Informations- versus Infrastrukturschutz

Daten auch außerhalb des eigenen Netzes absichern

Daten und Dokumente werden viel zu häufig unternehmens- und länderübergreifend über zum Teil unsichere Endgeräte ausgetauscht als das IT-Infrastrukturschutz allein noch ausreichen würde. Laut dem Anbieter Brainloop ist daher vor allem Informationsschutz gefragt.

Der National Security Agency (NSA) wurden kürzlich von ihrem freien Mitarbeiter Edward Snowden Teile ihres wertvollsten Besitzes gestohlen. Als Systemadministrator mit hoher Sicherheitsfreigabe hatte Snowden offenbar Zugang zu den Serverräumen und konnte dort interessante Daten kopieren. In diesem Fall waren es Informationen über das globale Ausspähprogramm Prism, mit dem der US-Geheimdienst im Namen der Terrorismusabwehr Metadaten internationaler Telefonverbindungen abgreift und große Teile des weltweiten Internetverkehrs überwacht. Snowden konnte sich offenbar Informationen besorgen, die eine enge Zusammenarbeit amerikanischer Internet- und Cloud-Provider wie Google, Amazon, Microsoft oder Facebook mit der NSA zumindest nahelegen.  

Ob der Geheimdienst nun, wie von Snowden behauptet, direkten Zugriff auf die Server der Provider hatte oder diese nur auf Anordnung eines Geheimgerichts hin Daten herausgaben, ist für den Vertrauensverlust der Millionen von Privatnutzern und Unternehmen unerheblich, die ihre Daten von den Providern transportieren oder in deren Clouds verarbeiten und speichern lassen. Auch die Frage, ob die NSA und andere US-Geheimdienste diese Daten nur auf Terror verdächtige Zusammenhänge hin durchforsten oder ganz gezielt auch Wirtschaftsspionage betreiben, ist in punkto Vertrauen zweitrangig. Wichtig ist, dass Unternehmen trotz vertraglicher Vereinbarungen nicht sicher sein können, dass die Daten, die sie bei amerikanischen Anbietern in der Cloud speichern oder über angebliche sichere Internetverbindungen transportieren, nicht ausgespäht werden.

Einer im Juli dieses Jahres durchgeführten weltweiten Umfrage der Cloud Security Alliance (CSA) unter ihren Mitgliedern zufolge, entwickeln die Nicht-Amerikaner unter den 440 Befragten offenbar in Folge der jetzt bekannt gewordenen Spähaktionen einen gewissen Widerwillen gegen Cloud-Provider aus den USA. 56 Prozent von 207 Befragten erklärten, dass sie „weniger wahrscheinlich“ US-Cloud-Anbieter nutzen werden. Zehn Prozent haben Projekte mit entsprechenden Anbietern gestoppt.

Mitarbeiter verlieren Daten am häufigsten

Bei der ganzen berechtigten Aufregung um Prism und Tempora sollten sich Unternehmen allerdings bewusst sein, dass von den westlichen Geheimdiensten nur ein vergleichsweise geringes Risiko ausgeht. Insgesamt gehen laut der repräsentativen Studie „Industriespionage 2012“ von Corporate Trust die meisten Informationen durch die eigenen Mitarbeiter verloren – entweder aufgrund versehentlichen oder absichtlichen Fehlverhaltens. Erst danach folgen Informationsabflüsse durch konkurrierende Unternehmen, Kunden oder Lieferanten. Ausländische Nachrichtendienste, Hacker, Berater und organisierte Kriminelle stehen erst ziemlich weit hinten auf der Liste potentieller Datendiebe. In der Untersuchung gaben 21,4 Prozent der knapp 7.000 befragten Unternehmen an, durch zumindest einen konkreten Fall durch Spionage geschädigt worden zu sein. Rechnet man die Verdachtsfälle hinzu, die nicht eindeutig nachgewiesen werden konnten, litten 54,6 Prozent der deutschen Unternehmen im letzten Jahr unter Wirtschaftspionage. Der dadurch entstehende Schaden beläuft sich auf 4,2 Mrd. Euro.

E-Mails nur selten verschlüsselt

Insgesamt sehen die Autoren der Studie, die Maßnahmen der Unternehmen für nicht ausreichend an, um sich effektiv gegen Cyperspionage zu wehren. So schützen 90 Prozent der Unternehmen ihre Endgeräte und Netzwerke durch Passworte gegen Angriffe von außen, jedoch nur 18,9 Prozent verschlüsseln ihren E-Mailverkehr. 55,6 Prozent der Unternehmen gaben in der Studie an, keinerlei Sicherheitsvorkehrungen bei Auslandsreisen zu treffen. Nur jedes sechste Unternehmen stattet seine Mitarbeiter mit verschlüsselter Hard- und/oder Software für verschlüsselte Kommunikation oder mit speziellen Reise-Laptops aus, die nur eine Minimalkonfiguration und einen geringen Datenbestand haben.

