Schließen

Passwort vergessen?
Datenschutz und E-Security. Roboter mit Schutzschild

Newsübersicht

Datensicherheit

Von verlorenen Zetteln, leckenden Servern und fliegenden Laptops

News: Datensicherheit

Auch 2010 regiert in Punkto Datenschutz bei Unternehmen, Gemeinden und Privatpersonen häufig eine große Koalition aus Zuversicht, Wegschauen und Zweckoptimismus.

Wer glaubt, die prominenten Datenpannen des letzten Jahres - man denke nur an AWD oder die Deutsche Telekom - hätten Unternehmen und Verantwortliche so weit wachgerüttelt, dass umgehend Gegenmaßnahmen nicht nur diskutiert, sondern auch umgesetzt werden, sieht sich angesichts der jüngsten Zahlen des Projekts Datenschutz (www.projekt-datenschutz.de) eines Besseren belehrt. Statt eines Rückganges verzeichnet die von PR-COM in München initiierte Statistik einen Anstieg der Vorfälle gegenüber dem gleichen Zeitraum des Vorjahres um fast 40 Prozent (18 erfasste Vorfälle in Q1 2010).

Das Projekt Datenschutz protokolliert seit Anfang 2008 bekannt gewordene Datenpannen, Lecks, Missbrauchsfälle oder Eingriffe in die informationelle Selbstbestimmung. Im ersten Quartal 2010 konnte zwar gegenüber dem vierten Quartal 2009 ein deutlicher Rückgang der Vorfälle von 43 auf 18 konstatiert werden, doch ist dieses Verhältnis in erster Linie saisonal bedingt. "Im letzten Quartal eines Kalenderjahrs gibt es immer überdurchschnittlich viele Datenvorfälle, insofern müssen wir davon ausgehen, dass die Entspannung, die wir im ersten Quartal 2010 sehen, nur eine scheinbare ist", konstatiert Alain Blaes, Geschäftsführer von PR-COM und Initiator des Projekts Datenschutz. "Der deutliche Anstieg gegenüber dem ersten Quartal 2009 zeigt, dass die bisher unternommenen Anstrengungen, die informationelle Selbstbestimmung zu stärken, noch keinen grundlegenden Wandel bewirkt haben."

Es kann jeden treffen

Während die Nachricht über eine erneute Datenpanne bei einem bekannten Finanzdienstleister fast wie ein déjà-vu anmutet, staunt man über die freie Zugänglichkeit von 50.000 Kunden- und Buchungsdaten eines renommierten Jugend-Reiseveranstalters, ist fassungslos, dass eine westfälische Gemeinde versehentlich die Daten von 400 Hatz-IV Empfängern an eine Privatperson verschickte und schmunzelt angesichts eines Falles in Dortmund, bei welchem ein LKW während einer Fahrt durch die westdeutsche Großstadt hunderte Zettel mit tausenden persönlichen Daten verlor. Die Listen rutschten von der Ladefläche und verstreuten sich über die Straßen, was zur potentiellen Offenlegung von Kontonummern, Geburtsdaten, Adressen und Passwörter führte. Gehackte Server und Sicherheitslücken auf Internetseiten ermöglichten kriminelle Buchungen mit Kreditkartendaten von Besuchern des Wacken Open Air oder zur Offenlegung der Geschäftsdaten von 40 Unternehmen, die sich um einen Wirtschaftspreis beworben hatten u. v. m. Mittelständische Unternehmen sind vor missbräuchlichen Datenzugriffen ebenso wenig geschützt wie Großkonzerne. So meldete der Hersteller Absolute Software vor kurzem den Diebstahl von zwei Laptops mit sensiblen Flugzeugdaten beim Airbus Konzern (http://datakontext.com/index.html?seite=artikel_detail&navigation=346&system_id=157880). Die beiden Rechner seien aus der Firmenzentrale in Toulouse gestohlen worden und enthielten unverschlüsselte Daten zu aktuellen Flugzeugtypen.

Investiert wird nur dort wo es wehtut

Was auf den ersten Blick unverständlich anmutet – die scheinbar lückenhafte Sicherheitsausstattung vieler Unternehmen – erhellt die Lektüre einer aktuellen Untersuchung, die Forrester Research im Auftrag von RSA und Mircosoft angefertigt hat (http://www.rsa.com/products/DLP/ar/10844_5415_The_Value_of_Corporate_Secrets.pdf): Dieser Studie zufolge investieren Unternehmen vor allem in Bereiche, die durch börsen- oder branchenrechtliche Rahmenbedingungen gesteuert werden wie PCI-DSS (Payment Card Industry Data Security Standard). Die eigenen Betriebsgeheimnisse werden dagegen nur zögerlich abgesichert, obwohl sie mit durchschnittlich 62% den Großteil der vorhandenen Informationen ausmachen. Man stopft die Löcher eben dort, wo jemand hinschaut, und auch das nur in dem Maße, wie das der Revisor erwartet. Die tatsächliche Schutzwirkung spielt dabei häufig eine untergeordnete Rolle. So gaben Forrester gegenüber fast alle befragten Unternehmen zu Protokoll, dass sie, unabhängig von der Bandbreite an wichtigen Informationen, Sicherheitsausgaben oder der Anzahl von Vorfällen, ihre Kontrollen als fast gleich effektiv einschätzen. Gemäß der Studie wissen die meisten jedoch nicht, ob ihre Datensicherheitsvorkehrungen tatsächlich funktionieren, außer durch die reine Zählung der Vorfälle.

