It / Technik
Veröffentlicht vor 4 Jahre, 6 Monate

Die Wahrheit rund um das Thema Datensicherheit

Immer mehr Vorfälle zum Thema Datenverlust oder auch Datendiebstähle werden bekannt: Credit Suisse, HSBC in Genf, LGT und LLB in Liechtenstein, comparis.ch, Bank Julius Bär u.v.m. Der 22-jährige Bradley Manning hat in den USA vor einigen Monaten über 250‘000 Datensätze gestohlen,der WikiLeaks Plattform zur Verfügung gestellt und damit den wahrscheinlich grössten Datendiebstahl in der amerikanischen Geschichte geschafft. Die Liste nimmt kein Ende und der immer härter werdende Konkurrenzkampf der Unternehmen steigert das Interesse an relevanten Daten des Mitbewerbers.

Die Gefahren für das oftmals wertvollste Gut einer Unternehmung wie Patente, Rezepturen, Baupläne, finanzielle Informationen, Übernahmeinformationen oder auch einfach Kundendaten sind sehr vielfältig. Es drohen sowohl Gefahren von ausserhalb sowie auch innerhalb des Unternehmens, durch Sicherheitslücken in Systemen sowie beispielsweise von USB Ports, über welche innerhalb von wenigen Sekunden tausende von Datensätzen auf einen Stick kopiert und mit nach Hause genommen werden können.

Eine der möglichen Gefahrenquellen kann auch der eigene Mitarbeiter darstellen, welcher im Laufe seiner Karriere in verschiedene Situationen kommen kann; finanzielle Schwierigkeiten, familiäre Probleme oder Krankheit, um nur einige Beispiele zu erwähnen. Und hat man erst mal eine Hypothek für das Eigenheim aufgenommen und verliert unvorhersehbar seine Arbeitsstelle, treten unwillkürlich Existenzängste auf. In einer solchen Situation sinkt die Hemmschwelle sehr schnell und man wird offener gegenüber illegalen Aktivitäten wie beispielsweise mit geheimen Informationen einen Zusatzgroschen zu verdienen. 

Doch wie kann man die Datensicherheit im Unternehmen erhöhen?

Dies ist eine schwierige Frage. Sogar MELANI, die Melde- und Analysestelle Informationssicherung hält sich gemäss eigenen Aussagen zurück mit Warnungen über Sicherheitslücken, da dies auf Grund der grossen Masse die Abstumpfung der Sensibilität bewirken würde. Die Erfahrungen zeigen auch, dass Empfehlungen zur Behebung von Sicherheitslücken nur von sehr wenigen Benutzern umgesetzt werden. Grund dafür ist die Komplexität oder die Einschränkungen, die damit einhergehen würden.

Datensicherheit respektive IT Sicherheit generell ist aber nun mal mit Einschränkungen verbunden. Es müssen klare Regeln definiert werden und die Einhaltung dieser Regeln muss mit Androhungen von Konsequenzen bei der Nichteinhaltung untermauert werden. Ein für fast jedermann bekanntes Beispiel zu diesem Thema war die Einführung des Tragens eines Sicherheitsgurts in Fahrzeugen, welche auch erst mittels Bussgeldern mehr oder weniger durchgesetzt werden konnte. Doch wer möchte schon seinen Mitarbeitern noch mehr Regeln auferlegen und Einschränkungen in den Arbeitsprozessen einführen?

Damit wächst der Bedarf nach Sicherheitslösungen, welche nach wie vor sehr viele Freiheiten für einzelne Mitarbeiter oder Mitarbeitergruppen zulassen, keine zu straffen Regeln mit sich bringen und trotzdem sicher sein sollen. Sie müssen sich individuell den Arbeitsprozessen anpassen und möglichst einfach in der Bedienung sein sowie auch noch den meistens sehr geringen Budgets von IT Abteilungen entsprechen.

