Schutz vor Datenlecks: Risiko "mobile Helfer"
Zu den wichtigsten Aufgaben der IT-Verantwortlichen zählt der Schutz firmenkritischer Daten. Dabei tauchen immer neue Risikoquellen auf – mobile Speichermedien sind ein besonders heikler Fall: Zwar tragen Notebooks, PDAs und USB-Sticks dazu bei, die Arbeitsprozesse zu optimieren, sie stellen aber auch ein Sicherheitsrisiko dar. Über sie können Daten nach außen oder Malware ins Netzwerk gelangen. Wie hoch die Schäden im Einzelnen sein können, verdeutlicht eine Studie des Ponemon Instituts*. Mit einer konsistenten Data Leakage Prevention (DLP)-Strategie können Schäden verhindert und Kosten vermieden werden.
Das Ponemon Institute geht davon aus, dass in Deutschland bereits 39 Prozent aller Unternehmen Erfahrung mit Datenpannen oder -diebstählen gemacht haben. Umso dringlicher ist es deshalb geboten, dass IT-Verantwortliche in den Unternehmen kritische Daten identifizieren, Risiken bestimmen und sinnvolle Schutzmaßnahmen für das eigene Unternehmen entwickeln.
Ursachen von Datenpannen
Datenpannen können verschiedene Ursachen haben. Erstens besteht die Möglichkeit, dass Mitarbeiter sensible Daten unerlaubt auf USB-Sticks übertragen und diese so das Unternehmen verlassen. Zweitens können firmeneigene Datenträger wie Notebooks mit kritischen Daten ver-loren gehen oder gestohlen werden. Drittens kann über die mobilen Geräte Malware ins Firmennetzwerk eindringen, die dann wiederum Datenverluste verursachen kann. Das Ponemon Institute fand heraus, dass sich Versehen und krimineller Hintergrund bei den Datenpannen die Waage halten. Datenpannen, die intern verursacht wurden, gingen zu 50 Prozent auf Fahrlässigkeit und zu 50 Prozent auf Vorsatz der Mitarbeitern zurück. Neben dem eigenen Unternehmen stellen auch Dienstleister eine Risikoquelle dar: Werden beispielsweise sensible Daten an Call-Center gegeben, so muss sichergestellt sein, dass auch dort Schutzmaßnahmen implementiert sind.
Millionenschäden durch "kleine" Datenpannen
Die Studie des Ponemon Institute basiert auf Informationen aus 18 Unternehmen in Deutschland, die mit Datenpannen konfrontiert waren. Die Spannweite der Pannen reichte von Fällen mit weniger als 3.750 Datensätzen bis hin zu Fällen mit mehr als 90.000 Datensätzen. Vier Kostenfaktoren wurden in der Studie berücksichtigt:
1.) die Kosten für die Aufdeckung und Aufarbeitung der Panne,
2.) die Kosten für Reaktionsmaßnahmen gegenüber den Betroffenen,
3.) die Kosten für entgangene Umsätze und
4.) die Kosten für die Benachrichtigung der Betroffenen.
Die Kosten für die drei erstgenannten Punkte schlugen jeweils in ungefähr gleicher Höhe zu Buche, mit etwa 36 Euro pro Datensatz. Die Benachrichtigung der Betroffenen kostete im Durchschnitt 4 Euro pro Datensatz. Die Gesamtkosten einer einzelnen Datenpanne in den befragten Unternehmen summierten sich somit auf Beträge zwischen 267.000 Euro und 6,75 Millionen Euro. Im Durchschnitt kostete eine Datenpanne die Unternehmen 2,41 Millionen Euro.
Vertrauensverlust vorprogrammiert
Diese Zahl mag auf den ersten Blick sehr hoch erscheinen, erklärt sich aber, wenn man die Konsequenzen für das Unternehmen noch einmal genauer betrachtet: Allein der Imageschaden kann in die Millionen gehen, denn bis das Vertrauen der Kunden wieder hergestellt ist und sie die Produkte des Unternehmens wieder kaufen, können Monate vergehen. Anhand der Untersuchung ließ sich nachvollziehen, dass die Kundenfluktuation aufgrund einer Datenpanne überproportional steigen kann. Im Vergleich zur normalen Kundenabwanderung wendeten sich nach einer Datenpanne bis zu acht Prozent der Kunden ab, im Durchschnitt waren es 3,24 Prozent. Unplanmäßige Kundenverluste führen natürlich zu niedrigeren Umsätzen, gleichzeitig steigen die Kosten für Marketingaufwendungen zur Neukundengewinnung.
Neue Informationspflicht
In den betrachteten Fällen wurden die betroffenen Kunden freiwillig über die Panne informiert, per Brief, E-Mail, Telefonate oder durch allgemeine Veröffentlichung. Diese Kosten sind nun nicht mehr vermeidbar, denn seit dem 1. September 2009 besteht eine Informationspflicht an die Datenschutzbehörde und alle Betroffenen. Diese ist in §42a des überarbeiteten Bundesdatenschutzgesetzes verankert.
