Vielen Unternehmen ist es nicht möglich nachzuvollziehen, auf welchen Computern, Netzwerklaufwerken oder Wechselmedien Daten gespeichert werden und welche Mitarbeiter damit hantieren. Dass dies der Sicherheit dieser Daten nicht förderlich ist, bedarf keiner Erklärung. Der Schutz unternehmenskritischer Daten sollte jedoch für jedes Unternehmen oberstes Ziel sein.
Risiko Mensch
Der es gut meinende Mitarbeiter, der Daten kopiert, um damit auch nach Arbeitsschluss oder am Wochenende weiter zu arbeiten, stellt nach einer Studie des IT-Sicherheitsspezialisten Symantec zusammen mit fehlerhaften Abläufen, welche das Kopieren dieser Daten erst ermöglichen, 96 Prozent der Risiken für Datenverlust im Unternehmen dar.
Ein Unternehmen tut also gut daran, die Möglichkeiten, sensitive Daten zu kopieren oder zu versenden, einzuschränken. DVD-Laufwerke auszubauen oder USB-Ports mit Klebstoff zu verschliessen, erscheinen gängige Wege zu sein. Diese Notlösungen fördern aber geradezu das Ausweichen der Mitarbeiter auf den Versand der Daten per E-Mail. Während DVD oder USB-Stick noch «am Mann» transportiert würden, bewegen sich Daten beim E-Mail-Versand frei und unverschlüsselt über unkontrollierbare Wege und Server im Internet. Ein besserer Weg, Daten vor Verlust zu schützen, ist, sensitive Daten nur Mitarbeitern zugänglich zu machen, die diese wirklich für ihre Arbeit benötigen. Und auch aus diesem Kreis heraus sollte nur ein Teil der Mitarbeiter in der Lage sein, Sicherungskopien dieser Daten anzufertigen. Mit moderner Sicherheits-Software lassen sich derartige Konzepte mit geringem Aufwand auch und gerade bei mittelständischen Unternehmen umsetzen.
Technischer Schutz der Daten
Im Rahmen eines gesamthaften Sicherheitskonzepts ist zunächst sicherzustellen, dass alle Computer auf dem aktuellen Stand der Sicherheits-Patches sind. Dazu wird eine Patch Management Software verwendet.
Ein weiterer zentraler Punkt im Sicherheitskonzept ist der Aufbau eines Schutzschilds um das Unternehmensnetzwerk. Dieses Schutzschild kann über die interne IT Abteilung – soweit vorhanden – oder über externe Dienstleister realisiert werden. So verhindert man wirkungsvoll sowohl das Eindringen von Schad-Software oder kriminellen Elementen von aussen als auch das Ausbringen von unternehmensrelevanten Daten aus dem Firmennetzwerk.
Basis des Schutzschilds ist immer eine Endpoint Security Software. Endpoint Security meint nicht nur den klassischen Virenscanner, sondern vielmehr eine vollumfassende, kombiniert Lösung verschiedener Technologien wie Personal Firewall, Intrusion Prevention sowie Applikations- und Gerätekontrolle mit neuen Technologien, um unbekannte Angriffe aufgrund ihres Verhaltens zu erkennen und zu isolieren.
Heutige Schadprogramme ändern laufend selbsttätig ihren Binärcode und sind mit reinen Antiviren-Signaturen nicht zu erkennen oder zu blockieren. Eine Intrusion-Prevention-Lösung mit verhaltensbasierter Erkennung von Angriffsversuchen und Schad-Software ist unumgänglich und ein Muss für eine Sicherheits-Software: Wenn sich ein Programm vor dem Benutzer verstecken möchte und unbedingt bestimmte Teile von Betriebssystem oder Internetverbindung ansprechen möchte, so kann dies nichts Gutes bedeuten – egal ob dieses Programm auf der schwarzen Liste bekannter Schadprogramme steht oder nicht. Eine integrierte Gerätekontrolle sorgt dafür, dass nur vom Unternehmen genehmigte USB-Geräte an die Computer angeschlossen werden können. Dies verhindert, dass Schad-Software über USB-Sticks in das Unternehmen eingebracht wird.
