Anzeige

Anzeige

VERANSTALTUNGEN

DWX-Developer Week
24.06.19 - 27.06.19
In Nürnberg

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Anzeige

Anzeige

DatenlecksAuch beim Thema Sicherheit kann unter Umständen weniger mehr sein. Viele Unternehmen machen nämlich den Fehler, dass sie entweder gar nicht aktiv werden oder zu viel auf einmal wollen, wenn es um den Schutz vertraulicher Dokumente geht. 

So zeigt sich in Projetken immer wieder, dass die Verantwortlichen beim Thema Sicherheit als erstes darüber nachdenken, wie sie ihre Daten vor dem Zugriff durch die NSA schützen können. Das ist so, als würde ein Museum zwar seinen Rembrandt mit einer aufwändigen Alarmanlage sichern – hätte aber noch nicht mal ein ordentliches Schloss an der Eingangstüre. Anders ausgedrückt: bevor man sich über die NSA den Kopf zerbricht, sollte man die Basics erledigen. Denn im Vorfeld der komplexen Aufgaben – und was die NSA betrifft wäre eine durchgängige Absicherung in der Tat extrem aufwändig, wenn nicht gar unmöglich –, kann man mit relativ überschaubarem Einsatz recht viel erreichen. Der Großteil der Risiken entsteht nämlich auf ganz niedrigem Niveau: Da sind der verlorene USB-Stick, die E-Mail an den falschen Adressa-ten, die Unternehmensdaten auf dem privaten Laptop oder Smartphone. Die gefährlichsten, weil häufigsten "Cyber-Angreifer" sind Nachlässigkeit, Schludrigkeit, Sorglosigkeit, Unkonzentriertheit aber oft auch Unwissenheit und Überforderung.

Gegen solche Datenlecks können Unternehmen einiges tun. Zum einen, indem sie Daten klassifizieren. Und auch da gilt: klein anfangen, mit überschaubarem Aufwand viel erreichen. In einer ersten Stufe klassifizieren einige User ihre Daten freiwillig selbst, erst in einer zweiten Stufe müssen Daten bestimmter Nutzergruppen verpflichtend klassifiziert werden. Natürlich – und dieser Einwand kommt regelmäßig an diesem Punkt – kann man auf diese Weise nicht verhindern, dass ein frustrierter Mitarbeiter die besten Geschäftsideen an die Konkurrenz weiterleitet. Aber man kann so dafür sorgen, dass vertrauliche Daten leichter erkannt werden und das Risiko eines Abflusses signifikant gesenkt wird. Die Erfahrungen zeigen, dass die entsprechenden Verfahren bei einer behutsamen Schritt-für-Schritt Einführung von den Mitarbeitern besser akzeptiert und umgesetzt werden als vorher oft gedacht. Erst in Ergänzung dazu "lohnt" es sich, auch die komplexeren Aufgaben anzupacken, in diesem Fall also beispielsweise eine automatisierte Klassifizierung ausgewählter Datenflüsse im Unternehmen vorzunehmen.

Analog empfiehlt sich auch ein Stufenmodell für die Einführung der Dateiverschlüsselung auf der Basis von Klassifizierung. Wieder gilt: einfach anfangen, mit wenig Aufwand die häufigsten Risiken aus-schalten. Auf der ersten Stufe kann jeder innerhalb des Unternehmens alle Dokumente lesen, der Rest der Welt bleibt allerdings außen vor. Dafür müssen kaum spezifische Workflows aufgesetzt werden, aber wieder hat man mit überschaubarem Aufwand viel erreicht: Jetzt ist es keine Katastrophe mehr, wenn trotzdem noch vertrauliche Dokumente auf einen USB-Stick gelangen und im Zug liegen bleiben, denn ihr Inhalt ist verschlüsselt. Anstatt sich auf die Tagesform der Belegschaft zu verlassen, wird in dieser Stufe ein kontrollierter Weg nach außen geschaffen – Mitarbeiter müssen explizit bestätigen, dass eine vertrauliche Datei beim Versenden entschlüsselt werden soll. Aus Versehen kann sie nicht mehr in falsche Hände geraten. Klar, wer seiner Firma nicht wohlgesonnen ist, wird dadurch nicht ausgebremst, aber Irrläufer und falsche Adressaten durchaus. Und es gibt ja noch die weiteren Stufen: Black Lists, die angeben, welche Abteilungen, Rollen oder Personen bestimmte Dokumente nicht sehen dürfen, zum Beispiel die IT oder die Gruppe der Externen. Auch das lässt sich mit kontrolliertem Aufwand implementieren. Erst wenn ein Unternehmen so weit ist, sind granulare Berechtigungen wirklich sinnvoll.

Grundsätzlich führt also eine Strategie zum Schutz vertraulicher Daten vom Groben zum Feinen, vom Einfachen zum Komplizierten. Natürlich muss ein Unternehmen sich besser früher als später auch gegen die ausgefuchsten "Hacker" schützen; gegen die NSA ist ohnehin kaum ein Kraut gewachsen. Aber man sollte eben nicht die Budgets gleich im ersten Schritt gegen die Profis verpulvern und sich in Komplexität verlieren, aber dann nichts mehr übrig haben, wenn es gilt, sich gegen die große Zahl der vergleichsweise banalen Datenlecks abzusichern.

Christoph Honscheid

 

 

Autor: Dr. Christoph Hönscheid, Manager Digital Workforce & Mobility bei NTT Security
 

GRID LIST
Datensicherheit Erdkugel

Wer seine Daten nicht schützt, wird zum Verlierer

Die Gefahren im neuen digitalen Zeitalter wachsen, neue „Spielregeln“ verändern die Welt.…
DSGVO Last

Innovationsbremse DSGVO: Hemmnis für europäische Start-Ups

Vor rund einem Jahr ist die zweijährige Übergangsfrist der Datenschutzgrundverordnung…
Passwort

Datenklau 2019: Passwort-Manager schützen vor Hacker-Angriffen

Das Thema Datenklau ist durch den vor Kurzem öffentlich gewordenen Leak von Politiker-…
Schloss vor Tastatur

E-Mail-Verschlüsselung für jeden

Reddcrypt soll E-Mails ganz einfach verschlüsseln, auf jedem Endgerät, mit jeder…
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…