Anforderungen, die fast nicht gedeckt werden können

Systeme, welche individuell den Arbeitsprozessen angepasst werden können, sind immer sehr aufwendig und zudem sehr kostspielig. Hierzu gibt es aus anderen Bereichen genügend Erfahrungsberichte. Ein bekanntes Beispiel hierfür wäre die Einführung von SAP, die für ein Unternehmen einen sehr hohen Bedarf an Zeit, Aufwand und Kosten bedeutet.

Auch im Bereich Datensicherheit gibt es solche Systeme: Data Loss Prevention Lösungen – kurz DLP genannt. Damit lassen sich fast alle gewünschten Prozesse individuell auf den Benutzer und seine Bedürfnisse anpassen. Die Problematik der Implementierung solcher Systeme beginnt jedoch bereits vor der eigentlichen Installation: Es müssen sämtliche Daten, die meistens verteilt auf verschiedenen Systemen in verschiedenen Lokationen gespeichert sind, inventarisiert werden. Der ursprüngliche Ersteller einer jeden Datei muss ermittelt werden, welcher bestimmen sollte, wie kritisch der Inhalt davon ist. Nur mit Hilfe dieser Information lassen sich die Daten in entsprechende Gefahrenklasse einstufen, welche für das Regelwerk einer DLP Lösung benötigt werden.

Dies bedeutet für viele Unternehmen bereits ein Aufwand, der kaum umgesetzt werden kann. Die Daten wurden meist über Jahre „gesammelt“ und eine laufende Bereinigung findet selten statt. Und da Speicherplatz heute fast nichts mehr kostet, werden schnell einfach noch ein paar Gigabytes wenn nicht gar Terabytes angeschafft, bevor man sich die Zeit nimmt, um den Datensalat in Ordnung zu bringen.

Doch die Arbeit hat erst begonnen, denn die zweite Aufgabe ist die Ermittlung des Datenflusses: Welcher Anwender benutzt welche Daten über welche Wege? Nur wenn der Datenfluss klar definiert ist, können dem Benutzer die Profile zugeordnet werden, welche ihm die Flexibilität in seinen Arbeitsprozessen auch nach der Implementierung einer DLP Lösung noch gewährleisten. Wie flexibel jedoch diese Profile sein dürfen, muss vorab in entsprechenden Unternehmensrichtlinien betreffend der Benutzung von Daten definiert werden.

In diesen Richtlinien muss aus Sicht des Unternehmens pro Daten-Gefahrenklasse festgelegt werden, welche Gefahrenklasse wie gehandhabt werden muss und bei welchen Gefahrenklassen für welche Mitarbeiter Ausnahmen erstellt werden dürfen. Beispiel: Daten der Gefahrenklasse 5 dürfen nur noch verschlüsselt per Email versendet werden, da es sich hierbei um sehr kritische Informationen handelt. Eine Ausnahme stellen jedoch die Offerten dar, welche ausschliesslich von den Mitarbeitern des Verkaufs nach wie vor unverschlüsselt versendet werden können.

Nun sind einerseits die vorhandenen Daten inventarisiert und in Gefahrenklassen eingeteilt. Der Datenfluss ist bekannt und die Richtlinien des selbigen definiert. Somit können die Richtlinien mit den individuellen Wünschen der Mitarbeiter nach Flexibilität in Einklang gebracht und anschliessend alle Informationen im Regelwerk einer DLP Lösung abgebildet werden. All dieser Aufwand ist notwendig, damit individuelle Profile pro Benutzer oder Benutzergruppen abgebildet werden können und damit der Mitarbeiter in seinen gewohnten Arbeitsprozessen nicht zu sehr eingeschränkt wird.

