Swiss Infosec AG - Newsfaelle: Datenabfluss und DLP (Data Leak Prevention), Einige Gedanken

Datenabfluss und DLP (Data Leak Prevention)

Einige Gedanken

Eingekeilt zwischen Datenschutzgesetz und wachsendem Datenschutzbewusstsein in der Bevölkerung versuchen Unternehmen, ungewollte „Datenfreisetzung“ zu vermeiden. Die Problematik liegt dabei viel weniger in der Technik als in der Konzeption der Lösungen und im Fein-Tuning. Wenn ein Unternehmen den Umgang seiner Mitarbeiter mit Kundendaten und Geschäftsgeheimnissen nicht regelt, werden mit einiger Sicherheit irgendwann Daten auf einem PC oder Datenträger gestohlen und die Panne gerät an die Öffentlichkeit.
Die Presse wird das Unternehmen mit gewissen Telekommunikationsunternehmen und Banken in eine Reihe stellen, die schon als „Datenschlampen“ verurteilt wurden. Verbraucherverbände werden Alarm schlagen, und das Unternehmen wird das Vertrauen seiner Kunden verlieren. Wenn ein Unternehmen den Umgang seiner Mitarbeiter mit Kundendaten oder Geschäftsgeheimnissen zu sehr kontrolliert, wird dies irgendwann als überzogene „Big Brother“-Mentalität an die Öffentlichkeit gelangen. Die Presse wird das Unternehmen mit gewissen Einzelhandelsketten und Betreibern schienengebundener Verkehrsmittel in eine Reihe stellen, die schon für Verletzungen der Privatsphäre ihrer Angestellten bekannt sind. Verbraucherverbände werden bezweifeln, dass das Unternehmen die Daten seiner Kunden respektvoller behandelt als die seiner Mitarbeiter. Und das Unternehmen wird – ja, genau: das Vertrauen seiner Kunden verlieren.

Man darf heute getrost voraussagen, dass in den Jahren 2009 und 2010 der Datenschutz generell Auftrieb bekommen wird, und zwar zugleich derjenige für Kundendaten und der für die Mitarbeiter. Damit verschärft sich ein lang schwelender Konflikt zwischen zwei Schutzzielen noch einmal erheblich – man kämpft nicht nur gegen „Schurken und Schussel“ zugleich, wie es das Unternehmen Clearswift formulierte, sondern man setzt sich zugleich auch dem Verdacht aus, als Unternehmen mindestens einer der beiden Kategorien anzugehören. Selbst wenn die Presse den Fällen von Mitarbeiterbespitzelung einerseits und Datenverlusten andererseits irgendwann nicht mehr so viel Aufmerksamkeit schenken wird wie zurzeit – im Gesetzgebungsprozess wird die Situation ausschlaggebend sein, die Firmen wie Lidl und die Bahn einerseits und die Telekom und die Berliner Bank andererseits 2008/2009 herbeigeführt haben, indem sie entweder überzogene oder unzureichende Sicherheitsmassnahmen umgesetzt oder einfach Sicherheitsziele mit anderen Zielen vermischt haben.

Auf den ersten Blick macht all dies Massnahmen zur Verringerung von Fällen extrem schwierig, bei denen Informationen eines Unternehmens ungewollt an die Öffentlichkeit oder in die Hände von Verbrechern oder einfach der Konkurrenz gelangen. Hinzu kommen die ohnehin schon bekannten Probleme: Immer mehr sensible Daten befinden sich auf einem ganzen Zoo höchst unterschiedlicher mobiler Geräte, während sich die Arbeit insgesamt immer mehr aus einer Umgebung mit festen Netzwerkgrenzen ins Überall und Jederzeit verlagert, sodass auch zentrale Ressourcen per Fernzugriff zugänglich sein müssen.
Und als würde all dies noch nicht reichen, erzeugt jetzt noch die Wirtschaftskrise ein erhöhtes Spannungsverhältnis zwischen Unternehmen und ihren Mitarbeiterstäben. Dies kann im Einzelfall zur Folge haben, dass die Loyalität für einen Arbeitgeber sinkt, der sich vielleicht gerade selbst als illoyal erwiesen hat. Oder die Angst vor dem Verlust eines Arbeitsplatzes verleitet dazu, sich unerlaubt Informationen zu verschaffen, die bei einem erzwungenen Arbeitsplatzwechsel nützlich sein könnten.

