Thought Leadership
Ständig durchlaufen sensible Daten firmeninterne und externe IT-Systeme. Für ein sicheres Informationsmanagement im Unternehmen bedeutet das, nicht nur Zugriffsrechte für gespeicherte Daten zu beschränken, sondern auch Daten verschlüsselt zu übertragen. Eine solche Lösung darf Anwender jedoch im Alltag nicht aufhalten, sonst weichen sie auf ungenehmigte Datentransfer-Tools aus.
Cloud Computing ist der Treibstoff für die Produktivität in modernen Unternehmen. Die Technologie beschleunigt Prozesse und verbindet Mitarbeiter, Geschäftspartner und Kunden. Insbesondere der Einsatz Cloud-basierter E-Mail- und Kommunikationsdienste sowie Collaboration Services wird sich voraussichtlich im Laufe dieses Jahrzehnts weiter beschleunigen. Hybride Konfigurationen, bei denen Dienste sowohl On-Premise als auch in der Cloud laufen, sind für viele Großunternehmen mittlerweile Standard – reine Cloud-Ansätze sind auf dem Vormarsch. Demzufolge müssen IT-Abteilungen genau überlegen, wie sie ihre Daten sichern und wem sie dabei vertrauen. Ihr Fokus sollte hierbei nicht mehr ausschließlich auf dem sicheren Speichern von Informationen liegen.
Denn für eine Reihe sensibler Informationen verbietet es sich, diese ungeschützt intern oder extern zu übertragen. Das betrifft insbesondere Personalakten und geschäftliche Informationen. So führt die EU-Datenschutz-Grundverordnung (DSGVO/GDPR) explizit das Verschlüsseln von Personaldaten im Verarbeitungsprozess auf. Organisationen, die sensible Daten verschlüsseln und pseudonymisieren, können laut Verordnung (Artikel 34, Absatz 3a) ab dem 25. Mai 2018 sogar von einem Vorteil profitieren: Sie sind von der Pflicht befreit, die betroffene Person bei einem Sicherheitsvorfall oder -verstoß zu informieren.
Sensible Daten zirkulieren in jedem Unternehmen
Oberstes Gebot in der Praxis sollte sein, dass Unternehmen persönliche und finanzielle Informationen über ihre Angestellten vertraulich behandeln. Wenn sie die sensiblen, personenbezogenen Daten an externe Partner wie Anwaltskanzleien oder Steuerberater übermitteln, muss das verschlüsselt erfolgen. Bekommen Unbefugte dann Zugriff, sehen sie nur ‚Datenmüll‘.
Neben den Personaldaten zirkulieren in jedem Unternehmen in irgendeiner Form Kundeninformationen, Lieferantenverträge, Angebote, Ausschreibungen und rechtlich relevante Informationen. Der Zugang zu diesen Daten muss auf den Kreis der Befugten beschränkt bleiben. Einen bestehenden Zugangsschutz zu bestimmten Serverressourcen konterkariert ein Unternehmen jedoch gleich wieder, wenn die Daten anschließend im Klartext per E-Mail verschickt werden.
Zudem ergibt sich branchenspezifischer Bedarf nach Verschlüsselung, wenn beispielsweise der Geschäftserfolg massiv vom geistigen Eigentum abhängt. So benötigen die Pharmaindustrie, die Automobilbranche und der Technologiesektor Verschlüsselungslösungen, die das Übertragen großer Datenmengen aus der Forschung und Entwicklung gewährleistet.
Die ‚E-Mail-Realität’
Während Transaktionssysteme mittlerweile den Sicherheitsanforderungen für den Datenverkehr und -fluss größtenteils Rechnung tragen, haben ungeplante Ereignisse und Prozesseingriffe fast immer ein Ergebnis: E-Mail. Das E-Mail-System eines Unternehmens ist seit langer Zeit das ‚Standardsystem’ für Geschäftsmitteilungen und die Kommunikation zwischen Personen. Es ist immer noch das erste Kommunikationsmittel für die meisten geschäftlichen Nutzer, wenn sie bei einer Aufgabe zusammenarbeiten oder Informationen weitergeben müssen. Doch die meisten Nutzer haben noch nie eine digital signierte oder verschlüsselte E-Mail gesendet, auch wenn der Inhalt der E-Mail dies rechtfertigen könnte. Warum? Die Antwort ist einfach: Bisher war das Management von digitalen Zertifikaten und Schlüsseln zu arbeitsaufwendig für die IT-Abteilung, den Absender und den Empfänger.
S/MIME (Secure/Multipurpose Internet Mail Extensions) und PGP (Pretty Good Privacy) sind zwei wichtige Verschlüsselungsstandards, die von vielen E-Mail-Programmen eingesetzt werden. Doch selbst der Entwickler von PGP, Phil Zimmermann, gibt zu, dass ein Einsatz der Technologie auf allen Geräten für den einzelnen Nutzer eine technische Herausforderung darstellt. Usability-Tests können Aufschluss darüber geben, ob Nutzer eine Lösung oder eine Technologie annehmen. Viele Angebote auf dem Markt verfehlen dieses Ziel noch eindeutig.
Aus der Nutzerperspektive agieren
Mitarbeitern die Möglichkeit zu geben, E-Mails digital zu signieren und verschlüsselt zu senden, ist ein guter Anfang. Aber die technische Möglichkeit dazu ist nicht alles. Wichtig ist, die Handhabung einfach zu gestalten und so umfassend wie möglich auf Basis von Richtlinien und Automatismen zu steuern, um Abwehrreaktionen von Business-Anwendern zu vermeiden. Denn diese versuchen ja nur, ihre Arbeit zu erledigen. Aus diesem Grund ist in Sachen Datenschutz und Datensicherheit ein benutzerfreundlicher und leicht zu handhabender Ansatz mit einer guten Architektur gefordert.
Der E-Mail-Verkehr eines Unternehmens benötigt enormen Speicherplatzbedarf auf lokalen E-Mail-Servern. Um der nahezu exponentiellen Zunahme entgegenzuwirken, haben IT-Manager Beschränkungen für das Postfach und die Größe von Dateianhängen implementiert. Diese Taktik treibt viele geschäftliche Nutzer hin zu Datentransfer-Lösungen, die nicht durch das Unternehmen genehmigt wurden. Filesharing-Produkte für private Anwender sind hier meist die erste Behelfslösung. Doch diese bieten eventuell nicht das notwendige Maß an Sicherheit, Prüfung und Kontrolle, das für die Daten notwendig ist, wodurch sensible Daten erneut gefährdet werden. Deswegen müssen die meisten Unternehmen das Informationssicherheitsmanagement von E-Mails verbessern und einen proaktiveren Ansatz für die Verteilung und Weiterleitung von großen Dateianhängen suchen.
Betrieblicher Datenschutz läuft sicher im Hintergrund ab
Künftig ist die Umsetzung eines Informationsmanagementsystems mit möglichst automatischen, Richtlinien-gestützten Implementierungen der einzig realistische Weg für die Verwaltung und Pflege dieser Prozesse. Im Falle von E-Mails und dem Teilen von Dateien bedeutet dies, Lösungen anzuwenden, mit denen sowohl übertragene als auch On-Premise und in der Cloud gespeicherte Daten gesichert werden können, und zwar auf eine Weise, die für den Endanwender im Unternehmen nahezu unsichtbar ist. Der betriebliche Datenschutz sichert nur dann den wirtschaftlichen Erfolg ab, wenn er die verschiedenen Nutzergruppen nicht davon abhält, produktiv zu arbeiten.
Marcel Mock ist CTO und Mitbegründer von totemo.