Ergänzt wird der Schutzschild durch eine Network-Access-Control-Lösung. Diese wird in kleinen Netzen direkt auf den Computern installiert, in grösseren Netzen Hardware-basiert im Netzwerk. Die Network-Access-Control-Lösung sorgt dafür, dass nur bekannte Geräte in das Netzwerk eingebracht werden können, deren Sicherheitskonfiguration sich auf dem festgelegten Niveau befindet. Fremdgeräte und unsichere Geräte werden vom Netzwerkzugriff abgeschottet.
Das interne Schutzschild kann zusätzlich um eine externe Komponente ergänzt werden: Hosted Security Services. Über Hosted Security Services wird sichergestellt, dass Angriffsversuche per E-Mail oder per Schadprogrammen in Webseiten erst gar nicht das Unternehmensnetz erreichen. Die Hosted Security Services reinigen den eingehenden E-Mail-Verkehr sowie jeglichen Internetverkehr von Spam, Schad-Software und anderen Gefahren. Beim Hoster bündelt sich hier die Erfahrung aus zig tausenden oder Millionen von Computern. So wird ein Schutz ermöglicht, wie ihn ein Unternehmen selbst intern nie aufbauen kann.
Schutz mobiler Mitarbeiter
Das so um das Unternehmensnetzwerk gezogene Schutzschild lässt sich mit relativ einfachen Mitteln auch auf Aussendienstmitarbeiter und deren mobile Geräte ausdehnen. Stellen doch gerade Aussendienstmitarbeiter, welche auf Unternehmensdaten zugreifen oder diese gar mobil mit sich führen müssen, eine potentielle Gefahr für die Sicherheit der Daten dar. Werden mobile Geräte beispielsweise zu Hause betrieben, so regelt die Network Access Control Software, dass auf Unternehmensdaten auf diesen Geräten nur dann zugegriffen werden kann, wenn ein sicherer Kommunikationskanal aufgebaut wurde. Hosted Security Services sind in der Lage, jeden Internetzugriff eines Aussendienstmitarbeiters über die eigenen Server zu lenken, so dass für mobile Mitarbeiter der gleich hohe Schutz zur Verfügung steht wie innerhalb des Unternehmensnetzwerks. Eine Verschlüsselung der Daten auf der Festplatte des Aussendienstcomputers stellt zudem einen guten Schutz bei Diebstahl dar. Im Ernstfall ist so nur der Verlust der Hardware an sich zu beklagen, nicht jedoch der Verlust sensitiver Daten.
Ein Audit der Datenstruktur mittels einer Data Loss Prevention Software zeigt potentielle Schwachstellen auf.
Etablierung von Geschäftsprozessen
Neben den technischen Elementen – Patching und Schutzschild – darf ein weiterer wichtiger Punkt im Sicherheitskonzept nicht ausser Acht gelassen werden: die Etablierung von Geschäftsprozessen. Fehlerhafte oder nicht existierende Geschäftsprozesse für den Umgang mit Daten sind laut der Symantec Studie für circa 50 Prozent der entstehenden Datenlöcher verantwortlich. Im Unternehmen müssen Geschäftsprozesse etabliert werden, welche regeln, welche Daten wo gelagert werden dürfen, wer auf diese Daten Zugriff hat und wie mit diesen Daten umzugehen ist. Untersuchungen zeigen, dass oftmals vertrauliche Daten unverschlüsselt auf mehreren Servern oder gar Computern der Mitarbeiter abgelegt werden. Ein strukturierter Aufbau eines Datenschutzprozesses kann in wenigen Schritten erfolgen.
Zu Beginn können externe Anbieter einen Audit der Datenlandschaft und des Umgangs damit durchführen. Dabei werden im Netzwerk zunächst keine Veränderungen durchgeführt, sondern nur das Verhalten der Mitarbeiter und die Struktur der Datenhaltung analysiert. Auf Basis dieser Analyse erfolgt der Aufbau der Geschäftsprozesse. Eine Data Loss Prevention Software stellt sicher, dass Daten nur dort abgelegt werden können, wo sie sicher verwahrt sind.
