Bloß nicht auf das Titelblatt!
Wie verhindern Unternehmen, dass sie zu Opfern des nächsten Datenskandals werden?
„Das Thema Datenschutz ist im letzten Jahr in Gesellschaft und Medien so präsent gewesen wie seit langem nicht mehr.“ Dieses Zitat stammt aus dem aktuellen Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BFDI) und bezieht sich auf Vorfälle des Jahres 2008. Im ausklingenden Jahr 2009 scheinen sich die Verhältnisse kaum gebessert zu haben. Ganz im Gegenteil dazu spricht Frank Brandenburg, Vice President Northern Europe bei Websense, gar von einer „drastischen Zunahme von Datenpannen“. Er sagt: „Es vergeht kaum eine Woche, in der nicht ein gravierender Fall bekannt wird.“
Für den skeptischen Geist mag das übertrieben klingen. Dabei ist es keineswegs unverhältnismäßig, wie ein Blick auf die mediale Berichterstattung datenschutzrechtlicher Vorfälle alleine im Monat November zeigt. Das größte Aufsehen erregte wohl der Kreditkartenskandal, bei dem verschiedene Banken hunderttausende von Kreditkarten austauschten. Offenbar war es einem spanischen Dienstleister gelungen, Karteninformationen zu kopieren und damit illegale finanzielle Transaktionen durchzuführen. Auch die Telekom wurde ein weiteres Mal von einem Datenschutzvorfall erschüttert. Dieses Mal traf es ihre britische Tochter T-Mobile, deren Angestellte die Daten einiger tausend Kunden über Zwischenhändler an die Konkurrenz verkauften. Zudem wurde bekannt, dass externe IT-Berater auf die Kundendaten des Finanzdienstleisters AWD zugreifen konnten und Hacker rund 350.000 Kundendaten des Deutschen Sparkassenverlags einsehen konnten. Die Liste ließe sich fortsetzen.
Dabei gibt es eine Reihe von Softwarelösungen, die dem absichtlich herbeigeführten oder unbeabsichtigt auftretenden Datenverlust vorbeugen sollen. Die Rede ist von Data Leakage/Loss Prevention (DLP); je nach Definition handelt es sich dabei um verschiedene Funktionen, Techniken und Maßnahmen, mittels derer Daten vor nicht autorisiertem Zugriff geschützt werden. Doch was genau ist von einer umfassenden DLP-Lösung zu erwarten? Die Antwort kennt Johann Strauß (siehe Foto unten rechts), Vertriebsleiter IronPort DACH bei der Cisco Systems GmbH: „DLP-Lösungen prüfen und bewerten sämtliche Informationen, die auf elektronischem Weg das Unternehmen verlassen. Wichtige Funktionen sind dabei die inhaltsbasierte Analyse von Dokumenten und Attachments, das selektive Blocken von Nachrichten sowie die automatische Verschlüsselung gemäß der Unternehmensrichtlinien für eine sichere Übertragung vertraulicher Unternehmensdaten.“
Zwar sind damit die Aufgaben solch einer umfassenden DLP-Lösung in wenigen Sätzen formuliert, jedoch klingt das Ganze womöglich leichter als es ist. Bevor eine Software dazu in der Lage ist, die an sie gestellten Anforderungen in angemessener 
Weise für ein ganzes Unternehmensnetzwerk zu erfüllen, ist unter Umständen ein nicht unerheblicher Strukturierungs- bzw. Restrukturierungsprozess im Unternehmen erforderlich. Schließlich muss die umfassende Lösung nach Meinung von Frank Brandenburg folgende Fragen beantworten können: „Welche Daten im Unternehmen sind vertraulich? Wo sind sie gespeichert? In welchen Geschäftsprozessen werden sie genutzt? Wer ist berechtigt, auf sensible Daten zuzugreifen? Welche Sicherheitsregeln gibt es für den Umgang mit ihnen und auf welchen Kommunikationswegen verlassen sie das Unternehmen?“
Schnell wird klar, dass selbst die ausgefeilteste Software die gestellten Fragen nur dann beantworten kann, wenn das Unternehmen, in dem sie eingesetzt werden soll, entsprechend eingerichtet ist. Die interne IT-Abteilung kann aber nicht die Instanz sein, die Sicherheitsrichtlinien festlegt. Das ist vielmehr Aufgabe des obersten Managements in Zusammenarbeit mit einem Sicherheitsbeauftragten. Gegebenenfalls kann auch eine Unternehmensberatung dabei helfen, die nötige Vorarbeit zu leisten, um ein DLP-Projekt ins Rollen zu bringen.
