Websense hat einen Ratgeber für die Data Loss Prevention zusammengestellt
So lassen sich Datenlecks abdichten
Verrat von Betriebsgeheimnissen, Image-Verlust, Regressforderungen - der Verlust sensibler Informationen kann für jedes Unternehmen zum Desaster werden. Die Security-Experten von Websense nennen die wichtigsten Grundregeln, um Pannen und Missbrauch verhindern.
"Bei uns ist noch nie etwas passiert", heißt es oft in IT-Abteilungen – leichtsinniger Weise,
denn in den letzten Jahren gab es genügend abschreckende Beispiele für genau das Gegenteil, in Form
der hinreichend bekannt gewordenen Datenskandale. Viele Unternehmen haben bereits ein böses
Erwachen erlebt. Und wie so oft lagen in diesen Fällen Unachtsamkeit im Umgang mit vertraulichen
Kundendaten und böse Absicht nahe beieinander.
Nach Ansicht des Security-Spezialisten
Websense geht es beim Thema Data
Loss Prevention (DLP) vornehmlich um zwei Probleme: Erstens, festzustellen, wo sensible Daten im
Unternehmen einem Risiko ausgesetzt sind, und zweitens, wie diese Daten das Unternehmen verlassen.
Einer der zentralen Punkte ist Transparenz: Unternehmen sollten wissen, wie sensible Daten genutzt
werden und welche Regeln und Vorschriften beim Umgang mit den Daten gelten.
Dazu gibt Websense acht Tipps:
1. Regeln für die IT-Security definieren.
Jedes Unternehmen braucht eine schriftlich fixierte und an alle Mitarbeiter kommunizierte
IT-Sicherheitsstrategie. Sie enthält sämtliche Vorschriften und Regeln, wie sensible Daten intern
und mit Kunden, Lieferanten und Geschäftspartnern ausgetauscht werden dürfen. Ohne verpflichtende
und zentral überwachte Sicherheitsregeln geht es nicht. Die Security-Vorschriften umfassen interne
Anordnungen, aber auch branchenweite Regeln und die gültigen Datenschutzgesetze.
2. Unternehmensdaten segmentieren.
Soll eine Lösung zum Schutz vor Datenverlusten eingeführt werden, muss ein Unternehmen zunächst
einmal die vorhandenen Daten ermitteln und klassifizieren. Dabei wird festgelegt, welche
Informationen allgemein zugänglich, welche vertraulich und welche streng geheim sind. Dazu kommt
eine Dokumentation der Geschäftsprozesse, in denen sensible Daten zum Einsatz kommen. Für die
Kontrolle der Einhaltung von Sicherheitsmaßnahmen ist dieser Punkt unerlässlich.
3. Sicherheitsrelevante Daten aufspüren.
Wer weiß, wo sich im Unternehmen besonders sensible Daten befinden, kann dann auch Maßnahmen
ergreifen, um sie optimal zu schützen. Denn nur in den seltensten Fällen verbleiben die
vertraulichen Daten gut abgeschirmt im Rechenzentrum. Vertrauliche Kundeninformationen,
Konstruktionspläne, Basisdaten für Preiskalkulationen oder Ausschreibungsunterlagen werden per
E-Mail verschickt oder sind auf den Notebooks der Außendienstmitarbeiter zugänglich – manchmal
unverschlüsselt und ohne sicheres Passwort.
4. Mitarbeiter regelmäßig schulen.
Ergänzend zu allen technischen IT-Securitymaßnahmen der Datenklassifikation und zu den
schriftlich formulierten Sicherheitsregeln ist es unabdingbar, dass Unternehmen ihre Mitarbeiter
regelmäßig schulen und deren Sensibilität beim Umgang mit vertraulichen Daten schärfen. An
konkreten Beispielen aus der betrieblichen Praxis lässt sich leicht aufzeigen, welche Gefahren beim
leichtsinnigen Umgang mit sensiblen Informationen drohen.
5. Risiken des Datenverlusts bewerten.
Unternehmen untersuchen, wie wahrscheinlich das Eintreten eines bestimmten Schadens ist und
welche Auswirkungen der Schaden hätte. Die Risikoanalyse liefert die entscheidenden Informationen,
um festzustellen, wo im Unternehmen anzusetzen ist und wie sich die gravierendsten Lücken am
schnellsten schließen lassen.
6. Zugriff zu vertraulichen Daten regeln.
Aus der Klassifikation der Daten leiten sich die Zugriffsrechte für Benutzergruppen ab. Über
Arbeitsanweisungen definiert der Sicherheitsbeauftragte eines Unternehmens, wer in welchen
Geschäftsprozessen befugt ist, bestimmte Daten zu erstellen und zu ändern. Aus der Kombination
Klassifikation und Geschäftsprozesse wird dann über Verzeichnisdienste geregelt, etwa Microsoft
Active Directory, wer vertrauliche Daten an einen bestimmten Kreis von Adressaten verschicken darf.
Damit verhindern Unternehmen, dass sensible Informationen unkontrolliert das Unternehmen
verlassen.
7. Kommunikationswege überwachen.
Wichtig ist, die Kommunikationswege, auf denen vertrauliche Daten das Unternehmen verlassen
können, genau zu kennen und zu überwachen. Neben E-Mail und Instant Messaging betrifft dies auch
den Export einzelner Dateien oder gar Teile der Kundendatenbank via USB-Stick oder anderen mobilen
Speichermedien. Dazu ist Software zu installieren, die kontrolliert, wer, was, wohin und wie
verschickt. Die Möglichkeiten der inhalts- und benutzerbasierten Kontrolle ergeben sich aus den
Zugriffsregeln, wie sie der IT-Securitybeauftragte definiert hat.
8. Datenverkehr verschlüsseln.
Alle vertraulichen Informationen dürfen das Unternehmen nur verschlüsselt verlassen. Im idealen
Fall gibt es eine automatische Verschlüsselung des Datenverkehrs, falls nicht, sollte sie dringend
eingeführt werden. Die Verschlüsselung wird so zu einem wichtigen Baustein einer DLP-Lösung.
Versucht dann beispielsweise ein Mitarbeiter versehentlich oder auch absichtlich sensible Daten
unverschlüsselt per E-Mail-Anhang zu versenden, weist ihn die DLP-Lösung auf das Fehlverhalten hin
und er hat die Möglichkeit, die Aktion zu stoppen.
"Die Gefahren bewerten und die Risiken mindern sind die zentralen Kriterien für eine
durchgängige, ganzheitliche End-to-End-IT-Security", erläutert Michael Scheffler, Regional Director
Central Europe bei Websense. "Wir verstehen darunter Datensicherheit vom Ursprungspunkt der
Datenkommunikation bis zu deren Endpunkt. Dazu wird ein vollständig integriertes Sicherheitskonzept
benötigt, dass alle potenziellen Gefahrenpunkte berücksichtigt."
CZ/LANline
Data Leakage Prevention in Unternehmen
Verschlüsselung für mobile Endgeräte
http://llschnuerer.cmpdm.de//themen/security" target="true">LANline-Themenkanal
Security
LANline-Themenkanal Security Awareness
Lesen Sie mehr zum Thema
