandal: Britische Steuerbehörde verliert Daten
Einhaltung von Compliance-Richtlinien ein Fremdwort in Großbritannien? - Auf zwei CDs sind die Daten von 25 Millionen Menschen per Kurier versendet worden und auf dem Weg verloren gegangen
Andreas Zeitler: "Handelte es sich in diesem Fall um ein Unternehmen, wären die Folgen katastrophal – erst recht, wenn auch der Kapitalmarkt davon betroffen wäre"
(23.11.07) - In Großbritannien ist gerade ein erheblicher Fall von Datenverlust bekannt geworden. Betroffen ist die britische Steuerbehörde. Auf zwei CDs sind die Daten von 25 Millionen Menschen per Kurier versendet worden und auf dem Weg verloren gegangen. Auf den CDs befanden sich Namen, Adressen, Geburtsdaten sowie Kontoinformationen. Angeblich habe die britische Regierung sogar schon seit dem 10. November vom Datenverlust gewusst, berichtete der englische "Guardian". Man vermutet, dass die CDs bereits am 18. Oktober in Nordostengland per Kurier nach London verschickt wurden, wo sie allerdings nicht eintrafen. Obwohl es eine interne Richtlinie gegen den Versand der Daten auf diesem Weg gab, konnte der Verlust trotzdem nicht verhindert werden.
Kritiker weisen darauf hin, dass diese Panne kein Einzelfall darstellt: So sollen beispielsweise in 2006 der Steuerbehörde 41 Computer entwendet worden sein, wahrscheinlich auch mit wichtigen Daten auf der Festplatte.
Aus aktuellem Anlass äußert sich Andreas Zeitler, Vice President und Regional Manager Zentraleuropa von Symantec, zu diesem Vorfall:
"Die Nachricht über den Verlust persönlicher Daten von rund 25 Millionen Bürgern in Großbritannien schlägt derzeit hohe Wellen. Die Diskussion über die politische Verantwortung überdeckt jedoch die eigentliche Problematik: Wie ist es möglich, dass ein Mitarbeiter eine solche Menge sensibler Daten auf zwei CDs brennen und dann per Kurier durch das Land schicken kann? Es darf als sicher gelten, dass die entsprechende Stelle über Richtlinien zur Datensicherheit verfügt. Jedoch zeigt der Vorfall, dass diese Maßnahmen offensichtlich nicht umfassend umgesetzt worden sind und ein übergeordnetes Konzept zur Datensicherheit nicht wirklich "gelebt" wird.
Das Argument, die Daten taugten nicht für kriminelle Aktivitäten, überzeugt in diesem Zusammenhang kaum – was wirklich schwer wiegt, ist der Vertrauensverlust als zwangsläufige Folge solcher Ereignisse. Handelte es sich in diesem Fall um ein Unternehmen, wären die Folgen katastrophal – erst recht, wenn auch der Kapitalmarkt davon betroffen wäre.
Tatsächlich erleben wir immer wieder, dass sich Unternehmen mit der Problematik möglicher Datenverluste an uns wenden. Dabei bestätigt sich, was aktuell auch in Großbritannien der Fall war: Die meisten Fälle von Datenverlust beruhen auf Umständen, die nur schwer vorherzusehen sind. Genau solche Faktoren sind jedoch keineswegs als höhere Gewalt, als Schicksalsschlag zu sehen, sondern können mithilfe wirksamer IT-Sicherheits-Richtlinien weitgehend ausgeschlossen werden. Das können sie aber nur dann, wenn sicher gestellt ist, dass die Richtlinien an jedem Punkt und von jedem Mitarbeiter konsequent beachtet werden. Wie aber kann dies gewährleistet werden – schließlich sind Richtlinien ja bereits verpflichtend formuliert?
In einigen Unternehmen hat sich die Einsicht durchgesetzt, dass es nicht reicht, den Mitarbeitern dieses und jenes Verhalten einfach vorzuschreiben. Vielmehr installieren diese Unternehmen technische Maßnahmen, die beispielsweise den Zugriff auf Anwendungen beziehungsweise bestimmte Vorgänge auf einen autorisierten Personenkreis beschränken. Mehr noch als ein Verbot können technische Lösungen im Rahmen einer ganzheitlichen Strategie für das IT-Risikomanagement die strikte Einhaltung der Sicherheitsrichtlinien gewährleisten. Nur so kann der Gefahr der Nicht-Beachtung durch Einzelne begegnet werden – ganz gleich, ob dies aus Nachlässigkeit oder böser Absicht geschieht.
… (Symantec hat) … bereits im Frühjahr 2007 im Rahmen einer Studie zu IT-Risiken, dem IT Risk Management Report, auf den immer noch stiefmütterlichen Umgang vieler Unternehmen mit IT-Risiken hingewiesen. Und das, obwohl die Unternehmen mehrheitlich der Ansicht sind, sicherheitsrelevante Ereignisse oder Verstöße gegen Compliance-Richtlinien würden sich massiv auf ihre Geschäftstätigkeiten auswirken. Was können Unternehmen dagegen tun? Die Implementierung einer ganzheitlichen IT-Risikostrategie, wie sie in erwähntem Report beschrieben wird, ist hier die Lösung. Dies gilt für mittelständische Unternehmen genau so wie für Konzerne. Dazu gehören Faktoren wie die Priorisierung und Quantifizierung des Risikopotenzials, dazu gehört vor allem aber auch die kontinuierliche Überprüfung der Richtlinien-Wirksamkeit und -Einhaltung.
Ob eine solche Strategie einen Vorfall wie den in Großbritannien immer und überall verhindern kann, sei dahingestellt. Mit den entsprechenden Maßnahmen hätte im Zweifelsfall jedoch dafür gesorgt werden können, dass der Mitarbeiter entweder keinen Zugriff auf die Daten oder aber keine Möglichkeit gehabt hätte, sie ohne weiteres auf die CDs zu brennen."
(Symantec: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>