Lange Zeit konzentrierten sich Unternehmen in punkto Sicherheit auf die Überwachung und den Schutz der Unternehmensnetzwerke gegen Angriffe von außen. Herkömmliche Sicherheitstechnologien, die auf Hackerangriffe und Peripherieschutz ausgerichtet sind, reichen zur strategischen Sicherung der Unternehmensdaten jedoch längst nicht mehr aus. Moderne Geschäftsprozesse und die internationale Ausrichtung der Unternehmen haben die Anforderungen an die Sicherheit verändert. Die Menge der digitalen Daten nimmt ständig zu, häufig verlassen diese zudem über Laptops, USB-Sticks, PDAs oder per E-Mail den Bereich der gesicherten Informationsinfrastruktur und werden von verschiedenen internen und externen Nutzern verarbeitet. Auch innerhalb des Unternehmens müssen geschäftskritische Daten daher so vorgehalten werden, dass sie gegen gewollten oder ungewollten Missbrauch, Verlust oder Beschädigung geschützt sind. Zudem müssen die Unternehmen gewährleisten, dass die Compliance-Richtlinien eingehalten werden.

Angesichts aktueller Sicherheitslagen ist also ein umfassendes Risikomanagement von zentraler Bedeutung. Dazu gehört zum einen die Schulung und Sensibilisierung der Mitarbeiter für den richtigen Umgang mit vertraulichen Informationen. Zum anderen ist eine informationszentrierte Strategie notwendig, die effektive Mittel zur Erkennung, Bewertung und Minderung der Risiken bereitstellt, denen Informationen über ihren gesamten Lebenszyklus hinweg ausgesetzt sind. Mit einer gezielten Information Risk Management Strategie können Unternehmen diese Risiken minimieren, ihre Ressourcen und Geschäftsprozesse schützen und dafür sorgen, dass behördliche und juristische Anforderungen wie Payment Card Industry (PCI) Data Security Standard (DSS) und Sarbanes-Oxley-Act (SOX) eingehalten werden. RSA bietet Unternehmen mit der RSA DLP Suite einen Ansatz, um Geschäftsrisiken durch Datenverlust zu managen. Drei integrierte Lösungen – RSA DLP Datacenter, RSA DLP Network und RSA DLP Endpoint – unterstützen Firmen dabei, bestehende Risiken zu identifizieren und zu bewerten und im Anschluss daran systematische Korrekturen im Einklang mit den gängigen Datenschutzrichtlinien durchzuführen.

Beispiel Microsoft: Informationen als Dreiklassengesellschaft

2006 setzte Microsoft ein Projekt zum Schutz vor Datenverlusten auf. Die unmittelbarste Herausforderung dabei bestand in der Einhaltung der gängigen gesetzlichen Bestimmungen. Im Hinblick auf die Gesamtheit der geltenden Datenschutzrichtlinien musste Microsoft jedoch auch geistiges Eigentum berücksichtigen, was den Umfang des neuen Projekts zur Klassifizierung von Informationen und Handhabung von Daten deutlich vergrößerte Ziele des Projekts waren

• die präzise Erkennung des Speicherorts von sensiblen Daten im gesamten Netzwerk
  
• die Verringerung des Umfangs der meisten sensiblen Daten, die sich innerhalb des Netzwerks verschieben lassen oder auf Workstations verwendet werden
  
• die Einrichtung von Eigentümern und einer Zugriffssteuerung für sensible Daten
  
• Verständnis und Berücksichtigung von Geschäftsprozessen, die zum Anstieg des Datenvolumens beitragen.

In Anbetracht dieser Ziele hat sich das Datenschutzteam von Microsoft für die Zusammenarbeit mit RSA als Lösungsanbieter entschieden. Ausschlaggebende Punkte für diese Entscheidung waren die Präzision, Leistung und Skalierbarkeit der Lösung RSA DLP Datacenter. Die RSA DLP-Lösungen unterstützten Microsoft dabei, diese selbst gesteckten Ziele für Datenschutz und Compliance zu erreichen. Zudem bot die Lösung wichtige Funktionalitäten wie Grid-Verarbeitung und inkrementelles Scanning, anhand derer Microsoft kontinuierlich enorme Datenmengen scannen kann, um die Compliance sicherzustellen. Darüber hinaus generiert RSA DLP Datacenter Matching-Dateien mit einer dauerhaften Genauigkeit von über 98 Prozent. Gefundene Probleme können so schnell behoben werden.

Nach einem erfolgreichen Testeinsatz wurde die RSA-Lösung vollständig implementiert. Somit hat Microsoft ein System zur Verfügung, das zuverlässig alle risikobehafteten Daten erfasst und gleichzeitig gewährleistet, dass Sicherheitsbedrohungen schnell und unmittelbar nach deren Auftreten bearbeitet werden. Zudem ist die Problemdokumentation möglich, um Audit-Trails zur Einhaltung von PCI und SOX aufzuzeichnen. Die Lösung ist kompatibel zu bestehenden Technologien und Geschäftsprozessen, um optimale operative Ergebnisse erzielen zu können. So können IT- und Compliance-Spezialisten ihre Daten besser kontrollieren, in der Infrastruktur auffinden und Konflikte schneller beheben. Sicherheitsverletzungen durch gewollten oder ungewollten Datenabfluss oder durch verloren gegangene Notebooks lassen sich beheben und reduzieren.

Aufklärung der Mitarbeiter bedeutet Sicherheit

Zum Schutz eines Unternehmens sind Technologien und Richtlinien allein jedoch nicht ausreichend. Aktuelle Studien zeigen, dass die eigenen Mitarbeiter oft Teil des Bedrohungsszenarios sind – die digitalen Informationen in Unternehmen sind vor allem durch diese Personengruppe gefährdet. Wenn der Informationsabfluss über den eigenen Mitarbeiter läuft, dann nützen rein technologische Schutzmaßnahmen nur wenig. Dabei gibt es zwei Sorten von Innentätern: Die eine ist kriminell motiviert und verkauft die Informationen bewusst. Die andere handelt aus Leichtsinn oder Leichtfertigkeit, ohne sich des Risikos bewusst zu sein. Dabei kann schon ein zu laut geführtes Telefonat im voll besetzten Zug oder eine Vorstandssitzung in unzureichend gegen Abhören gesicherten Konferenzräumen ausreichen, um Informationen leichtfertig preiszugeben. Daher muss die Sensibilisierung und Aufklärung der Mitarbeiter zentrale Aufgabe sein, um eine wirkungsvolle Sicherheitsstrategie durch Data Loss Prevention umzusetzen.