Textversion
Wer bietet was Recht Markt Produkte Services Whitepapers Fachartikel Compliance-Kiosk Schwerpunkte Branchen Videothek Schulungen Literatur Governance Webinare Compliance-Lexikon Success Stories Specials Security-Telegramm SaaS / Cloud-Telegramm Compliance-Archiv
Home Fachartikel Administration

Fachartikel


Administration Entscheidungshilfen Hintergrund Kosten Management Recht

Events / Veranstaltungen Datenschutzerklärung Newsletter Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

Datenverletzung in Unternehmen


Datenschutz-Disziplin direkt am Computer des Mitarbeiters durchsetzen
Was moderne Endpunkt-DLP-Lösungen leisten müssen

Anzeige

(08.11.10) - Obwohl das Thema Datenverletzung in Unternehmen in der letzten Zeit weniger Beachtung in den Medien fand, nehmen die Schäden, die Unternehmen weltweit durch Datenverletzung entstehen, immer noch zu und stehen weiterhin im Fokus der qualifiziertesten Marktforschung. Dies hat die jüngste Jahresstudie des Ponemon Institute "Cost of a Data Breach" erneut bestätigt, die dieses Jahr für die fünf führenden westlichen Wirtschaftsmächte, d.h. USA, Deutschland, Großbritannien, Frankreich und Australien, veröffentlicht wurde.

Derselbe Trend wurde im Markt für kleine und mittlere Unternehmen festgestellt. Nach den Ergebnissen des "Symantec 2010 Global SMB Information Protection Survey" gehört ein Datenverlust für kleine und mittelständische Unternehmen zu den größten Bedrohungen. Da dürfte die Feststellung keine Überraschung sein, dass die durchschnittlichen jährlichen Kosten eines Internetangriffs bei kleinen und mittelständischen Unternehmen fast 190.000 US-Dollar ausmachen.

Drei Hauptfaktoren haben zu diesem alarmierenden Trend beigetragen:

Der erste Faktor ist die "Consumerization von IT-Systemen" - die allgegenwärtige Verbreitung von Endgeräten wie Smartphones, Tablet PCs und Web 2.0-Software in der IT-Umgebung der Unternehmen.

Zweifellos haben sich die Social Media und das Peer-to-Peer-Networking, Instant Messaging, die Blogs und Webmail als äußerst effektive Instrumente in der modernen internetorientierten Wirtschaft erwiesen, in der die Aufmerksamkeit des Kunden Mangelware wird. Gleichzeitig sind sie aber auch eine wertvolle Quelle für Marketing, PR und sogar Vertrieb. Außerdem sind sie bereits für die interne Verwendung im Unternehmen unerlässlich geworden.

Im Hinblick auf die Informationssicherheit schaffen all diese Kommunikationsmittel jedoch neue Gelegenheiten für Datenlecks, die weder die herkömmliche Netzwerksicherheit noch Antivirus-Lösungen kontrollieren können. Wie groß die Besorgnis der Industrie über den Missbrauch der Social Media im IT-Bereich von Unternehmen ist, wurde klar, als im Mai 2010 der führende Verband zur Förderung von IT-Standards ISACA ein spezielles White Paper herausgab mit dem Titel: "Social Media: Business Benefits and Security, Governance and Assurance Perspectives", das Empfehlungen für Unternehmen zur sicheren Nutzung von Social Media in ihren IT-Systemen enthielt.

Nicht weniger riskant für Unternehmen scheinen die "Vorteile" von Peer-to-Peer (P2P)-Anwendungen zu sein. Anfang des Jahres wurden von der Federal Trade Commission in fast 100 US-Unternehmen umfangreiche Datenverletzungen auf Grund der unangemessenen Verwendung von P2P-Filesharing aufgedeckt.

Zweitens haben sich in den letzten zehn Jahren die von außen kommenden Bedrohungen für die IT-Sicherheit in Unternehmen strategisch verlagert: Ziel ist nicht mehr die IT-Infrastruktur, sondern die Jagd nach Daten oder, genauer gesagt, nach wertvollen Daten. Die Internetkriminalität ist inzwischen gut organisiert und kommerzialisiert. Derzeit erzielt sie einen Jahresumsatz von ca. 1 Milliarde US-Dollar.

