Anzeige

Datenübertragung

Unabhängig davon, ob es sich um das Marketing-Team, das Vertriebsteam oder das Finanzteam handelt, Mitarbeiter versuchen immer, die Arbeit so schnell wie möglich zu erledigen. Dies führt häufig dazu, dass Verfahren abgekürzt werden und das große Ganze aus den Augen verloren wird.

Die Schulung von Mitarbeitern stößt an Grenzen, wenn es darum geht, eine gute Datensicherheitshygiene zu praktizieren. In diesem Artikel behandeln wir 5 Vorgehensweisen, wie Benutzer Daten verschieben, und die Gründe dafür, warum jede davon eine Gefahr für die Datensicherheit und Compliance darstellt.

1. E-Mail

Versuchen Sie sich zunächst einmal vorzustellen, wie viele Daten täglich über Ihre E-Mail-Server übertragen werden. Die Finanzabteilung etwa erhält zahlreiche Formulare und persönliche Daten von Auftragnehmern, um diese für ihre erbrachten Services zu bezahlen. Im Marketing werden kontinuierlich Daten mit Vertriebspartnern ausgetauscht. Die Personalabteilung erfasst die persönlichen Daten der Mitarbeiter, um unterschiedliche Aufgaben wie die Meldung bei der Krankenversicherung und Anlageportfolios erledigen zu können. Die Liste ließe sich lange fortsetzen.

Tatsache ist, dass ein Großteil der sensiblen Daten über E-Mail-Server mit unzureichenden Sicherheitskontrollen übertragen werden. Wenn man bedenkt, wie viele Daten tagtäglich gesendet und archiviert werden, lässt sich die Menge der vorhandenen sensiblen Daten nur schwer erahnen. Hinzu kommt, dass viele Daten redundant sind und sich der aktuelle Speicherort so noch schwieriger bestimmen lässt.

2. FTP-Server

Das FTP (File Transfer Protocol) ist so alt wie die E-Mail und wird weit öfter verwendet, als es sich IT-Experten eingestehen wollen. FTP wird vielseitig genutzt – der Haupteinsatzzweck ist jedoch nach wie vor das interne und externe Versenden großer Datenmengen. Das Problem: Ohne eine angemessene Verschlüsselung und einen Kennwortschutz gilt FTP an sich als sehr unsicher. Wenn keine angemessenen Verschlüsselungsstandards vorhanden sind, ist FTP sehr anfällig für Man-in-the-Middle (MITM)-Angriffe. Sogar kennwortgeschützte FTP-Server sind sehr leicht zu entschlüsseln. Wie wir bereits wissen, sind Kennwörter das schwächste Sicherheitsglied. Viele Mitarbeiter nutzen für ihr persönliches und professionelles Konto ein und dasselbe Kennwort. Wenn bei einem Datendiebstahl also ein Kennwort offengelegt wird, ist jeder Bereich, auf den ein Mitarbeiter Zugriff hat, gefährdet.

Zudem sind FTP-Server sehr einfach einzurichten und können von jedem beliebigen Mitarbeiter eines Unternehmens genutzt werden, sofern die IT dies zulässt. Dies wiederum kann dazu führen, dass übermäßig viele FTP-Server erstellt werden und die IT mit Wartungsproblemen zu kämpfen hat. Die IT-Abteilung hat, ähnlich wie bei E-Mails, kaum Einblick in den Aufenthaltsort von Daten während der Übertragung und von ruhenden Daten.

3. EFSS-Tools

Enterprise File Synchronization and Sharing (EFSS) ist eine beliebte Möglichkeit, um Daten intern an andere Mitarbeiter und extern an Drittanbieter und Partner weiterzugeben und sie dort zu speichern. Einige Produkte dieser Kategorie sind Google Drive und Dropbox. Besonders beliebt sind diese Tools, da sich mit ihnen große Dateien wie Fotos und Videos ganz einfach hin- und herschieben lassen. Und auch wenn sie hinsichtlich der Sicherheit und Compliance immer besser werden, sind sie für die Übertragung sensibler Daten nicht die beste Methode.

Eines der größten Probleme, die mit dieser Art von Tools einhergehen, ist die fehlende Transparenz über die sensiblen Daten, die über EFSS-Plattformen übertragen werden.

Da heutzutage viele Menschen ein Google-Konto haben, verwenden viele Mitarbeiter zur Übertragung von sensiblen und nicht-sensiblen Daten Google Drive. Für sie ist dies eine gute Lösung, um Daten extern zu speichern. Mitarbeiter können einen Link zu diesen Daten freigeben und jeder, der Zugriff auf diesen Link hat, kann die Daten herunterladen. Das Problem dabei ist, dass diese Links im Regelfall über das persönliche Konto der Mitarbeiter verwaltet werden. Verlässt der Mitarbeiter nun das Unternehmen, ist nicht gesichert, dass diese Links nicht mehr zugänglich sind. Dies bedeutet für IT-Teams ein großes Compliance- und Sicherheits-Problem, da die Kontrolle darüber, wer wann Zugriff auf diese Daten hat, stets in ihrer Hand liegen muss.

4. Cloud-Dienste

Da immer mehr Unternehmen auf Cloud- oder Hybrid-Cloud-Umgebungen umsteigen, werden viel mehr sensible Daten über diese Cloud-Dienste übertragen. Grundsätzlich sollte die IT-Abteilung einen ausreichenden Überblick darüber haben, wer auf diese Services Zugriff hat und welche Daten in der Cloud liegen. Das wichtigste Kriterium für die Sicherheit von Daten in der Cloud ist, wer für den Schutz dieser Daten verantwortlich ist.