Unternehmenskritische Daten sollten nur auf geschützten und verschlüsselten Servern liegen. Es wird sichergestellt, dass nur Personen Zugriff auf diese Daten haben, die diesen Zugriff auch für ihre Arbeit brauchen. Ein Kopieren und/oder Versenden respektive Ausdrucken dieser Daten wird mittels der Data Loss Prevention Software entweder unmöglich gemacht oder unterliegt strengen Auflagen wie beispielsweise dem Vier-Augen-Prinzip. Im Falle des genehmigten Versendens von Unternehmensdaten per E-Mail ergänzt eine Verschlüsselung des E-Mail-Verkehrs den Datenschutzprozess. Sichere E-Mail-Verschlüsselung ist mit modernen Methoden auch dann möglich, wenn die Gegenseite selbst noch kein E-Mail-Verschlüsselungssystem nutzt.
Bei der Vergabe der Zugriffsrechte samt zugehörigen Passwörtern wird darauf geachtet, dass diese wirklich nur den entsprechenden Fachabteilungen bekannt sind. Auch die IT-Abteilung muss zur Erledigung ihrer Aufgaben nicht auf alle Dateninhalte Zugriff erhalten. Dies gilt im Besonderen auch für externe Dienstleister, denen nur überwachter Zugriff auf Firmenressourcen eingeräumt wird.
Sensibilisierung der Mitarbeiter
Die Einhaltung der so etablierten Geschäftsprozesse erfordert die Mithilfe aller Mitarbeiter, denn diese sind der Schlüssel zur Datensicherheit. Es muss jedem Mitarbeiter bewusst sein, dass nachlässiger Umgang mit sensiblen Daten kein Kavaliersdelikt ist und dem Unternehmen grossen Schaden zufügen kann. Oft reichen schon kleine Massnahmen, um Daten im Unternehmen zu schützen. Einige Beispiele:
1. Verlässt ein Mitarbeiter seinen Computerarbeitsplatz auch nur für kurze Zeit, muss der Computer gesperrt werden.
2. Passwörter dürfen keinesfalls auf kleinen Zetteln unterhalb der Tastatur oder am Bildschirm notiert werden.
3. Werden Daten bearbeitet, sollte immer die Frage gestellt werden, ob diese Daten wirklich ausgedruckt werden müssen oder ob eine Bearbeitung auch direkt am Bildschirm möglich ist. Wurden sensitive Daten gedruckt, so müssen diese Ausdrucke anschliessend mit einem Aktenvernichter geschreddert werden anstatt nur zerknüllt im Papierkorb zu landen.
4. E-Mails, deren Absender dem Mitarbeiter nicht bekannt sind, werden ungeöffnet und ungelesen gelöscht. Keinesfalls dürfen Anhänge oder Weblinks aus derartigen E-Mails aufgerufen werden.
5. Von dienstlich genutzten Computern, welche Zugriff auf sensitive Daten haben, dürfen nur wirklich zur Arbeit notwendige Internetseiten besucht werden.
Umfassender Schutz ist möglich
Ein umfassender Schutz wertvoller Unternehmensdaten ist möglich und auch gerade in mittelständigen Unternehmen sinnvoll und notwendig. Ein gesamthaftes Sicherheitskonzept aus technischem Schutzschild, sicheren Geschäftsprozessen und aufmerksamen Mitarbeitern gewährleistet umfassenden Schutz der wertvollen Unternehmensdaten.
Der Sicherheitsgedanke behindert die Mitarbeiter bei sorgsamer Implementierung der zugehörigen Geschäftsprozesse nicht in ihrer täglichen Arbeit. Vielmehr sind gut gemanagte und gesicherte IT-Geräte zuverlässiger und verursachen geringe Ausfallzeiten. Saubere und leicht verständliche Geschäftsprozesse wirken unterstützend und fördern die Effektivität der Mitarbeiter und des Unternehmens.
André Zürcher ist Senior Security Consultant bei
Ontrex AG.
2.jpg)
.jpg)