Übertrieben aufwendig und kostspielig
Entscheider, die eine umfassende DLP-Lösung für übertrieben aufwendig und kostspielig halten, sollten den Datenschutz dennoch nicht auf die leichte Schulter nehmen. Mangelnde Vorsorge verursacht schlimmstenfalls noch größere Probleme und Kosten, wenn personenbezogene Daten, mit denen letztlich jedes Unternehmen in Form von Kunden- oder Mitarbeiterdaten arbeitet, abhanden kommen. Das gilt spätestens seit Inkraftreten der jüngsten Bundesdatenschutznovelle zum 1. September. So warnt Peter Schaar vom BFDI: „Wer die neuen Anforderungen an den Umgang mit Verbraucher- und Beschäftigtendaten verkennt, wird zukünftig mit erheblichen Nachteilen rechnen müssen.“
Nachteile entstehen für ein Unternehmen etwa dann, wenn es zur Anzeige eines Datenschutzvorfalls verpflichtet ist und gegebenenfalls sogar großformatige Anzeigen in überregionalen Tageszeitungen schalten muss, um über das unangenehme Ereignis zu informieren. In solch einem Fall ist der Imageverlust vorprogrammiert. Mit dem entstehenden Vertrauensschaden auf Seiten von Kunden und Geschäftspartnern ist es aber noch nicht genug. So erläutert Dirk Rauschenbach, Geschäftsführer der IT-Security@Work GmbH: „Bei Datenschutzverstößen wird die Geschäftsleitung in die Pflicht genommen. Das geht bis zur persönlichen Haftung, da solche Verstöße einen Strafbestand erfüllen können.“
Möglicherweise ist der umfassende Datenschutz mittels DLP also doch eine lohnenswerte Investition. Andreas Richter (siehe Foto unten rechts), Director International Marketing bei der Group Business Software AG, ist jedenfalls davon überzeugt, dass sich DLP am Markt etablieren wird. Er stellt fest: „Vor dem Hintergrund zunehmender Datenskandale und der Novellierung des Bundesdatenschutzgesetzes ist DLP mehr als ein temporärer Hype.“
Abgesehen von der sich geänderten gesetzlichen Situation und möglichen negativen Sanktionen gibt es allerdings noch weitere Gründe für den Einsatz von DLP-Technologien. So gibt Johann Strauß zu bedenken: „DLP gewinnt nicht nur im Hinblick auf die vermehrten Datenschutzskandale immer mehr an Bedeutung. Vor allem die zunehmende Mobilität und der rasche Wandel in den Arbeitsumgebungen bringen zwangsläufig neue Sicherheitsanforderungen mit sich. Beschleunigt wird dieser Trend durch die Verbreitung multifunktionaler Geräte und Applikationen wie Handys, Notebooks und Social-Media-Anwendungen, die sowohl privat als auch geschäftlich genutzt werden.“
Mobile Endgeräte wie Blackberrys, PDAs, Net- und Notebooks, die außerhalb des traditionellen Netzwerks liegen, gehören zunehmend zur Grundausstattung des Unternehmensmitarbeiters. Selbst wenn dieser nicht als klassischer Mitarbeiter im Außendienst tätig ist und vom Arbeitgeber mit mobilem Arbeitsgerät ausgestattet wird, mehren sich die Mitarbeiter, die auch nach Feierabend noch auf Unternehmensressourcen zugreifen. Begünstigt wird das durch die zunehmende Grenzverwischung zwischen Freizeit und Berufsleben. Zudem wachsen die Möglichkeiten, mit mobilen Endgeräten, die auch für private Zwecke eingesetzt werden, auf Geschäftsanwendungen wie Büroapplikationen, CRM oder ERP zugreifen zu können.