Wer auf solch eine Atmosphäre als Arbeitgeber mit verschärftem Misstrauen reagiert, macht alles nur noch schlimmer. Der organisatorischen Problematik steht kurioserweise ein technisches Arsenal entgegen, das jede Art von Data Leakage Prevention ermöglichen würde, käme nicht die leidige Abstimmung auf Business- Prozesse und die bereits beschriebenen differierenden Datenschutzziele hinzu: Verschlüsselung für Datenträger, mobile Geräte und Kommunikationskanäle ist längst einsatzreif, die Nutzung von Schnittstellen lässt sich regeln, Authentifizierung kann beliebig stark durchgeführt werden, Benutzerverwaltung erlaubt schnelles Provisioning und Deprovisioning, Monitoring-Tools ermöglichen die datenschutzgerechte Überwachung von Zugriffen auf sensible Informationen und die Kontrolle nach dem Vier-Augen-Prinzip.
Fällt Ihnen beim Lesen dieser Liste etwas auf? Wenn all diese Techniken tatsächlich wirksam gegen „Data Loss“ sind, ist es gar kein Wunder, dass so häufig von neuen Pannen die Rede ist. Man braucht auch gar keinen neuen Schub verärgerter Mitarbeiter, um die nächste Datenpanne zu provozieren.

Verschlüsselung nämlich kommt in der Unternehmenspraxis erst jetzt wirklich in Gang, mit Authentifizierung jenseits der veralteten Kennworttechnik tun sich die Anwender immer noch schwer, und von nach Monaten nicht gelöschten Zugängen zu Datenquellen für ausgeschiedene Mitarbeiter kann jeder Praktiker aus eigener Erfahrung berichten.
Die weitaus grösste Gefahr für Unternehmensdaten geht, da sind sich die Studien der letzten Monate ausnahmsweise einmal einig, nicht von böswilligen, sondern von versehentlichen Verletzungen der Informationssicherheit aus.

Vergessene Laptops, liegen gebliebene Datenträger, ungesicherte Heimarbeitsplätze und Zugriffskanäle – die Pannen geschehen fast immer, wenn jemand ganz brav seine Arbeit tun will und sich womöglich sogar noch besonders engagiert, nämlich unterwegs oder am Feierabend. Hier muss man also zuerst den Hebel ansetzen – auch deshalb, weil wirklich böswillige Mitarbeiter oder Pseudo-Insider nicht mit technischen Mitteln gestoppt werden können, die zu effizienten Arbeitsabläufen kompatibel sind: Wer tatsächlich Geheimnisverrat anstrebt, merkt sich zur Not auch, was er wissen muss, oder fertigt Fotografien an.

Echte „Data Loss Prevention“ könnte somit aus folgenden Komponenten bestehen:
Verschlüsselung für mobile Datenträger und Geräte. Die Zwangsverschlüsselung vertraulicher Informationen wäre ebenfalls wichtig, macht allerdings eine vorherige Klassifizierung notwendig. Auch eine Technik, die verloren gegangene Geräte ferngesteuert löscht, ist sinnvoll.
Professionelle Sicherung von Remote Access.
Einführen einer Benutzerverwaltung, die Rechte schnell entziehen und gewähren kann. Beides ist gleich wichtig, denn ein Mitarbeiter, der Informationen sehen muss und aufgrund technischer Unzulänglichkeiten keinen Zugriff erhält, wird sich einen Umweg suchen, um seine Aufgaben erfüllen zu können.
Beschränkung des Zugriffs auf Informationen auf jeweils die Bereiche, die ein Mitarbeiter wirklich benötigt.
Bei heiklen Daten Beschränkungen einführen, die den Zugriff nicht verhindern, aber sinnvoll regeln – so könnte man es erschweren, aus einer sensiblen Datenbank ohne Voranmeldung mehr als eine bestimmte Zahl Datensätze pro Tag abzurufen. Aus dem gleichen Grund lagen früher die Burgschätze in tiefen Kellern mit steilen Treppen.
Einführung einer Unternehmensethik und des Elements „sicheres Verhalten“ als karrierefördernder Faktor.

Zum Thema „Ethik“ sind vielleicht zusätzliche Erläuterungen nötig. Es gibt eine Untersuchung von Pricewaterhouse Coopers, nach der die pure Existenz eines Katalogs ethischer Unternehmensgrundsätze bereits die Fälle von Wirtschaftskriminalität in einem Unternehmen senkt. Für Psychologen ist dies nicht verwunderlich, denn Menschen orientieren sich am Verhalten der Menschen um sie herum – und wenn sich eine Gemeinschaft explizit Regeln gibt, steigt auch sofort die Hemmschwelle für den Regeln widersprechende Handlungen.

Sicherheitsschulungen sind ein weiterer Punkt. Wer um seinen Job fürchtet, aber nachweisen kann, in Sicherheitsdingen erfahren zu sein, hat einen echten Vorteil für die nächste Anstellung, denn er trägt dort nachweislich zur Senkung des Unternehmensrisikos bei. Ein Unternehmen, das seinen Mitarbeitern entsprechende Weiterbildung auch in schwierigen Zeiten gewährt und hausinterne Zertifizierungen verteilt, setzt überdies zugleich mehrere Signale: Es zeigt, dass es seine Mitarbeiter ernst nimmt und auf sie zählt, und es macht sicherheitsgerechtes Verhalten zu einer Eigenschaft, die man danach ungern wieder aufgibt. So sind auch „weiche“ Massnahmen ein echter Pluspunkt für Data Loss Prevention.

Quelle: Netigator.de; Dr. Johannes Wiele; 28.05.2009

Zurück