Enterprise Information Defense Strategy

Sicherheit auf allen Kanälen

Daniel Liebhart ist Dozent für Informatik an der ZHAW (Züricher Hochschule für Angewandte Wissenschaften) und Solution Manager der Trivadis AG. Er ist Autor verschiedener Fachbücher.
Bald nutzt jeder Dritte mobile Geräte für die tägliche Arbeit. Das Risiko eines Datenverlustes in den Unternehmen wächst. Besser sie ergreifen rechtzeitig Gegenmaßnahmen mit System.
Der Arbeitsplatz der Zukunft stellt neue Anforderungen an die IT-Sicherheit.
Der Arbeitsplatz der Zukunft stellt neue Anforderungen an die IT-Sicherheit.
Foto: alphaspirit-shutterstock

Die Mehrheit der zwei Milliarden Menschen, die heute weltweit online sind, verwenden mobile Geräte. In den nächsten 5 Jahren werden es laut Google noch einmal zwei Milliarden Leute mehr sein. Sie werden laut Schätzungen von IDC zu einem guten Teil auch mobil arbeiten können oder wollen. Im Jahr 2015 soll es bereits 1,3 Milliarden mobile Arbeitsplätze geben. Untersuchungen im Rahmen der Cisco-Studie "Workplace of the Future" zeigen auf, dass der überwiegende Teil aller Unternehmen bis ins Jahr 2020 mobile Arbeitsplätze zur Verfügung stellen möchte. Es wird daher nicht bei den prognostizierten Zahlen an Arbeitsplätzen bleiben, denn die Erwartungen der Unternehmen sind hoch: Höhere Produktivität durch mehr Flexibilität, weniger Kosten für Immobilien und Reisen sowie eine höhere Attraktivität für dringend benötigte Fachkräfte. Die höhere Produktivität wird durch eine verbesserte Kommunikation und klügere Entscheidungen aufgrund aktueller Informationen vor Ort - beispielsweise beim Kunden - erreicht.

Doch mobiler Arbeitsplatz ist nicht gleich mobiler Arbeitsplatz. Es wird zum einen mit verschiedenen Arbeitsgeräten - wie Notebook, Smartphone, Tablet, Digitalkamera, Videobrille, Fernseher oder Auto - auf Daten und Anwendungen des Unternehmens zugegriffen. Zum anderen erfolgt dieser Zugriff sowohl auf lokaler Client-Ebene als auch auf Remote-Basis. Manche Mitarbeiter verbringen zwar den Tag im Büro, arbeiten aber innerhalb des Firmengeländes ständig mobil. Andere sind von einem festen Home- oder Remote-Office aus tätig, wieder andere arbeiten immer von unterwegs.. Was die Sicherheit und den Schutz von unternehmenskritischen Daten betrifft, hat jede dieser Zugriffsarten ihre spezifischen Risiken, denen die jeweilige Unternehmens-IT begegnen muss.

Sicherheitsstandards

Die Marktforscher von IDC schätzen, dass gut die Hälfte kritischer Datenverluste in Unternehmen durch interne Mitarbeiter verschuldet worden sind. Die Gründe reichen von Unachtsamkeiten und Fehlern bis hin zu schlecht verwalteten Systemen.

Ob Kontostände, Kundendaten, Produktunterlagen, Bilanz- oder Strategiepapiere - der Verlust wichtiger Informationen kann Firmen jeder Größe sehr empfindlich treffen. Ohne neue Standards werden solche Vorfälle in Zeiten des mobilen Wachstums weiter rasant zunehmen. Die Standards müssen den gesamten Bereich eines mobilen Arbeitsplatzes und sämtliche Zugriffsarten umfassen. Eine kluge "Enterprise Information Defense Strategy" für die Bereitstellung sicherer mobiler Arbeitsplätze beginnt beim Endgerät, umfasst die Kommunikationsplattformen zwischen Endgeräten und IT-Infrastruktur und endet bei der Bewertung unternehmenswichtiger Daten und Informationen. Sie stützt sich auf die traditionellen Ansätze der IT-Security und kombiniert verschiedene Ausrichtungen des traditionellen Data Loss Prevention (DLP), das zwischen Bewegungsdaten (Data in Motion), gespeicherten Daten (Data in Rest) und Daten auf dem Endgerät (Data at the Endpoint) unterscheidet. Darüber hinaus sollte eine unternehmensweite Bewertung von Informationen erfolgen. Zusätzlich muss die Strategie den Aspekt der sich durch Mobilität verändernden lokalen Rahmenbedingungen einbeziehen. Je nach Land sind die Zugriffsrechte auf bestimmte Daten zu definieren, gleichzeitig aber lokale gesetzliche Rahmenbedingungen zu berücksichtigen.

DLP

DLP zielt darauf ab, einen Verlust von unternehmenskritischen Daten zu vermeiden. Dieses Element der Enterprise Information Defense Strategy besteht aus Maßnahmen zum Schutz der Bewegungsinformationen, einer Überwachung der gespeicherte Daten sowie der Absicherung unternehmenskritischer Informationen auf dem Endgerät. Im Fall der Bewegungsdaten soll beispielsweise die unkontrollierte Kommunikation über das Netz verhindert werden. Die erlaubte Kommunikation wird von Seiten der internen IT daher ständig überwacht und analysiert. Dies geschieht auf Basis eines speziellen Regelwerks, das die unternehmensweiten Richtlinien für den Schutz sensitiver Daten abbildet.

