Die mittelständischen Unternehmen in Deutschland investieren einer Studie von Symantec zufolge rund 10.500 Euro in Lösungen, mit denen sich interne Daten schützen, sichern und wiederherstellen lassen. Was bei diesen Investitionen häufig übersehen wird: Firewalls, Intrusion-Protection-Systeme oder das Backup von Daten helfen zwar gegen Angriffe von außen oder gegen technische Defekte, etwa den Crash von Servern und Speichersystemen.
Ebenso wichtig sind jedoch Vorkehrungen, die den Verlust von Daten durch eigene Mitarbeiter oder durch Beschäftigte von Partnerfirmen verhindern (Data Loss Prevention = DLP). Der Erhebung zufolge räumten 63 Prozent der mittelständischen Unternehmen in Deutschland ein, bereits einmal unternehmenskritische Informationen verloren zu haben. In 36 Prozent der Fälle waren es die eigenen Mitarbeiter unternehmenskritische Informationen geklaut haben. 16 Prozent der Ereignisse gehen auf zielgerichtete Aktionen illoyaler Beschäftigte zurück.
- So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen. - 1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen. - 2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen. - 3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden. - 4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam. - 5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen. - 6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen. - 7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden. - 8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor. - 9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich. - 10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.
Besserung ist nicht in Sicht. Der anhaltende Trend zur Mobilität bietet Mitarbeitern und externen Dienstleistern den Zugriff auf sensible Systeme von fast jedem Ort der Welt aus. "Auch die Tendenz, Services in die Cloud auszulagern und damit interne Abläufe an externe Dienstleister zu übergeben, verstärkt die Gefahr des Datenmissbrauchs", warnt Márton Illés, Product Architect der ungarischen IT-Sicherheitsfirma Balabit.