Unternehmen können die Betroffenen direkt anschreiben. Ist das nicht möglich, weil beispielsweise keine Adressdaten der Personen vorliegen, muss das Unternehmen per halbseitiger Anzeige in zwei bundesweit erscheinenden Tageszeitungen oder durch gleichwertige Maßnahmen informieren. Die Anzeige mag sogar billiger sein, als die persönliche Informationsaktion – aufgrund des zu erwartenden Imageschadens ist dies aber sicher nicht die bessere Alternative.
Fester Bestandteil im Arbeitsalltag
Aufgrund der Gefahr von Datenlecks auf PDAs, Notebooks oder USB-Sticks zu verzichten ist keine Lösung, denn die Geräte gehören längst zur täglichen Arbeit. Umso wichtiger ist es, dass die Firmen in den Schutz vor Datenpannen investieren. Ponemon weist darauf hin, dass der Return on Invest für Maßnahmen, die einen Datenverlust verhindern, enorm hoch ist, stellt man den Investitionen in Sicherheitslösungen die 2,4 Millionen Euro Schaden pro Datenpanne gegenüber. Ausgefeilte Lösungen zur Data Leakage Prevention (DLP) bieten IT-Verantwortlichen die Möglichkeit, Datenlecks zu vermeiden, ohne die Produktivität der Mitarbeiter zu beeinträchtigen.
Regeln als Grundlage
Zu einer übergreifenden Security Policy gehört auch die Festlegung von Zugriffsberechtigungen. Die Verantwortlichen entscheiden hier darüber, welcher Mitarbeiter welche Rechte bezüglich welcher Daten erhält. Entwickler benötigen beispielsweise andere Berechtigungen als Marketing-Manager. In DLP-Systemen lassen sich diese Rechte meist sehr individuell auch für die Arbeit mit mobilen Geräten abbilden. Auch zeitlich begrenzte Rechte lassen sich dort festlegen, beispielsweise wenn mehrere Personen aus verschiedenen Abteilungen an einem befristeten Projekt zusammen arbeiten.
Einhaltung kontrollieren
DLP-Lösungen kontrollieren die Einhaltung der festgelegten Regeln: Wer ist am System angemeldet, welche Geräte schließt er an und welche Datenbewegungen werden vorgenommen. DLP-Lösungen bieten die Möglichkeit, den Datentransfer zu kontrollieren, indem sie ihn nach Inhalt, Dateityp oder Berechtigung filtern. Entdecken sie unerlaubte Datenübertragungen oder Zugriffe, stoppen sie diese auf Wunsch oder protokollieren sie mit. Auch hier können die IT-Administratoren die Maßnahmen speziell an die Bedürfnisse des Unternehmens anpassen. So kann beispielsweise der Transfer von Word-Dateien von vornherein erlaubt, der von Excel-Tabellen dagegen untersagt werden. Außerdem kann festgelegt werden, dass der Transfer von Daten nur auf firmeneigene Geräte möglich ist, die anhand einer ID-Nummer erkannt werden.
Zusatzsicherung Verschlüsselung
Auch mit den besten Regeln und der genauesten Kontrolle kann es immer vorkommen, dass beispielsweise ein Notebook gestohlen wird, auf das ein berechtigter Mitarbeiter sensible Daten gespeichert hat. Um diesem Fall vorzubeugen, sollten IT-Verantwortliche dafür sorgen, dass alle Dateien, die auf den firmeneigenen mobilen Geräten abgespeichert sind, per Verschlüsselung vor unberechtigtem Zugriff geschützt werden.
(Abb.: Mit einer ausgereiften DLP-Lösung haben IT-Verantwortliche die volle Kontrolle über Zugriffe auf jegliche PC-Schnittstellen. © DeviceLock)
Vorteil Nachweisbarkeit
Sollte trotz aller Sicherheitsmaßnahmen doch einmal ein Datenleck entstehen, können die Konsequenzen durch den Einsatz von DLP-Lösungen mit Log- und Shadowing-Funktionen so gering wie möglich gehalten werden. Logeinträge über die lokalen Datenbewegungen und Schattenkopien aller übertragenen Daten werden in einer zentralen Datenbank gespeichert. Dadurch können die IT-Administratoren jederzeit prüfen, über welchen Kanal und durch welchen Mitarbeiter die Daten das Unternehmen verlassen haben und schnell auf den Vorfall reagieren. Eine integrierte Auditing-Funktion hilft den Verantwortlichen darüber hinaus nachzuweisen, dass keine Vorfälle stattfanden.
Fazit
Die beste Lösung zum Schutz vor Datenpannen durch verlorene oder gestohlene mobile Geräte in den Unternehmen sind Zugriffskontrollsysteme. Sie ermöglichen den IT-Verantwortlichen ein hohes Maß an Flexibilität, gewährleisten einen reibungslosen Arbeitsablauf und stellen die Nachweisbarkeit der Datenbewegungen sicher. Beugt das Unternehmen durch gezielte Maßnahmen vor, lässt sich das Risiko von Datenlecks minimieren. Die Kosten für die Einführung sind im Vergleich zu den möglichen Schäden eher gering.
* Ponemon Institute, Jahresstudie 2008: Kosten von Datenpannen in Deutschland
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by Disqus
© 2012 FEiG & PARTNER