Endpoints und E-Mails absichern
Foto: Pixelio, Antje Delater
Doch auch dem normalen IT-User im Unternehmen stehen etliche Möglichkeiten offen, um interne Informationen abzuschöpfen. Dazu bedarf es keiner ausgefeilten IT-Kenntnisse. Ein USB-Stick oder eine externe Festplatte genügen. Laut der Studie von Corporate stellen hierzulande fast zwei Drittel der mittelständischen Firmen ihren Mitarbeitern Rechner mit unkontrollierten USB-Ports und DVD-Laufwerken. Auch via Internet und E-Mail können Daten nach außen gelangen. Die Nutzung der Online-Dienste ist nur selten eingeschränkt.
Eine relativ einfache Möglichkeit, um solche Aktionen zu unterbinden, besteht darin, den Zugriff auf Daten einzuschränken: Dem Mitarbeiter werden via System- und Anwendungs-Management nur Rechte an denjenigen Applikationen und Informationsbeständen eingeräumt, die er für seine Tätigkeit benötigt. Ein Vertriebsmitarbeiter etwa braucht keinen Zugang zu den Finanzdaten des Unternehmens. Ergänzend dazu empfiehlt sich der Einsatz von Data-Loss-Prevention-Systemen. Sie kontrollieren bei Bedarf den E-Mail-Text sowie Dateianhänge anhand eines Security-Regelwerks und von Schlüsselbegriffen.
Hilfreich können auch DLP-Lösungen aus Hard- und -Software sein, die Ports von Client-Systemen freischalten und sperren. Ein Beispiel ist das Tool "Device Monitoring" der russischen Firma Infowatch. Sie erfasst, welche Mitarbeiter welche Daten wo speichern: auf einem Stick, einer externen Festplatte oder über ein Wireless LAN auf einem privaten Notebook. Der Systemverwalter kann mit Hilfe von Regeln steuern, welche dieser Aktionen erlaubt und welche untersagt ist.
Loyalität schützt am besten
Ein umfassendes IT-Security-Konzept schützt geschäftskritischen Daten nicht nur vor externen Angriffen, sondern auch vor unerlaubten Zugriff durch eigenen Mitarbeiter, Geschäftspartner und Dienstleister. Data-Loss-Prevention- und Monitoring-Tools sind geeignete technische Hilfsmittel. Noch wichtige ist es jedoch, die Loyalität der Mitarbeiter zu wahren oder zu gewinnen. (jha)
Bernd Reder ist freier IT- und Netzwerkfach-Journalist in München
Datenpannen in Deutschland
• Dem Finanzdienstleister AWD wurden Anfang 2010 rund 12.000 Datensätze von Kunden und Mitarbeitern gestohlen. Diese wurden Interessenten zum Kauf angeboten. Die Daten enthielten unter anderem Informationen wie Name, Beruf, Kontaktdaten der Kunden sowie Details zu den Verträgen, die diese mit AWD abgeschlossen hatten.
• Im August waren 150.000 Datensätze von Online-Kunden der Drogeriekette Schlecker mit Vor- und Nachnamen, Adresse, Geschlecht, E-Mail-Adresse und Kunden-Profil über das Internet zugänglich. Gleiches galt für mehr als sieben Millionen E-Mail-Adressen von Newsletter-Empfängern. Das Unternehmen räumte ein, der Zugriff auf diese Informationen sei durch einen internen Angriff ermöglicht worden.
• Im Juni versandte der Fußballverein Werder Bremen an seine Mitglieder einen E-Mail-Newsletter. Darin enthalten war ein Link zur Datenbank mit den persönlichen Informationen von rund 35.000 Mitgliedern des Vereins. Rund zwei Stunden lang waren Daten wie Name, Adresse, Geburtsdatum und Kontonummer der Betreffenden für alle Empfänger des Newsletters verfügbar.
• Nach einem Bericht des Norddeutschen Rundfunks ermöglichte die Hamburger Sparkasse externen Finanzberatern den Zugang zu Kontodaten von Kunden - ohne dass diese, wie vom Gesetzgeber gefordert, dazu ihre Einwilligung gegeben hatten. Die Bank beschwichtigte, die Berater hätten ohne Wissen und Billigung des Geldinstituts die Informationen abgefragt. Den mangelnden Schutz von Kundendaten kommentierte die Bank nicht.