Das Internet, die Zusammenarbeit über Unternehmensgrenzen hinweg und die zahlreichen USB-Gadgets wie MP3-Player bieten Angreifern vielfältige Möglichkeiten. Das Gateway als zentrale Schutzinstanz wird mühelos mit USB-Sticks oder mit dem so genannten Social Engineering (siehe Textkasten unten) umgangen. Nicht mehr die in der Regel gut geschützten Server sind das primäre Angriffsziel, sondern PCs und Notebooks. Damit wird der Schutz des einzelnen Endgeräts, die Endpoint-Security, immer wichtiger.

Was ist schützenswert?

Unter dem Strich geht es Unternehmen darum, ihr geistiges Eigentum zu sichern. Konstruktionspläne, Kunden- oder Mitarbeiterdaten, Bilanzen - gelangen solche Informationen in fremde Hände, kann beträchtlicher Schaden entstehen.

Typischerweise geraten Daten über folgende Wege in die Hände Unbefugter:

• Schadprogramme, die sich über E-Mail oder Web-Seiten verbreiten;

• Schadprogramme, die zu Hause auf USB-Sticks, Smartphones oder MP3-Player gelangen;

• Versand von vertraulichen Daten per E-Mail, entweder versehentlich oder mit Absicht;

• unerlaubtes Kopieren von Daten auf USB-Wechselmedien;

• unerlaubtes Ausdrucken von Daten;

• Verlust von Notebooks oder Smartphones durch Diebstahl oder Unachtsamkeit.

Das bedeutet, dass der Schutz des geistigen Eigentums an mehreren Stellen ansetzen muss: Lösungen sind gefragt, nicht punktuelle Technologien.

Mit dem Schutz der verschiedenen Geräte verbinden die meisten Menschen in erster Linie den klassischen Virenscanner, der, lokal installiert, Schadprogramme aus den Datenströmen filtert oder von der Festplatte verbannt. Er kann aber nur gegen einen Teil der Angriffe schützen.

Die Grenzen der Firewalls

Eine Möglichkeit, den PC vor Schadprogrammen zu schützen, die vom Virenscanner nicht erkannt werden können, ist das so genannte Application Blocking. Dabei wird nur bestimmten Anwendungen auf dem PC Zugang zum Internet gewährt. Schadprogramme, die ohne Wissen des Nutzers Firmendaten versenden, bleiben somit außen vor. Dieses Verfahren ist mittlerweile Bestandteil vieler Personal Firewalls, hat aber auch seine Schattenseiten. Neue Anwendungen werden auch dann geblockt, wenn der Mitarbeiter sie für seine Arbeit benötigt. Hier muss zunächst ein Administrator Hand anlegen. Und nach einem größeren Update kann es sein, dass auch bereits legitimierte Programme wie Browser oder Mail-Clients nicht mehr auf das Internet zugreifen dürfen.

Der Aufwand ist erheblich und nur zu bewältigen, wenn die IT-Abteilung genügend Know-how und Mitarbeiter hat. Die bei den meisten Personal Firewalls genutzte Methode, den Endanwender entscheiden zu lassen, ob eine Anwendung auf das Internet zugreifen darf, ist auch nur in Einzelfällen praktikabel: Welcher Benutzer verfügt über das nötige Know-how, um solche Entscheidungen sicher zu fällen? So kann das Application Blocking keinen absoluten Schutz gewährleisten.

Mobile Daten verschlüsseln

Verschlüsselungstechniken sind unverzichtbar, wenn Daten auf mobilen Geräten oder Wechselmedien wie etwa USB-Sticks das Unternehmen verlassen. Eine Festplatten- und Datenträgerverschlüsselung kann ein Datenleck bei Verlust eines Notebooks verhindern. Wenn gespeicherte Daten in falsche Hände geraten, kann das die Existenz eines Unternehmens gefährden: Es können sich Haftungsansprüche ergeben, weil etwa die Bestimmungen des jüngst verschärften Bundesdatenschutzgesetzes verletzt oder Verträge mit Geschäftspartnern weitergereicht wurden. Zudem leidet die Reputation einer Firma unter solchen Vorfällen massiv. Der Markt bietet verschiedene, leicht implementierbare Lösungen für den Datenschutz. Ratsam ist vor allem, die Verwaltung der notwendigen Passwörter komfortabel zu gestalten. Schließlich muss es möglich sein, dem legitimen Besitzer der Daten auch dann den Zugriff zu ermöglichen, wenn er sein Passwort vergessen hat.

