Verschlüsselung im Praxiseinsatz
Gegen den Datenklau beim Outsourcing
Outsourcing hat häufig den Nebeneffekt, dass ein erweiterter Personenkreis zu "Insidern" eines Unternehmens avanciert, das seine Aufgaben auslagert: Die Mitarbeiter der Dienstleistungsunternehmen brauchen Zugriff auf interne Ressourcen. Verschlüsselung verhindert hier, dass die Gelegenheit womöglich Diebe macht.
Outsourcing stellt in der Geschäftswelt eine attraktive Möglichkeit dar, das Know-how von
Spezialisten zu nutzen, ohne deren Kompetenzen im eigenen Haus aufbauen zu müssen: Sei es die
externe Personalberatung, die das interne Personalmanagement übernimmt, sei es der
IT-Dienstleister, der das Unternehmensnetzwerk und die firmeneigenen Datenbestände verwaltet.
Allerdings birgt der Zugang des Dienstleisters zu internen Daten und Dokumenten ein Risiko:
Informationsdiebstahl. Als Auftraggeber steht man vor der Frage, ob man das Risiko akzeptiert oder
Maßnahmen zur Vorbeugung ergreift. Eine Möglichkeit der Risikominimierung ist die Verschlüsselung
aller sensiblen Dokumente – vorausgesetzt, man setzt auf eine Verschlüsselungslösung, die sich an
die eigenen Geschäftsprozesse anpasst und die Anforderungen des Outsourcings berücksichtigt.
Risiken identifizieren
Für den Erfolg eines Outsourcing-Vorhabens ist es ausschlaggebend, dass auch die damit
verbundenen Risiken von vornherein identifiziert und in die Planungen mit einbezogen werden, damit
man die entstehenden Kosten im Business Case berücksichtigen kann. Die Ziele der Risikosteuerung
beim Outsourcing kann man in Risikovermeidung und Risikoübernahme unterteilen. Während bei
letzterem ein Risikoübergang vom Outsourcing-Geber auf den Outsourcing-Nehmer durch
organisatorische Maßnahmen wie das Abschließen geeigneter Service Level Agreements (SLAs) oder von
Vertraulichkeitsvereinbarungen und Arbeitsanweisungen erfolgt, setzt die Risikovermeidung auf
vorbeugende Maßnahmen (Bild links).
Voraussetzung ist in beiden Fällen die Identifikation und Bewertung aller Risiken. Grundsatz
beim Outsourcing ist, dass die Verantwortung für alle getroffenen Maßnahmen immer beim Unternehmen
selbst bleibt.
Sicherheitsrisiko Innentäter
Seit Jahren schon sprechen verschiedene Studien [1,2,3] davon, dass das größte Sicherheitsrisiko
im IT-Umfeld und bei der Industriespionage die eigenen Mitarbeiter sind. Bis zu 80 Prozent aller
Sicherheitsbrüche gehen auf deren Konto, jede fünfte wirtschaftskriminelle Handlung hat mit
Informationsdiebstahl und Geheimnisverrat zu tun. Die Schäden gehen in die Milliarden, Tendenz
steigend. Leider treffen die Warnungen vor dem Risiko Innentäter immer noch viel zu oft auf taube
Ohren in den Geschäftsleitungsetagen – wohl auch deshalb, weil sich die wenigsten Verantwortlichen
darüber bewusst sind, dass sie im Falle einer vernachlässigten Risikovorsorge im Schadensfall in
die persönliche Haftung genommen werden können.
Verantwortung kann nicht ausgelagert werden. Das Einhalten gesetzlicher Regelungen – Stichwort
Compliance – darf keinesfalls außer Acht gelassen werden. Abgesehen davon kann eine blauäugige
Leugnung von Geschäftsrisiken den Bestand ganzer Unternehmen und damit auch Arbeitsplätze
gefährden.
Beim IT-Outsourcing bekommt die Innentäterproblematik besondere Bedeutung. Typische Aufgaben
eines IT-Dienstleisters sind die Verwaltung eines Firmennetzes, das Daten-Backup und so weiter. Man
kann davon ausgehen, dass heute praktisch alle Unternehmensdaten in irgendeiner Form elektronisch
gespeichert und verarbeitet werden. Durch das Auslagern der Datenverwaltung macht man das Personal
des Dienstleisters zu Insidern. Zur Erfüllung der ihnen zugewiesenen Aufgaben ist es notwendig,
dass diese Personen die Sicherheitsvorkehrungen, die man gegen externe Zugriffe aufgebaut hat,
umgehen können – zum Beispiel das Firewall-System. Somit steigt durch Outsourcing der
Unternehmens-IT das Risiko des missbräuchlichen Datenzugriffs.