Doch die Arbeit hat erst begonnen

Nach der Implementierung einer DLP Lösung hat die Arbeit erst begonnen. Jede neu erstellte Datei muss wiederum der richtigen Gefahrenklasse zugeordnet werden, damit das richtige Profil beim entsprechenden Benutzer greift. Man denke in diesem Zusammenhang nur mal an eine Pressemittelung, welche vor der Veröffentlichung streng geheim sein kann und nach der Veröffentlichung sozusagen für jeden Mitarbeiter zugänglich sein muss. Damit wird schnell klar, dass der Administrationsaufwand einer solchen Lösung enorm hoch ist.

Zudem muss jeder Mitarbeiter entsprechend geschult werden. Die besten Regeln nutzen nichts, wenn man sie nicht kennt oder sie nicht korrekt umsetzt. Eine einmalige Schulung ist hierbei selten ausreichend, sondern es handelt sich um einen kontinuierlichen Prozess, um das Bewusstsein aufrecht zu erhalten.

Wie sicher sind nun solche Lösungen?

Lösungen sind immer nur so gut, wie sie implementiert und unterhalten werden. Zudem streiten sich die Gelehrten darüber, ob die heute vorhandenen Lösungen alle Bedürfnisse abdecken. Es gibt Kritiker die behaupten, dass die verfügbaren Technologien noch in einer Anfangsphase stecken und Schwierigkeiten haben, um die feinen Anomalien zu entdecken, welche von ausgeklügelten Spionage-Netzwerken angewendet werden. Das würde bedeuten, dass die Daten trotz der grossen Anstrengungen doch nicht 100%ig abgesichert sind.

Solch komplizierte Regelwerke stellen zudem in sich selbst schon viele Gefahren dar: Je komplexer, desto unübersichtlicher, desto schneller schleichen sich Fehler ein und damit wiederum Sicherheitslücken für sensible Daten. Ausserdem können selbst mit so aufwendigen Sicherheitslösungen Datenabflüsse von berechtigten Benutzern nicht abgefangen werden. Hat nämlich ein Benutzer das Recht, Offerten unverschlüsselt per Mail zu versenden, ist er nach wie vor in der Lage, diese Informationen auch an einen Mail-Empfänger zu versenden, für dessen Augen der Inhalt nicht gedacht war.

Lohnt sich dieser Aufwand?

Wenn man den Mitarbeiter in seinen gewohnten Arbeitsprozessen nicht einschränken will, muss man – ob es sich lohnt oder nicht – diesen Aufwand auf sich nehmen. Alternativ kann man grundsätzlich auf den Einsatz von Datenschutzlösung verzichten und das damit verbundene Risiko auf sich nehmen oder Lösungen wählen, welche für die gewohnten Arbeitsprozesse Einschränkungen bedeuten.

Grundsätzlich auf eine Datenschutzlösung zu verzichten, kann schwerwiegende Folgen haben. Gelangen sensible Informationen beispielsweise zum Mitbewerber, kann dies im schlimmsten Fall den Untergang eines Unternehmens bedeuten. Die Frage ist somit, ob es wirklich notwendig ist, den Mitarbeitern heute so viele Freiheiten zuzugestehen. Denn auch die ausgeklügelsten Lösungen bieten keinen Schutz, wenn sie Ausnahmen zulassen. Ausnahmen bedeuten automatisch Hintertürchen, welche einen verbotenen Weg trotzdem unbeaufsichtigt lassen. Und wenn ein Mitarbeiter in einer Notsituation den Zusatzverdienst braucht, kann dieses Hintertürchen genutzt werden. Man muss nur wissen wie!

Kontaktinfo

Kilian Zantop

Name Kilian Zantop
Position Chief Technical Officer
Firma Barclay Technologies (Schweiz) AG
Adresse Grossmattstrasse 9
CH-8902 Urdorf
Newsletter

Newsletterabo

Melden Sie sich zu unserem kostenlosen Newsletter an. Sie haben jederzeit die Möglichkeit, das Abo zu kündigen.



Musterexemplar

Interaktives Muster

Musterexemplar