Viele IT-Experten würden hier als Erstes je nach genutztem Cloud-Anbieter AWS oder Azure nennen. Tatsächlich haben sich insbesondere Microsoft und Amazon intensiv darum bemüht, ihre Verantwortung bei einem Datenverlust möglichst gering zu halten. Lesen Sie daher unbedingt das Kleingedruckte, wenn Sie sich bei diesen Services anmelden, und vergewissern Sie sich, dass Ihr Unternehmen gegen Ausfälle oder Sicherheitspannen gut versichert ist. Möglicherweise lässt sich nach der eigenen Risikobeurteilung der Schluss ziehen, dass bestimmte Datentypen lokal besser aufgehoben sind, da die IT dort mehr Kontrolle über die Sicherheit und Compliance dieser Daten hat. Nur weil die Daten auf einem AWS- oder Azure-Server gestohlen wurden, bedeutet dies nicht, dass Microsoft oder Amazon Ihnen weiterhelfen können.

5. Verschieben von Marketing- und Umsatzdaten

Daten sind das A und O in Ihrer Marketing- und Vertriebsstruktur. Nur mithilfe dieser Daten können Sie Leads auch durch den Sales Funnel schleusen und schließlich Umsatz generieren. Das Problem ist, dass viele dieser Daten vor dem Gesetz als personenbezogene Daten gelten.

Die DSGVO betrachtet personenbezogene Daten als alles, was mit einer Person in Beziehung steht. Hierzu zählen E-Mail-Adressen, IP-Adressen, Namen, Telefonnummern und vieles mehr. Dies alles sind die wesentlichen Informationen, die Marketing und Vertrieb als Grundlage für ihre Arbeit benötigen. Viele Unternehmen haben jedoch keinen Überblick darüber, wo sich diese Daten befinden. Natürlich wurde der Großteil dieser Daten höchstwahrscheinlich bereits in Marketing-Automatisierungssoftware wie Marketo oder Eloqua sowie CRM-Tools wie Salesforce eingepflegt. Das ist auch völlig in Ordnung. Häufig werden die Daten jedoch vom Marketing und Vertrieb aus diesen Systemen in Tabellen oder auf persönliche Geräte übertragen, damit sie bestimmte Daten potenzieller Kunden per E-Mail an Partner senden können.

Dies ist nicht zuletzt aus Compliance-Gründen äußerst beunruhigend für die IT. IT-Teams müssen zu jedem Zeitpunkt ganz genau wissen, wo sich Daten befinden. Werden diese auf Standard-Plattformen wie Marketo und Salesforce übertragen, verliert die IT jegliche Kontrolle über die Daten.

Fazit

Wir haben uns nun einige der meistgenutzten Möglichkeiten zur Übertragung von Daten sowie die Vorzüge und Schattenseiten der einzelnen Lösungen angesehen. Die beste Methode, um Arbeitnehmer über die richtige Vorgehensweise beim Datentransfer zu informieren, ist es, sie regelmäßig zu den Vor- und Nachteile der einzelnen Lösungen zu schulen. Zudem ist es unerlässlich, eine Risikobeurteilung Ihrer Infrastruktur durchzuführen, um eventuelle Sicherheitslücken zu identifizieren. Am Ende des Tages spielt es keine Rolle, welche Lösung Sie oder Ihre Endbenutzer verwenden. Letztendlich ist allein Ihr Unternehmen für die sensiblen Daten verantwortlich, ganz gleich, welche Tools und Services Sie verwenden.

Greg Mooney, Tech-Evangelist
Greg Mooney
Tech-Evangelist, Progress
Greg Mooney ist ein IT- und Sicherheitsexperte mit über 10 Jahren Erfahrung im Tech-Bereich. Er ist Moderator des preisgekrönten Podcasts Defrag This, der auf iTunes und Spotify verfügbar ist. Darüber hinaus ist er ein begeisterter Blogger und Redner zu Themen wie IT-Troubleshooting, Datensicherheit und Compliance.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Datentransfer

Datentransfer an Dritte ist die größte Sorge der deutschen Verbraucher

Inwiefern hat sich das Einkaufsverhalten von Kunden seit Beginn der Covid-19-Pandemie vom stationären auf den Onlinehandel verlagert? Welche Dinge stören deutsche Verbraucher am meisten, wenn sie ein Online-Nutzerkonto anlegen? Was sind die beliebtesten…
Datenschatz

Der Datenschatz und sein Fluch

Nutzerprofile sind Gold wert, heißt es immer wieder im Online-Marketing. Nur so lassen sich Kunden verstehen und Marketingbotschaften gezielt ausspielen. Kein Wunder, dass Marketer alles tun, um diesen Datenschatz zu heben. Dass sie sich mit US-Anbietern und…
Hintertür

Hintertüren für Ende-zu-Ende-Verschlüsselung?

Die Regierungschefs der Europäischen Union führen aktuell Gespräche darüber, ob und wie ihre Behörden in Zukunft verschlüsselte Kommunikation abhören und in die Strafverfolgung einbeziehen können.
Cookies

Cookies im Netz - Was sie alles können

Als Süßspeise bei den meisten überaus beliebt, genießen Cookies unter Internetnutzern hingegen häufig einen schlechten Ruf. Auch Datenschützer warnen immer wieder vor Cookies. Doch warum ist das so? Immerhin sorgen Cookies in erster Linie für ein möglichst…
USA-Flagge

Der Druck auf Unternehmen bei der Nutzung von US-Clouds wächst

Deutsche Unternehmen müssen schleunigst ihre Cloud-Strategie überprüfen, nachdem der EuGH das Ende des „Privacy Shield“-Abkommens eingeleitet hat. Ein Statement von Tobias Gerlinger, CEO und Managing Director von ownCloud in Nürnberg.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!