31.08.2007 | Redakteur: Peter Schmitz
Neben dem Diebstahl sensibler Informationen stellt auch die Manipulation von Daten eine Bedrohung für Unternehmen dar. Um sich vor finanziellen Einbußen zu schützen, sind neue Sicherheitslösungen gegen den Datenklau erforderlich. Information Security sprach mit Dr. Benedikt H. Ahlers, Manager Security Solutions Biometrics bei NEC, über die Datensicherheit und das Thema Information Leakage Prevention.Warum reichen bestehende technische Lösungen nicht aus, um sich wirksam vor dem Verlust von sensiblen Daten zu schützen?
Peter Schmitz: Herr Ahlers, sind die vielen Warnungen vor nicht autorisierten Zugriffen auf vertrauliche Daten in Unternehmen nicht übertrieben?
Benedikt Ahlers: Leider nein. Nach einer aktuellen Einschätzung der Federal Trade Commission verursachte Datendiebstahl allein in den USA im vergangenen Jahr einen finanziellen Schaden von fünfzig Milliarden US-Dollar. Eine neue Untersuchung kommt sogar zu dem Schluss, dass jeder Fall von Datenverlust oder Datendiebstahl bei den betroffenen Unternehmen im Schnitt mit 4,7 Millionen US-Dollar zu Buche schlägt.
Firewalls und Intrusion-Prevention-Systeme bieten natürlich Schutz gegen Bedrohungen durch Hacker. Und auch VPNs mit Authentifizierungslösungen setzen sich zunehmend durch.
All diese Schutzmaßnahmen können aber nicht verhindern, dass vertrauliche Daten von innen nach außen gelangen – also absichtlich oder unabsichtlich von den eigenen Mitarbeitern übermittelt werden. Das ist aber bei mindestens vier von fünf Leaks der Fall.
Content Filtering führt hier leider nicht zum Ziel. Beim Scannen des Contents nach bestimmten Schlüsselbegriffen ergeben sich zu viele falsche Treffer – auch in absolut nicht sicherheitsrelevanten E-Mails benutzen wir zum Beispiel das Wort „vertraulich“! Zudem behindert eine strenge Anwendung häufig die Kommunikation, da zu viele Nachrichten und Inhalte vom Programm geblockt werden.
Verschlüsselungslösungen sind sinnvoll, nur reicht Verschlüsselung allein eben meist nicht aus. Auf mobilen Endgeräten sollten sensible Daten möglichst immer in verschlüsselter Form vorliegen, falls das Gerät einmal verloren geht. Für den internen Gebrauch sind Verschlüsselungslösungen hingegen manchmal problematisch und sehr aufwändig – zum Beispiel bei Datenbanken.
Information-Leakage-Prevention-Lösungen erfüllen höhere Anforderungen, insbesondere durch die sinnvolle Kombination und Verschränkung verschiedener Schutzmechanismen. Sie stellen sicher, dass vertrauliche Daten und Dateien nur noch von den dazu berechtigten Mitarbeitern weitergegeben werden können. Sie basieren auf klaren Richtlinien, in denen der Schutzumfang von Dokumenten und Daten zentral festgelegt ist.
Wichtige Dokumente werden nach neuesten Standards verschlüsselt. Nur autorisierte Mitarbeiter können diese Dokumente drucken und kopieren oder an externe E-Mail-Adressen und Peripheriegeräte weiterleiten. Ein weiterer entscheidender Unterschied sind die Kontrollmöglichkeiten. Denn sämtliche Zugriffe auf vertrauliche Daten werden registriert.
Über einen Management-Server lässt sich jederzeit kontrollieren, wer Zugriff auf welche Dateien hatte und wie mit den Daten weiter verfahren wurde. Gleichzeitig steht einer flüssigen Kommunikation nichts im Wege, denn es werden wirklich nur sensible Daten geblockt.
Sowohl die Art der zu schützenden Daten als auch die Form, in der sie vorliegen, ist in jedem Unternehmen unterschiedlich. Deshalb sind eine präzise Festlegung der sensiblen Inhalte und eine klare Definition der Rollen und Zugriffsrechte notwendig, die viel Erfahrung voraussetzt.
Zugleich darf die Lösung keine spezielle Hardware voraussetzen und sollte sich nahtlos in jede bestehende IT-Umgebung integrieren lassen. Es muss sichergestellt sein, dass die Lösung immun gegen Datenmanipulationen ist und sämtliche Datentypen und Formate, strukturierte und unstrukturierte Daten, schützt.
Schließlich benötigt man noch eine schnelle und absolut zuverlässige Zugangskontrolle. Dabei könnte es sich um eine Dreifaktor-Authentifizierung oder eine biometriebasierte Single-Sign-On-Lösung handeln, zum Beispiel über den Fingerabdruck.
Wie gesagt, es wird keine spezielle Hardware vorausgesetzt. Eine entsprechende Lösung lohnt sich auch für den Mittelstand. Geht man von einer Mitarbeiterzahl von ca. 1.000 Personen aus, kostet die Einführung weniger als 100 Euro pro Nutzer.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007254)