Der Weg führt über Verschlüsselung
Für die Sicherheitsanforderungen spielt es jedoch eine untergeordnete Rolle, ob das im Außeneinsatz befindliche Gerät auch privat genutzt wird oder nicht. Fest steht, dass die Geräte bzw. darauf gespeicherte Daten abgesichert werden müssen, um Unternehmensinformationen vor unbefugtem Zugriff zu schützen. „Typischerweise unterscheiden wir hier zwischen zwei unterschiedlichen Szenarien“, erklärt Dr. Rolf Lindemann, Director Product Management bei TC TrustCenter. Er erläutert: „Soll auf Unternehmensapplikationen zugegriffen werden, ist es wichtig, dass bei der sicheren Authentisierung eines Benutzers keine Daten über ein unauthentisiertes System übermittelt werden.“ Auch über die zweite Möglichkeit gibt er Aufschluss: „Sollen dagegen wichtige Daten auf dezentralen Medien gegen Missbrauch, etwa durch in Taxen vergessene Notebooks, verlorene USB-Sticks oder gestohlene Handys, geschützt werden, verhindert nur eine zuverlässige Datenverschlüsselung den Zugriff durch Unbefugte.“
Auch Marco Di Filippo, Regional Director Germany der Compass Security AG, hält Verschlüsselungslösungen für ein probates Mittel, um Daten auf externen Geräten zu schützen. Er stellt fest: „Mobile Geräte werden vorzugsweise mit einer Komplettverschlüsselung ausgestattet.“ Um die Sicherheit der Verschlüsselungslösung zu gewährleisten, empfiehlt er, das Schlüsselmaterial des zu schützenden Geräts auf einem externen Medium wie einem Token oder einer Smart Card zu lagern. Zudem sollten Schlüsselmaterial und Gerät getrennt voneinander aufbewahrt werden. Andernfalls reduziere sich die Sicherheit der Lösung auf die Qualität der Passwörter der Benutzer. Warnend fügt Di Filippo außerdem hinzu: „Die richtige Handhabung ist wichtig. Geräte, die nur in den Schlafmodus versetzt werden, sind nur bedingt verschlüsselt, weil das Schlüsselmaterial sich noch im Speicher befindet.“ Als Gegenmaßnahme empfiehlt er, Geräte stets auszuschalten, sobald sie unbeaufsichtigt sind.
Wenngleich Verschlüsselungslösungen unter Sicherheitsspezialisten ein hohes Ansehen genießen und davon auszugehen ist, dass entsprechende Technologien
zum Schutz mobiler Geräte zunehmend weiterentwickelt werden, gibt es derzeitig noch Vorbehalte hinsichtlich ihrer alleinigen Zuverlässigkeit. So äußert sich Dr. Jürgen Falk, Geschäftsführer der FCS Fair Computer Systems GmbH, kritisch: „Verschlüsselungslösungen können einen großen Teil dazu beitragen, Daten auf mobilen Geräten zu schützen. Aber nur durch deren Einsatz ist keine ausreichende Absicherung gewährleistet.“ „Manche Speichermedien“, ergänzt er, „sollten von Anwendern gar nicht genutzt werden, egal ob die Daten darauf verschlüsselt sind oder nicht.“ Falk hält es deshalb für ratsam, den Schutz durch Verschlüsselung mit Endpoint-Security-Lösungen zu kombinieren, die Hardwareschnittstellen vor unbefugtem Zugriff schützten und Dateitransfers protokollierten.
Optimistischer gibt sich Ingo Wachter, Vorstand der PGP Deutschland AG. Sein Unternehmen setzt auf eine Verschlüsselungslösung auf Plattformbasis, bei der mehrere Verschlüsselungsanwendungen über eine einzige Konsole bereitgestellt und verwaltet werden können. Er sagt: „Bei der konsistenten Verschlüsselung aller Daten über eine zentrale Plattform sind sowohl gespeicherte Daten – wichtig bei Verlust des Geräts – als auch Daten 'on the fly' vor illegitimen Zugriffen geschützt.“ Das ist eindeutig.
Den Zugriff sicherstellen
Bedenkenträgern drängt sich vielleicht die Frage auf, wie der unternehmensseitige Zugriff auf die zuverlässig geschützten Daten sichergestellt werden kann, wenn Unvorhergesehenes geschieht. Wie können Unternehmen ihre Daten einsehen, wenn etwa ein Mitarbeiter mit Schlüsselmaterial kurzfristig ausscheidet oder Schlüssel auf anderen Wegen abhanden kommen?
