Informationslecks auch unterwegs stopfen

Beispiele für Informationslecks

Ein anderes Problem sind technische Tücken im Microsoft-Office-Paket. Denn auch wenn Anwender Word-Inhalte löschen, können diese im Word-Änderungsmodus im Nachhinein wieder sichtbar gemacht werden. Dafür gibt es genauso wenig einen automatischen Hinweis in Word wie für versteckte Spalten in Excel oder nicht sichtbare Metadaten. Diese Beispiele zeigen, wie leicht sensible Daten übersehen werden können und wie wenige Schutzmechanismen es bisher dagegen gibt. Dazu kommt die hohe Anzahl von Compliance-Vorgaben und Unternehmensrichtlinien, die den Umgang mit Informationen zusätzlich regulieren. Manuell können Mitarbeiter die an sie gestellten Anforderungen schon lange nicht mehr bewältigen. Sie brauchen daher dringend Unterstützung und Hilfestellung beim sicheren Umgang mit Daten. Dies zeigen auch mehrere Fauxpas in der letzten Zeit. Ein Beispiel ist der Sicherheitsskandal der britischen Steuerbehörde HMRC, bei dem die persönlichen Daten von rund 25 Millionen Kindergeldempfängern auf zwei CDs gebrannt wurden. Auf einer nicht registrierten Kurierfahrt gingen die Datenträger verloren, und weil die Inhalte nicht verschlüsselt waren, könnten sie nun von unberechtigten Dritten geöffnet und missbraucht werden. Das eingerichtete Passwort können erfahrene Hacker schnell entschlüsseln. Dieser Fehler gefährdet nicht nur die Privatsphäre der Bürger, sondern beschädigt vor allem das Vertrauen in die Behörde, und das obwohl es strenge Sicherheitsvorgaben gab. Allerdings mangelte es an der richtigen Umsetzung der Richtlinien.

Blockieren reicht allein nicht aus

Um sich vor solchen Fehlern zu schützen, greifen Unternehmen oft zu drastischen Mitteln und erlauben ihren Mitarbeitern zum Beispiel nur registrierte USB-Sticks oder Laptops zu nutzen. Fremde Geräte werden blockiert. Dasselbe geschieht teilweise mit E-Mails oder E-Mail-Anhängen, die sensible Informationen enthalten. Doch diese Maßnahmen reichen bei Weitem nicht aus, um Daten vor Missbrauch zu schützen. Vielmehr behindern die Aktionen die tägliche Arbeit der Mitarbeiter und wichtige Kommunikationsprozesse. Dazu kommt, dass auch registrierte Geräte verloren gehen können. Um diese Probleme zu umgehen, müssen sich die Verantwortlichen etwas einfallen lassen.

1. Risikoanalyse und Vervollständigung von Richtlinien

Den ersten Schritt zu mehr Sicherheit stellt die bereits erwähnte Risikoanalyse dar. Dabei analysiert eine entsprechende Technologie die tägliche Datenübertragung sowie gespeicherte Inhalte und gleicht diese Daten mit den Richtlinien des Unternehmens ab. Diese Überprüfung zeigt, wo Sicherheitsregeln bei der digitalen Kommunikation verletzt werden und wo die größten Informationslecks zu stopfen sind. Auf Grundlage dieser Informationen können die Verantwortlichen im Unternehmen einen Plan zum weiteren Vorgehen entwickeln und falls nötig ihre vorhandenen Richtlinien und Policies ergänzen und dadurch an die aktuelle Risikolage anpassen. Dabei sollten sie vor allem nachprüfbar festlegen, welche Inhalte wo abgespeichert werden dürfen und welche Absender bestimmte Informationen an die jeweiligen Empfänger versenden dürfen. Nur wenn sie diese Richtlinien zentral verwalten und kontinuierlich aktualisieren, kann eine Sicherheitstechnologie diese auch lückenlos und zuverlässig umsetzen.

2. Entwicklung einer passenden Strategie

Nachdem die größten Informationslecks feststehen, sollten die Verantwortlichen gemeinsam mit Sicherheitsexperten eine geeignete Strategie entwickeln, mit denen sie genau diese Löcher stopfen können. Da die Anforderungen jedes Unternehmens und jeder Branche unterschiedlich sind, gibt es hierfür keine universelle Lösungsempfehlung. Vielmehr müssen individuelle und speziell auf die Probleme zugeschnittene Vorgehensweisen aus der Risikoanalyse abgeleitet werden, die offen für künftige Erweiterungen sind, wenn sich die Situation des Unternehmens ändert. Die übergreifende Strategie bestimmt, welche Sicherheitstechnologien ein Unternehmen einsetzt.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.