Gespeicherte Daten werden in den Bereichen Sichtbarkeit (Wo sind überall Daten zu finden?), Zugriff (Wer darf zugreifen?) und Sicherheit (Wer greift gerade zu?) geschützt. Ein drittes Maßnahmenpaket zielt darauf, die Daten auf dem Endgerät abzusichern. Eine der größten Schwachstellen ist schließlich der Verlust von Geräten wie Smartphones oder Notebooks - gelangen diese in falsche Hände, wird dem Missbrauch schnell Tür und Tor geöffnet. Ebenfalls wichtig sind exakte Kontrollen bei der Auslieferung sämtlicher Endgeräte und der Speicherung der Unternehmensdaten. Auch muss eine sichere Verwaltung der Endgeräte, deren Software und Privilegien sowie die zentralisierte Überwachung verteilter IT-Infrastrukturen gewährleistet sein.

Unternehmerische Bewertung von Daten

Datenklassifizierung ist das A und O.
Datenklassifizierung ist das A und O.
Foto: Fotolia, imageteam

Eine Enterprise Information Defense Strategy basiert auf der Unterscheidung zwischen sensitiven und nicht-sensitiven Informationen. Nur wenn ein Unternehmen eine solche festgelegt hat, lassen sich eine Strategie definieren, Sicherheitsmaßnahmen festlegen und umsetzen. Bereits eine simple Unterscheidung zwischen kritischen Daten, Business Performance Daten, essentiellen Daten, sensiblen Daten und nichtkritischen Daten (siehe Box "Die Datenklassen") ist hier sehr hilfreich und für viele Unternehmen ausreichend. Diese müssen dann entsprechend ihrem Unternehmenswert geschützt und sicher verwaltet werden.

Die Datenklassen

Daten, die für die wichtigen Geschäftsprozesse benötigt werden und deren Verlust zu einer operativen Katastrophe führen kann (die Leistungserstellung kann nicht mehr erfolgen). Sowie Daten, die aus rechtlichen Gründen aufbewahrt werden müssen
Daten, die für die Steuerung und die Planung eines Unternehmens relevant sind und deren Verlust zu einer unternehmerischen Katastrophe führen kann
Daten, die für das Daily Business verwendet werden und damit Teil des Business Know-hows seines Unternehmens sind
Daten, die für das Daily Business verwendet werden, die jedoch entweder schnell wiederhergestellt werden können oder durch alternative Daten ersetzt wer-den können
Daten, die mit geringen Kosten wiederhergestellt werden können oder aber Duplikate bestehender Daten

Going Global

Je nachdem wo sich der Mitarbeiter befindet, bestehen unterschiedliche Security-Anforderungen.
Je nachdem wo sich der Mitarbeiter befindet, bestehen unterschiedliche Security-Anforderungen.
Foto: alphaspirit - Fotolia.com

Das dritte Element einer guten Enterprise Information Defense Strategy berücksichtigt den lokalen Kontext des Zugriffs auf die Daten. Dies betrifft besonders den mobilen Arbeitsplatz. Je nach Aufenthaltsort des Mitarbeitenden gelten für den Umgang mit kritischen Daten unterschiedliche Regeln. So ist es beispielsweise in vielen Ländern nicht strafbar, geschützte Technologien, also das geistige Eigentum anderer, ohne Lizenzierung zu verwenden oder gar in eigene Produkte zu integrieren. Das kann insbesondere in forschungsintensiven Hochtechnologiesektor schnell zu einem Problem werden, da sich Mitbewerber so schnell einen Vorteil verschaffen und wirtschaftlichen Schaden anrichten können. Des Weiteren gelten in unterschiedlichen Ländern unterschiedliche Datenschutzgesetze, die den Umgang mit Personendaten regeln. Die gesetzlichen Vorgaben sind zu berücksichtigen und in die Strategie mit einzubeziehen.

Fazit

Die "mobile Explosion" hat weitreichende Konsequenzen auf die IT-Infrastruktur von Unternehmen jeder Größe und damit auch auf die Verwendung businessrelevanter Informationen. Klassische Sicherheitsregeln alleine genügen nicht, um die neuen Risiken der globalen Mobilität von Arbeitsplätzen konsequent abzusichern. Unternehmen, die mobile Arbeitsplätze anbieten wollen, sind gut beraten, vor dem Start mögliche Konsequenzen beim Umgang mit unternehmenskritischen Daten genau zu analysieren. Komplettlösungen existieren nach aktuellem Stand der Technik noch nicht. Kritische Daten lassen sich jedoch mit einer konsequenten Sicherheitsstrategie basierend auf DLP, Datenklassifizierung und -kontext bereits jetzt sehr gut schützen. (sh)

Checkliste 1: Ist Ihre Infrastruktur bereit für den Wandel?

Die IT-Infrastruktur für mobile Arbeitsplätze von morgen ist eine Kombination aus bewährter interner IT mit Cloud & Big Data Services, intelligenter Netzwerktechnologie und Sozialen Netzwerken.

Die Nachteile des Mobile Worker

Quelle Teaserbild Homepage: ollyy, Shutterstock.com