Trotz aller Sicherungsmaßnahmen wird man jedoch einen unerwünschten Verlust vertraulicher Informationen nie völlig verhindern können. An den Arbeitsplätzen muss letztendlich eine pragmatische Balance zwischen Sicherheit und Produktivität gefunden werden. Zu strenge Reglements stören den Arbeitsfluss. Wichtig ist deswegen, dass stets nachvollziehbar ist, welcher Mitarbeiter was mit den sensiblen Daten gemacht hat.

Die starke Authentifizierung trägt dazu bei. Dabei wird ein Mitarbeiter nach seiner Anmeldung am PC auch an allen Datenquellen mit seinem Benutzernamen registriert. Alle Aktionen im Netzwerk oder auf lokalen Datenträgern können ihm genau zugeordnet werden. Tauchen sensible Daten außerhalb des Unternehmens auf, ist deren Weg nachvollziehbar. Davon können auch Mitarbeiter profitieren: Durch die Authentifizierung ist es möglich, Vorsatz von Versehen zu unterscheiden. Die Geschäftsführung sollte dabei aber bedenken: Die Nachvollziehbarkeit aller Datenzugriffe darf nicht dazu führen, dass sich die Mitarbeiter ausspioniert fühlen.

Checkliste zur Softwareauswahl
Sieben Tipps, wie Sie garantiert die richtige Software für Ihr mobiles Gerät finden.

Tipp 1:
Ist die Lösung ergonomisch auch für kleinere Displays von PDAs geeignet?

Tipp 2:
Berücksichtigt die Software auch die beschränkte Speicherplatzkapazität und Rechenleistung eines PDA, sofern dieser für den Einsatz geplant ist?

Tipp 3:
Bietet die Lösung einen Offline-Betrieb an und werden dazu ausreichende Mechanismen für die notwendige Datenreplikation bereitgestellt?

Tipp 4:
Berücksichtigt die Lösung Aspekte der sicheren Datenkommunikation und der Absicherung des Geräts gegen unbefugten Zugriff? Was geschieht bei Verlust des Geräts (kann das Gerät gesperrt beziehungsweise remote gelöscht werden)?

Tipp 5:
Liefert die Lösung die mobil erfassten Daten direkt in das Backoffice (zum Beispiel direkt aufbereitet für eine Faktura) oder ist hier mit Integrationsaufwand zu rechnen? Wie hoch ist dieser?

Tipp 6:
Können neue Softwareversionen problemlos per Fernzugriff ohne Zutun des Außendienstmitarbeiters zentral an alle mobilen Endgeräte verteilt werden?

Tipp 7:
Welches Maß an Flexibilität bringt die Anwendung mit sich? Kann die eigene IT-Abteilung selbst Veränderungen und Erweiterungen vornehmen?

Produkte sind zweitrangig

Um die stationären und mobilen Arbeitsplätze zu schützen, reicht es nicht, einzelne Technologien wie Authentifizierung oder Virenschutz zu implementieren. Notwendig sind Lösungen, die dem Unternehmen auf allen Ebenen den nötigen Schutz verschaffen.

Der Schutz von Netzen und Geräten muss also als mehrstufiges Konzept betrachtet werden. Im Idealfall besteht dieses aus

• zentralen Gateway-Firewalls;

• dem Virenschutz;

• einer Personal Firewall;

• Filtern auf dem PC als dem zentralen Gateway, die verdächtige Web-Adressen und Internet-Inhalte aussortieren;

• der Verschlüsselung von Datenträgern;

• einer E-Mail-Verschlüsselung sowie

• der starken Authentifizierung der Nutzer.

Noch gibt es kein einzelnes Produkt, das alle Aufgaben erledigen kann. Lösungen, die gerade den besonderen Bedürfnissen des Mittelstands - leichte Administrierbarkeit, geringe Infrastrukturkosten und langfristiger Investitionsschutz - gerecht werden, lassen sich allenfalls aus vorhandenen Tools und Konzepten zusammensetzen. Welche Techniken und Produkte konkret genutzt werden, ist dabei zweitrangig. Jeder Virenscanner eines namhaften Herstellers ist in der Lage, Schadprogramme von den Arbeitsplätzen fernzuhalten. Entscheidend ist, wie die Lösung sich in die Arbeitsprozesse und die Strategie des Unternehmens einfügt. (jha)