Längere Projektlaufzeiten durch komplexe Infrastrukturen

In der Praxis bildet das Haupthindernis bei der Umsetzung einer integrierten Datenschutzlösung neben der technischen Umsetzung vor allem das Ausmaß und die Komplexität der erforderlichen planerischen Vorarbeit. So müssen alle wertvollen Informationen eines Unternehmens zunächst identifiziert und sodann auch klassifiziert werden. Es sollten für alle Mitarbeiter rollengerechte Regelwerke inkl. Nutzungs- und Zugriffsrechten entwickelt werden. Allein dieser Vorgang mündet bei einem Großkonzern häufig in ein Projekt von ein bis zwei Jahren Laufzeit. Die Hindernisse reichen von unstrukturierten Datensammlungen, über betriebsrechtliche Fragen und die schwierigen Abschätzungen, wo denn die rechte Mitte zwischen höchstmöglicher Sicherheit und notwendiger Verfügbarkeit liegt. Führen diese Abschätzungen nämlich nicht zu einem sinnvollen Kompromiss, werden beispielsweise Verfügbarkeiten zu stark eingeschränkt, sind diejenigen, die sich über Datenpannen (zu Recht) echauffieren, meist auch die ersten, die sich mangels Servicequalität oder zu langer Bearbeitungszeiten einem Konkurrenzunternehmen zuwenden.

Auf der technischen Seite ist eine in erster Linie sinnvolle Balance zwischen Sicherheit, Benutzerfreundlichkeit und Administrierbarkeit zu finden, was gerade bei der Verschlüsselung in mehrstufigen Zugriffskonzepten alles andere als trivial ist. Umfassende Datenschutzlösungen sollten mit den Anforderungen der aufkommenden Virtualisierung und der Verlagerung von Prozessen in eine wie auch immer strukturierte Cloud mitwachsen können. Identitäten, Regelwerke und Validierungsdienste müssen jederzeit und überall verfügbar sein. Je größer und komplexer die Infrastruktur eines Unternehmens ist, desto schwieriger und langwieriger gestaltet sich die Umsetzung umfassender Sicherheitskonzepte.

Zur technischen Ausrüstung gehören neben umfassenden, auf den Lebenszyklus eines Datensatzes ausgerichteten Verschlüsselungslösungen, welche die Daten jederzeit kontrollieren, egal ob sie gerade bearbeitet, bewegt oder gespeichert werden, auch leistungsfähige Management- und Helpdesk-Systeme, wie sie ganz oder teilweise von Herstellern wie SafeNet, PGP, McAfee, RSA oder Utimaco angeboten werden.

Nicht vergessen werden, sollten zu guter Letzt die immer mehr ins Bewusstsein rückenden Gefahren durch soziale Netzwerke. Gerade weil viele Firmen ihre Mitarbeiter dazu ermutigen, die Social Media Plattformen auch zu Unternehmenszwecken zu nutzen, sind diese ins Visier der Cyberkriminellen geraten. Neben den durch eine aktuelle Untersuchung der Stiftung Warentest zum wiederholten Mal belegten Sicherheitsmängeln (http://www.test.de/themen/computer-telefon/test/1854798-1855785/) bergen soziale Netzwerke weitere Gefahren. So warnt die Europäische Agentur für Internetsicherheit (ENISA) in ihrem im Februar 2010 erschienenen Bericht über Social Network Media (http://www.enisa.europa.eu/act/ar/deliverables/2010/onlineasithappens) ausdrücklich vor möglichen Gefahren bei der Nutzung von Plattformen wie Twitter, Facebook oder MySpace, die bereits zur Verbreitung von Malware, zum Diebstahl von Identitäten oder zur Weitergabe von sensiblen Unternehmensinformationen genutzt wurden.

Neuordnung als Chance zur Optimierung von IT Strukturen und Richtlinien

Angesichts der vielfältigen Bedrohungen aus dem kriminell organisierten Cyberspace, von unvermeidlichen Sicherheitslücken in Softwareprodukten und den mit der Öffnung der Datenbestände exponentiell anwachsenden Missbrauchsmöglichkeiten ist ein kollektives Umdenken und Handeln gefordert. Unternehmen sollten die anstehenden Aufgaben nicht nur als abschreckenden Ausgabenblock wahrnehmen, sondern die Chance erkennen, die sich hinter solch grundlegenden „Aufräumarbeiten“ stets verbirgt. Durch bereinigte und verschlankte IT Strukturen und ein zeitgemäßes Daten- und Rechtemanagement, verbunden mit intelligenten und mitwachsenden Sicherheitsrichtlinien, lassen sich vergleichsweise rasch Einsparungen an vielen Fronten erzielen, sei es bei den Hard- und Softwarekosten, sei es bei der Produktivität der Mitarbeiter oder optimierter Leistungsausnutzung von Maschinenressoucen.
(Peter Schill)

Zurück