Ganz wichtig ist, dass die modernen Bedrohungen aus dem Internet immer häufiger Endpunkt-Computer zum Ziel haben, weil diese weniger geschützt sind als Server, jedoch gleichzeitig Unmengen an sensiblen privaten Daten und Unternehmensinformationen speichern. Die Angriffe von außen werden immer raffinierter: man kombiniert modernste Software und Netzwerktechniken mit der ganzen Macht des Social Engineering, um Endpunkt-Computer mit kommerzieller Malware zu infizieren.

Ein unbedachter Klick auf ein Link in einer Spam-E-Mail reicht aus, um den Unternehmenscomputer mit einem kleinen Programm zu infizieren, das den RAM-Speicher nach Daten der gewünschten Art ausspionieren, die gewünschten Informationen heimlich speichern und später über verfügbare Kommunikationssysteme an ein Ziel im Internet senden kann.

Der dritte - und gefährlichste - Faktor der Datenverletzung ist schließlich der Mensch selbst, bzw. das Verhalten sogenannter "Insider". Falsches Verhalten und Nachlässigkeit stellen ein wesentliches Element der meisten Endpunkt-Datenlecks dar. Trotz aller Vorschriften und Richtlinien in einem Unternehmen, speziellen Schulungen, administrativen Sanktionen und Strafen wird sich die menschliche Natur nicht ändern: auch loyale Mitarbeiter werden versehentlich Fehler machen, seltsame Fehler - werden etwas tun, das sie nicht tun sollten, und böswillige Insider sind bewusst auf der Jagd nach Informationen, die von großem Wert sind.

Daher muss die Disziplin bei der Datenkommunikation und Speichersicherheit auf Unternehmenscomputern mit Mitteln durchgesetzt werden, die nicht vom Menschen abhängen - einem automatischen Werkzeug, das alle Benutzeraktionen im Rahmen der jeweiligen Aufgabenbereiche transparent zulässt und gleichzeitig versehentliche oder absichtliche Versuche blockiert, etwas außerhalb der festgesetzten Grenzen zu tun.

Und genau darauf zielen die Lösungen zur Verhinderung von Endpunkt-Datenlecks (DLP) ab. Ihre Hauptfunktion ist es, den Grundsatz des "geringsten Privilegs" präzise umzusetzen, wenn Benutzerrechte für den Datentransfer und die Datenspeicherung erteilt werden, und die Datenschutz-Disziplin direkt am Computer des Mitarbeiters durchzusetzen. Daraus ergibt sich, dass Endpunkt-DLPLösungen bereits im Voraus mögliche Datenleck-Szenarien verhindern, bei denen die Benutzer zu weitreichende Berechtigungen für Kommunikationswege besitzen, die nicht in ihren Aufgabenbereich fallen.

Was das Risikomanagement anbelangt, so reduziert sich dadurch unmittelbar die Gefahr, dass sensible Informationen unkontrolliert einen Unternehmenscomputer verlassen, egal ob durch Nachlässigkeit oder in böswilliger Absicht.

Die Möglichkeit, den Inhalt der zulässigen Kommunikation zu analysieren und nicht genehmigte Daten herauszufiltern, ist ein weiteres Merkmal der DLP-Lösungen, das ihre Effizienz als Tool zur Durchsetzung einer gewissen Disziplin bei der Sicherheit an Unternehmens-Endpunkten weiter erheblich steigert.

Moderne Endpunkt-DLP-Lösungen blockieren nicht nur beschränkte Vorgänge und Daten, sondern protokollieren jedes Detail und erstellen bei Bedarf Schattenkopien in zentralen Datenbanken, die zur Verfügung stehen, wenn die Einhaltung der Sicherheitsrichtlinien überprüft wird und Nachforschungen zu bestimmten Vorkommnissen angestellt werden.

Neben dem Hauptzweck, nachlässige oder böswillige Insider zurückverfolgen, identifizieren und bestrafen zu können, ist dieses Merkmal gleichzeitig ein großer Anreiz für die Mitarbeiter, die Regeln eingeführter Datensicherheitsrichtlinien nicht zu verletzen. Weil jeder von ihnen weiß, dass ihre Endpunkt-Kommunikation und Datenübertragungen überwacht und protokolliert werden, entwickelt sich durch das Bewusstsein, dass man "überwacht" wird, eine gewisse Selbstkontrolle durch unbewusste Umsetzung der Vorschriften - ein im Gedächtnis ansässiger "DLP-Agent", der häufig die Unternehmensdaten zuverlässiger schützt als die raffiniertesten Techniken.

