Dass Unternehmensdaten verloren gehen oder gestohlen werden, ist unvermeidbar. Aber es gibt Mittel und Wege, das Risiko zu verringern und den Schaden so gering wie möglich zu halten. Dabei sollte das Augenmerk vor allem auf verwaisten User-Accounts, leichtfertig vergebenen Berechtigungen und mobilen Datenzugriffen liegen.
Das Security-Unternehmen Symark befragte kürzlich mehr als 850 Manager nach ihren Sicherheitsvorkehrungen. Wie sich dabei herausstellte, haben 42 Prozent der Unternehmen keine blassen Schimmer, wie viele Accounts immer noch in ihrem Netz existieren, obwohl der User längst nicht mehr zu ihnen gehört. Schlimmer noch: Fast ein Drittel weiß nicht, wie sich diese Accounts löschen lassen. Zudem nehmen es viele Unternehmen nicht so genau mit den Regeln, wer auf welche Daten im Netz zugreifen darf.
Es sei keine Ausnahme, das auf die Dateien eines ganzen Datenordners pauschal jeder User im Netz zugreifen dürfe, bemängelt Johnnie Konstantas, Marketing-Chef bei Varonis Systems, einem Anbieter von Daten-Governance-Lösungen. Einen solchen globalen Zugriff darf es seiner Ansicht nach eigentlich gar nicht geben. Er sollte durch Regeln ersetzt werden, die den Zugriff nur für eng umrissene Anwendergruppen gestatten. Die IT-Abteilungen müssen nachhalten, wem welcher Datenspeicher "gehört". Darüaber hinaus sei es notwendig, die Zugriffsberechtigungen regelmäßig zu überprüfen oder generell neu zu vergeben. (Zum Thema siehe auch: "Digitale Identität für vernetztes Arbeiten".)
Eine laxe Berechtigungspolitik ist vor allem dann gefährlich, wenn sie auf die wachsende Bedrohung durch die unkontrollierte Nutzung mobiler Endgeräte trifft (siehe auch: "Remote-Zugriff absichern"). Damit steige die Gefahr versehentlicher Datenverluste und absichtlicher Einbrüche in die Unternehmensdatenbanken, so der Datensicherheitsexperte Ben Halpert: "Die derzeitigen Sicherheitsmodelle taugt nicht, um den heutigen Bedrohungen Paroli zu bieten." Hinsichtlich der Sicherheit in mobilen Umgebungen müsse jedes Unternehmen ein paar Tatsachen akzeptieren: "Erstens kann man die Ausbreitung mobiler Endgeräte nicht eindämmen. Zweitens ist auch die größte Sorgfalt der Benutzer für sich allein genommen ineffektiv. Und drittens verschieben punktuelle Lösungen, beispielsweise ein Verschlüsselung, das Problem nur auf eine andere Ebene."
Eine Studie des Ponemon Institute aus dem Dezember vergangenen Jahres bestätigt Halperts Bedenken. Der Umfrage zufolge haben fast 40 Prozent der Firmenmitarbeiter schon einmal ein Mobilgerät mit Unternehmensdaten verloren. Mindestens jeder zweite der Befragten räumte ein, trotz anders lautender Firmenpolitik sensible Daten auf einen USB-Stick geladen zu haben (siehe auch: "Unterschätzte Gefahr durch private Sticks").
Halperts Vorschlag: Die Unternehmen sollten eine ganzheitliche Strategie für mobile Sicherheit implementieren, die sowohl die Technik als auch die Anwenderpopulation und die Prozesse einbeziehe. "Die Mehrheit Ihrer Mitarbeiter hat sicher nichts Böses im Sinn", räumt der Security-Experte ein. "Aber es gibt Spezialisten für Social-Engineering, die sich mit der menschlichen Natur auskennen und leicht an die Informationen herankommen, die sie haben wollen."