Wie Verschlüsselung hilft
"Gelegenheit macht Diebe" – nicht immer ist die böse Absicht zuerst da, sondern der verlockend
einfache Zugang zur "Ware" macht den Dieb zum Dieb. Wenn dann noch "finanzielle Überzeugungsarbeit"
durch ein Konkurrenzunternehmen hinzu kommt, verschwindet schnell einnmal ein Backup-Band mit
Entwicklungsdaten. Know-how-Abfluss, Imageschaden und Wettbewerbsnachteile lassen sich dann kaum
mehr stoppen, aber man kann vorbeugen – durch Verschlüsselung.
Beim Stichwort Verschlüsselung denken viele Anwender zuerst an Festplatten von Laptops, da hier
das Risiko von Diebstahl oder Verlust unmittelbar sichtbar ist. Auch hier hat man aber wiederum nur
Gefahren außerhalb des Unternehmens im Blick. Sicherheitsverletzungen von innen, wie sie eben auch
durch Outsourcing drohen, verlangen nach der Verschlüsselung auch der internen Datenbestände. Ein
gestohlenes Backup-Band mit verschlüsselten Daten ist für den Empfänger nämlich wertlos.
Bei der Auswahl einer Verschlüsselungslösung sollte die Praktikabilität wichtiger genommen
werden als technische Fragen nach der Anzahl der angebotenen Krypto-Algorithmen oder der
einstellbaren Schlüssel- oder Passwortlängen. Schließlich soll der Aufwand zum Betrieb der
Verschlüsselung nicht den Kostenvorteil des Outsourcings wieder auffressen. So ist es heute nicht
mehr zumutbar, in einem größeren Netzwerk jeden einzelnen Benutzer mit seiner persönlichen
Verschlüsselungs-Policy versorgen zu müssen. Neben dem damit verbundenen Administrationsaufwand
sind auch Vertreterregelungen oder arbeitsteiliger Zugriff auf gemeinsam genutzte, verschlüsselte
Dokumente bei einer verteilten, anwenderbezogenen Administration nur schwer in den Griff zu
bekommen. Ein arbeitsgruppenbasierter Ansatz ist klar vorzuziehen (Bild oben).
Einem als Arbeitsgruppe definierten Dienstleister kann damit ausschließlich der Zugang zu den
Daten ermöglicht werden, die er benötigt. Zwingend erforderlich ist auch, dass die
Sicherheitsverwaltung zentral erfolgt und von der Systemverwaltung getrennt wird. Erstens behält
man so die Kontrolle über die Sicherheit im eigenen Haus, und zweitens gibt es keine "allmächtige"
Rolle im Netz. Dies entlässt auch den eigenen Administrator aus dem Generalverdacht, etwa das
Gehalt des Chefs zu kennen. Eine gute Verschlüsselungslösung bietet eine entsprechende Trennung und
hält sie auch konsequent ein. Dies impliziert, dass es nicht möglich sein darf, aus Gründen der
Bequemlichkeit den Login zur Verschlüsselung mit dem Betriebssystem-Login zu koppeln, da
Systempasswörter vom Administrator jederzeit zurückgesetzt werden können.
Von besonderer Wichtigkeit ist ein durchdachtes Recovery-Konzept für den Notfall. Hier geht es
um die Antwort auf die Frage, wie einem Datenverlust vorgebeugt werden kann, wenn Schlüssel oder
Systemkonfigurationen verloren gehen. Es sind solche Lösungen zu bevorzugen, welche eine
Möglichkeit zur Datenwiederherstellung bieten, die unabhängig vom Rest der Systemkonfiguration
sind. Bei der Auswahl einer Verschlüsselungslösung achte man auf solche Feinheiten, die längst
nicht alle auf dem Markt erhältlichen Lösungen bieten [4].
Fazit
Bei der Planung eines Outsourcing-Vorhabens müssen organisatorische und technische Maßnahmen
Hand in Hand gehen. Bei guter Risikovorsorge kann man die Vorteile des Outsourcings voll ausnutzen.
Die Auswahl der richtigen Verschlüsselungslösung, die sowohl die internen Datenbestände, als auch
die auf Arbeitsplätzen und Laptops schützt, bildet einen wichtigen Baustein hierzu. Die Frage darf
nicht sein, ob überhaupt verschlüsselt wird, sondern lediglich, mit welchem Produkt.
Lesen Sie mehr zum Thema