Diese innere Selbstkontrolle ergänzt die DLP-Disziplin insgesamt messbar - wenn auch nicht fühlbar - und verdoppelt deren Leistung. Vor allen Dingen erhöht sich die Zuverlässigkeit eines DLP-Systems auch, weil der interne "DLP-Agent" ständig im Dienst ist und als virtuelles Backup für die Systemkomponente dient, wenn diese vorübergehend abgeschaltet oder gewartet wird. Natürlich sind Datenlecks und Disziplinverluste bei der Informationssicherheit so eng miteinander verbunden, was Kontext, Prozesse und Einfluss betrifft, dass eine Lösung, die einen dieser Punkte neutralisiert, dementsprechend die anderen Punkte abschwächt.

Es mag wie ein Wortspiel erscheinen, aber es ist wirklich sinnvoll, das Akronym "DLP" als "Discipline’s Loss Prevention" bzw. Verhinderung des Disziplinverlustes zu interpretieren und den Datensicherheitsbeauftragten bei DLP-Lösungen die Berücksichtigung der Aspekte Disziplin und Selbstdisziplin in allen Phasen eines DLP-Projektes zu empfehlen. In erster Linie wird dies auch helfen, die Erwartungen der Geschäftsleitung und der Endbenutzer zu erfüllen, sowie die Projektergebnisse realistisch zu bewerten und ordnungsgemäß zu interpretieren. (DeviceLock: ra)

DeviceLock: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -


Meldungen: Administration

Compliance-Monitoring in ERP-Systemen Neue Regulatoren und Anforderungen unterschiedlicher Anspruchsgruppen haben die Notwendigkeit einer unternehmensweiten Beschäftigung mit den Themen Governance, Risk und Compliance (GRC) erhöht. Um in diesen Bereichen effizient sein zu können, setzen sich Unternehmen vermehrt das Ziel, GRC-Aktivitäten weg von periodisch wiederkehrenden Aufgaben hin zu einem strategisch ausgerichteten kontinuierlichen Management zu überführen.

Compliance Management unter REACh Zwar tritt die Europäische Chemikaliengesetzgebung (REACh) frühestens im April 2007 in Kraft, doch machen proaktive Marktteilnehmer bereits jetzt ihre Hausaufgaben. Sie führen durchgängige IT-Lösungen ein, um die geforderten Informationen Ressourcen schonend erschließen und weiterverarbeiten zu können. Im Brennpunkt der Entwicklungsarbeit stehen Projektmanagementsysteme, die den Registrierungsprozess teamübergreifend abbilden.

GoBS und Access Management Unternehmen sind gemäß der "Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme" (GoBS) dazu verpflichtet, geschäftskritische Daten vor unberechtigtem Zugriff und Veränderung zu schützen. Viele Unternehmen tun sich jedoch schwer, das Zugriffsverhalten der Anwender in dem vom Gesetzgeber geforderten Umfang zu überwachen und zu dokumentieren.

Information Security Management-Systeme Banken und Sparkassen sind ständigen Bedrohungen ausgesetzt, sowohl von außen - zum Beispiel durch Hacker und Viren, als auch von innen - etwa durch unachtsame Mitarbeiter. Mithilfe eines Information Security Management-Systems können Finanzdienstleister Schwachstellen in ihren Sicherheitsvorkehrungen systematisch identifizieren und somit Geschäftsrisiken reduzieren.

Administration für KMUs In großen Unternehmen gibt es die IT-Abteilung, bei kleinen und mittleren Firmen oft mehr oder weniger geordnetes Chaos. In den seltensten Fällen hat überhaupt jemand den Durchblick, oft wird die Verwaltung der Computer nebenbei erledigt. Wenn das nicht die Produktivität und die Sicherheit einschränken soll, müssen sinnvolle Tools helfen.

Druckbare Version

Compliance und Software-Audits Compliance-Monitoring in ERP-Systemen