Dr. Rolf Lindemann kennt auch hier wieder zwei Antworten: „Für einen jederzeit herstellbaren kontrollierten Zugriff durch befugte Personen auf verschlüsselte Daten, existieren üblicherweise zwei Möglichkeiten. Ein durch alle zur Verschlüsselung genutzten Systeme durchgängig unterstütztes Message-Recovery-Verfahren, bei dem ein zusätzlicher Verschlüsselungsschlüssel eingesetzt wird (Additional Decryption Key, ADK), so dass alle Nachrichten immer auch an einen weiteren "Empfänger" verschlüsselt werden. Dieser weitere Empfänger ist in der Regel eine Rolle und keine natürliche Person. Eine Alternative hierzu ist das Key-Escrow-Verfahren, bei dem Unternehmen in einem definierten Prozess, typischerweise in einem Vieraugenprinzip, die Wiederherstellung eines bestimmten privaten Schlüssels zur Entschlüsselung initiieren. Dieser Prozess muss im Unterschied zu Message Recovery nicht von den zur Verschlüsselung genutzten Systemen unterstützt werden. Der Zugriff auf ein System zum Entschlüsseln reicht hierbei aus.“
Nach Meinung von Dr. Jürgen Falk sollten Verschlüsselungslösungen für Unternehmen immer auch einen zentralen Schlüssel bieten. „In Deutschland“, so rät er, „sollte darauf geachtet werden, dass dieser Generalschlüssel auch mit einer Betriebsratsfunktion versehen ist, die eine zwingende Schlüsseleingabe mit einem Arbeitnehmervertreter im Vieraugenprinzip vorsieht, um Missbrauch zu vermeiden.“ Dadurch gebe es bei der unternehmensweiten Einführung einer Verschlüsselungslösung seltener Genehmigungsprobleme mit dem Betriebsrat.
Der Einsatz eines Master-Schlüssels ist auch in Augen von Marco Di Filippo eine mögliche Methode, um die Verfügbarkeit geschützter Daten im Falle des Verlusts von Schlüsselmaterial zu gewährleisten. „Andererseits“, ergänzt er, „gibt es Verschlüsselungsverfahren, die ein sogenanntes Response-Verfahren umsetzen.“ Dieses eigne sich, um Mitarbeitern im Außeneinsatz nach Rücksprache mit dem Unternehmen temporär den kontrollierten Zugriff auf geschützte Daten zu gestatten. Di Filippo erklärt das Prozedere wie folgt: „Der Mitarbeiter kann sich eine Zeichenfolge (Challenge) durch die Verschlüsselungssoftware anzeigen lassen. Diese muss dann in der Firma auf einer Software eingetippt werden, wodurch ebenfalls eine Zeichenkette (Response) generiert wird. Wird sie auf dem mobilen Gerät eingegeben, erhält der Benutzer temporären Zugriff auf die geschützten Daten.“
Eine wirksame DLP-Lösung ermöglicht...
... die Analyse aller Nachrichten, die das Unternehmen verlassen,
... die automatische Verschlüsselung von E-Mails mit vertraulichen Inhalten,
... die Umsetzung von Compliance-Regeln für den Schutz von Privatsphäre und Daten,
... eine gesicherte Kommunikation vertraulicher Daten mit Partnern,
... den Schutz des geistigen Eigentums,
... den Schutz vor Datendiebstahl mittels Spyware,
... die Durchsetzung von Unternehmensrichtlinien (AUP=Acceptable Use Policy).
Quelle: Cisco
Datenpannen und Verschlüsselung
Das Ponemon Institute hat im Jahr 2009 eine Studie zu Verschlüsselungstrends in deutschen Unternehmen erstellt. An der Studie, die im Auftrag der PGP Corporation vorgenommen wurde, nahmen 490 IT-Manager und Geschäftsführer, Analysten und leitende Angestellte aus in Deutschland ansässigen Unternehmen teil. Einige der Ergebnisse lauten:
Die Bereitschaft zur Offenlegung von Datenpannen ist minimal.
Etwa 53 Prozent der Befragten verzeichneten mindestens eine Datenpanne im Zeitraum von zwölf Monaten. Lediglich 5 Prozent davon berichteten darüber, während weitere 14 Prozent die Fakten teilweise offenlegten. Ganze 81 Prozent der betroffenen Unternehmen stellten die Datenpannen nicht öffentlich dar.
Die Wichtigkeit der Absicherung mobiler Endgeräte nimmt zu.
Über 62 Prozent der Befragten stuften die Verschlüsselung von Daten auf mobilen Endgeräten als wichtig oder sehr wichtig ein. Nur etwa 15 Prozent bezeichneten sie als nicht wichtig oder irrelevant.