Die Datenmengen wachsen enorm

Die Ergebnisse der Studie zeigen eindrucksvoll, dass Informationen, am ehesten dann illegal abfließen oder manipuliert werden können, wenn sie die geschützte Infrastruktur des eigenen Unternehmens verlassen. Die zunehmende Nutzung mobiler Geräte und neue, digitale Formen der Zusammenarbeit über Unternehmens- und Landesgrenzen hinweg erhöhen die Menge der Daten enorm, die außerhalb des geschützten Parameters gespeichert werden. Deshalb sind Schutzmechanismen wie das sogenannte Shielding, sichere virtuelle Datenräume, die revisionssichere Protokollierung von Manipulationen, wie Kopieren und Downloaden von Daten und Dokumenten sowie leicht zu handhabende Zugangsberichtungen so wichtig geworden wie der Schutz des eigenen Netzwerks.

Der Münchener Anbieter Brainloop stellt zum Beispiel seinen Kunden auf einer webbasierten Plattform sichere Datenräume für den Austausch sensibler Informationen auf dedizierten Servern in Deutschland zur Verfügung. „Die Plattform wurde in der Vergangenheit von Kunden für spezielle Anwendungsszenarien – wie in der Vorstands- und Aufsichtsratskommunikation oder bei Firmenübernahmen bzw. Due-Diligence-Prüfungen – eingesetzt. Heute sind Unternehmen deutlich sensibilisierter und setzen unsere Lösung auch als unternehmensweite Plattform zum Austausch von vertraulichen Informationen ein“, beschreibt Bernhard Wöbker, CEO bei der Brainloop AG die Entwicklung.

Höhere Anforderungen durch mobile Geräte

Verschärft wird die Lage noch durch Entwicklungen wie Bring your own Device (BYOD), wodurch private Endgeräte zunehmend Zugriff auf Unternehmensnetze erhalten. Auf diese Endgeräte haben die Firmen nur begrenzten Zugriff. Zudem lassen sie sich häufig auch nicht zentral verwalten bzw. absichern.

Wenn sensible Daten zwischen verschiedenen Personen über Unternehmens und Landesgrenzen hinweg ausgetauscht werden, müssen verschiedene Verfahren dafür sorgen, dass Dokumente und Daten sowohl beim Transport als auch beim Herunterladen auf fremde Endgeräte geschützt sind. Informationsschutz beinhaltet unter anderem:

  • 2-Faktor-Authentifzierung zum Beispiel über eine Smartcard und ein Benutzer-Passwort.
  • Verschlüsselung: vertrauliche Dokumente werden auf dem Server verschlüsselt abgelegt und jede Datenübertragung (Datei öffnen, Up- und Download, Versand per E-Mail) wird verschlüsselt.
  • Shielding – IT-Abteilung und IT-Provider dürfen keinen Zugriff auf die Daten erlangen. Das muss durch konsequente Trennung von Anwendungs- und Systemadministration und integrierte Freigabeprozesse mit Vier-Augen-Prinzip für sicherheitsrelevante Administrationsfunktionen sichergestellt sein.
  • Digital Rights Management – die Zugriffsverwaltung, Berichtigungskonzepte und revisionssichere Protokollierung der Aktionen, die an Dokumenten und Datensätze vorgenommen wurden. Wassserzeichen – die verhindern, dass sensible Daten unautorisiert weitergegeben werden können.
  • Ablage in sicheren, ISO zertifizierten Rechenzentren, auf die kein Zugriff von Seiten ausländischer Geheimdienste besteht.

Für diese Art des Informationsschutzes erachten die Analysten der Gartner Group webbasierte sichere Datenräume als gut geeignet. In einem Hypecycle-Bericht zu Daten- und Collaboration-Sicherheit heißt es: „Virtual Data Rooms integrieren verschiedene Sicherheits- und Kontrollmechanismen in einem leicht bedienbaren Paket. Dabei geht es um Verschlüsselung, Digital Rights Management bzw. Secure Viewing sowie um starke Authentifizierung.“

Zentral bei dieser Art der Datensicherung ist die Einfachheit der Bedienung. Nur wenn solche Systeme ohne zusätzliche Schulung über das eigene Endgerät sowie nahtlos in den favorisierten E-Mail-Client eingebunden sind und bestenfalls noch aus der vorherrschenden Enterprise-Applikation heraus bedient werden können, stoßen sie bei Nutzern auf keinen Widerstand. Nur dann werden sie auch genutzt. Und genau die möglichst flächendeckende Nutzung ist es, die neben den technischen Features für die Sicherheit von Informationen sorgt.

Bildquelle: Thinkstock/iStockphoto

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok