Thought Leadership
Auch beim Thema Sicherheit kann unter Umständen weniger mehr sein. Viele Unternehmen machen nämlich den Fehler, dass sie entweder gar nicht aktiv werden oder zu viel auf einmal wollen, wenn es um den Schutz vertraulicher Dokumente geht.
So zeigt sich in Projetken immer wieder, dass die Verantwortlichen beim Thema Sicherheit als erstes darüber nachdenken, wie sie ihre Daten vor dem Zugriff durch die NSA schützen können. Das ist so, als würde ein Museum zwar seinen Rembrandt mit einer aufwändigen Alarmanlage sichern – hätte aber noch nicht mal ein ordentliches Schloss an der Eingangstüre. Anders ausgedrückt: bevor man sich über die NSA den Kopf zerbricht, sollte man die Basics erledigen. Denn im Vorfeld der komplexen Aufgaben – und was die NSA betrifft wäre eine durchgängige Absicherung in der Tat extrem aufwändig, wenn nicht gar unmöglich –, kann man mit relativ überschaubarem Einsatz recht viel erreichen. Der Großteil der Risiken entsteht nämlich auf ganz niedrigem Niveau: Da sind der verlorene USB-Stick, die E-Mail an den falschen Adressa-ten, die Unternehmensdaten auf dem privaten Laptop oder Smartphone. Die gefährlichsten, weil häufigsten “Cyber-Angreifer” sind Nachlässigkeit, Schludrigkeit, Sorglosigkeit, Unkonzentriertheit aber oft auch Unwissenheit und Überforderung.
Gegen solche Datenlecks können Unternehmen einiges tun. Zum einen, indem sie Daten klassifizieren. Und auch da gilt: klein anfangen, mit überschaubarem Aufwand viel erreichen. In einer ersten Stufe klassifizieren einige User ihre Daten freiwillig selbst, erst in einer zweiten Stufe müssen Daten bestimmter Nutzergruppen verpflichtend klassifiziert werden. Natürlich – und dieser Einwand kommt regelmäßig an diesem Punkt – kann man auf diese Weise nicht verhindern, dass ein frustrierter Mitarbeiter die besten Geschäftsideen an die Konkurrenz weiterleitet. Aber man kann so dafür sorgen, dass vertrauliche Daten leichter erkannt werden und das Risiko eines Abflusses signifikant gesenkt wird. Die Erfahrungen zeigen, dass die entsprechenden Verfahren bei einer behutsamen Schritt-für-Schritt Einführung von den Mitarbeitern besser akzeptiert und umgesetzt werden als vorher oft gedacht. Erst in Ergänzung dazu “lohnt” es sich, auch die komplexeren Aufgaben anzupacken, in diesem Fall also beispielsweise eine automatisierte Klassifizierung ausgewählter Datenflüsse im Unternehmen vorzunehmen.
Analog empfiehlt sich auch ein Stufenmodell für die Einführung der Dateiverschlüsselung auf der Basis von Klassifizierung. Wieder gilt: einfach anfangen, mit wenig Aufwand die häufigsten Risiken aus-schalten. Auf der ersten Stufe kann jeder innerhalb des Unternehmens alle Dokumente lesen, der Rest der Welt bleibt allerdings außen vor. Dafür müssen kaum spezifische Workflows aufgesetzt werden, aber wieder hat man mit überschaubarem Aufwand viel erreicht: Jetzt ist es keine Katastrophe mehr, wenn trotzdem noch vertrauliche Dokumente auf einen USB-Stick gelangen und im Zug liegen bleiben, denn ihr Inhalt ist verschlüsselt. Anstatt sich auf die Tagesform der Belegschaft zu verlassen, wird in dieser Stufe ein kontrollierter Weg nach außen geschaffen – Mitarbeiter müssen explizit bestätigen, dass eine vertrauliche Datei beim Versenden entschlüsselt werden soll. Aus Versehen kann sie nicht mehr in falsche Hände geraten. Klar, wer seiner Firma nicht wohlgesonnen ist, wird dadurch nicht ausgebremst, aber Irrläufer und falsche Adressaten durchaus. Und es gibt ja noch die weiteren Stufen: Black Lists, die angeben, welche Abteilungen, Rollen oder Personen bestimmte Dokumente nicht sehen dürfen, zum Beispiel die IT oder die Gruppe der Externen. Auch das lässt sich mit kontrolliertem Aufwand implementieren. Erst wenn ein Unternehmen so weit ist, sind granulare Berechtigungen wirklich sinnvoll.
Grundsätzlich führt also eine Strategie zum Schutz vertraulicher Daten vom Groben zum Feinen, vom Einfachen zum Komplizierten. Natürlich muss ein Unternehmen sich besser früher als später auch gegen die ausgefuchsten “Hacker” schützen; gegen die NSA ist ohnehin kaum ein Kraut gewachsen. Aber man sollte eben nicht die Budgets gleich im ersten Schritt gegen die Profis verpulvern und sich in Komplexität verlieren, aber dann nichts mehr übrig haben, wenn es gilt, sich gegen die große Zahl der vergleichsweise banalen Datenlecks abzusichern.
Autor: Dr. Christoph Hönscheid, Manager Digital Workforce & Mobility bei NTT Security
