Der Begriff „Datenpanne“ hat das Zeug, zum Unwort des Jahres 2008 gekürt zu werden. In diesem Jahr häuften sich die Meldungen aus dem In- und Ausland über peinliche Datenpannen, die den Glauben in die Sicherheit sensibler Informationen erschüttert haben. Dies reicht von auf dem Postweg verschwundenen CDs mit Daten mehrerer Millionen Kindergeldempfänger in Großbritannien, über freien Zugriff auf Daten von einigen deutschen Einwohnermeldeämtern, bis zu 17 Millionen frei zugänglichen Datensätzen von Kunden der Deutschen Telekom. Private Daten, wie Namen und Adressen verknüpft mit Kontoverbindungen oder ähnlichen sensiblen Details, sind ein wertvolles Gut, mit dem Kriminelle einen lukrativen Handel treiben.

Industriespionage auf dem Vormarsch

Datenpannen sind aber nur eine Seite der Medaille. Nicht selten fließen Daten aus Unternehmen auch durch gezielte Angriffe von außen ab. Industriespionage hat weltweit in alarmierendem Ausmaß zugenommen. Einige Staaten halten Konkurrenzausforschung gar für ein legitimes Mittel im globalen Wettbewerb. Rund 80 Prozent der Befragten einer Studie von Corporate Trust glauben an den weltweiten Anstieg von Industriespionage. Doch nur 33,7 Prozent leiten daraus ein höheres Bedrohungspotenzial für das eigene Unternehmen ab.

Zudem sind klassische Hackerangriffe, Abhörtechniken und offensichtliche Einbrüche in die Forschungs- und Entwicklungsabteilung nicht die einzigen Gefahren, denen Unternehmen beim Schutz ihres geistigen Eigentums begegnen müssen. Corporate Trust hat festgestellt, dass der Informationsabfluss durch eigene Mitarbeiter eine der größten Gefahren ist. Von den geschädigten Unternehmen, die in der Studie befragt wurden, hatten über 20 Prozent einen Verrat von Interna aus den eigenen Reihen zu beklagen. So sind die eigenen Mitarbeiter immer öfter selbst Akteure, aber auch Zielscheibe von Industriespionage. Bemerkenswert dabei: Der am stärksten von Spionage betroffene Geschäftsbereich ist nicht etwa Forschung & Entwicklung sondern der Vertrieb. Um den Informationsabfluss über die eigenen Mitarbeiter einzudämmen, muss neben den technologischen Schutzmaßnahmen auch eine Sensibilisierung im Umgang mit den Daten stattfinden.

Zwei Sorten von Akteuren

In Unternehmen gibt es im Wesentlichen zwei Sorten von Innentätern, die für Informationsabfluss verantwortlich sind. Die eine ist kriminell motiviert und verkauft die Informationen bewusst. Die andere handelt aus Unwissenheit oder Leichtfertigkeit, ohne sich überhaupt über das Risiko im Klaren zu sein. Hier müssen Mitarbeiter für den korrekten Umgang mit vertraulichen Informationen sensibilisiert und kontinuierlich über Risiken und Folgen eines allzu unbedarften Umgangs mit sensiblen Daten aufgeklärt werden. Vorraussetzung dafür ist ein Bewusstsein über den Wert bestimmter Informationen für geschäftskritische Prozesse des jeweiligen Unternehmens.

Dem Missbrauch oder Diebstahl von vertraulichen Daten kann wirksam begegnet werden, indem die Information selbst geschützt ist. So lassen sich beispielsweise die Zugriffsrechte auf vertrauliche Daten auf diejenigen Personen beschränken, die tatsächlich mit diesen Informationen arbeiten müssen. Unnötige Zugriffsmöglichkeiten sind ein erhebliches Sicherheitsrisiko, da Benutzer diese auch versehentlich von einem Dateisystem herunterladen und so nicht autorisierten Personen außerhalb des Unternehmens zugänglich machen können. Eine vertrauliche Datei kann sehr leicht auch unbeabsichtigt als E-Mail-Anhang versendet werden und so an eine falsche Adresse geraten. Daten, die das Netzwerk verlassen, lassen sich mit geeigneten Technologien, wie zum Beispiel Data Loss Prevention (DLP) von RSA, überwachen und analysieren. Um die Verwendung durch nichtautorisierte Anwender zu verhindern, kann auf Basis von definierten Regeln eine Blockierung und Verschlüsselung dieser Daten vorgenommen werden. Auch wenn der Spion zum USB-Stick greift oder die Daten auf eine CD brennt, muss das Unternehmen nicht tatenlos zusehen. Mit entsprechenden Technologien können Datenbewegungen und sensible Endpunkte, wie Notebooks und Desktop-Computer, überwacht und entsprechende Sicherheitsmaßnahmen ergriffen werden. So lässt sich die Datenübertragung auf mobile Geräte blockieren oder Benutzerrechte wie Drucken, Speichern oder Brennen einschränken.

Informationszentriertes Risikomanagement

Angesichts unüberschaubarer Mengen wertvoller Daten, zunehmend gezielten Angriffen von außen und der Gefahr von Datenmissbrauch durch die eigenen Mitarbeiter lassen sich Daten dauerhaft nur durch ein informationszentriertes Risikomanagement zuverlässig schützen. RSA unterstützt daher Unternehmen, ihr Informationskapital durch geeignete Infrastrukturen effizient zu verwalten, zielgerichtet zu nutzen und jederzeit zu schützen. Dazu wird auf einen ganzheitlichen, strategischen Lösungsansatz gesetzt, der auf den spezifischen Geschäftsprozessen des jeweiligen Unternehmens basiert. Ausgangspunkt ist dabei stets die geschäftskritische Information selbst, die hinsichtlich ihres Wertes und den daraus folgenden Sicherheitsrisiken analysiert wird. Um effektive Mittel zur Minderung der Risiken bereitzustellen, müssen organisatorische, prozessuale, personelle und technische Aspekte berücksichtigt werden. So lässt sich der Zugriff auf Daten regulieren und innerhalb der eigenen Infrastruktur sowie im Austausch mit Externen Diebstahl, Verlust oder Missbrauch von vertraulichen Informationen verhindern.

Autor: Michael Frauen, Regional Sales Director DACH bei RSA - The Security Division of EMC