22. Mai 2009 - Wirtschaft ohne Sicherheit

Datensicherheit: Wie können Unternehmen ihre wichtigen Daten schützen?

Die momentan herrschende Rezession ist bei vielen Unternehmen für Kosteneinsparungen verantwortlich. Das trifft oft die Budgets, die für IT- und Datensicherheit zur Verfügung stehen. Es gilt also, möglichst effizient wichtige Informationen und geistiges Eigentum zu schützen und dafür die richtigen Lösungen zu finden.

schutzen-unternehmen-ihre-wichtigen-daten.jpeg
Mit Data Leakage Prevention und Verschlüsselung die Datensicherheit erhöhen! (Foto:Woodventure/Pixelio)

Datensicherheit: Möglichkeiten und Gefahren

Dazu muss man wissen, auf welchem Wege Daten verloren gehen können.

1. Eine interne Gefahr stellt der Mitarbeiter mit seinem Zugriff auf oft vertrauliche Informationen dar. Wichtige Daten geraten so fahrlässig oder absichtlich in falsche Hände.

2. Die zweite Bedrohung lauert außerhalb: Cyberkriminelle. Sie versuchen, mit gestohlenen Daten Geld zu machen.

3. Ein weiteres Risiko sind mobile Geräte. Sie werden häufig gestohlen, verloren oder einfach irgendwo liegen gelassen.

Wie Datenverlust verhindern?

Es existieren im Grunde aus der Sicht der IT zwei Möglichkeiten, den Verlust von Daten zu verhindern:

Entschließt sich ein Unternehmen dazu, Datenabflüsse vor Ort am Endpunkt zu verhindern, kann das entweder durch die zentrale Regelung von Zugangsberechtigungen am Endpunkt mithilfe von Sicherheitspolicies getan werden oder durch die Kontrolle und Regelung des Datenverkehrs nach innen und außen.

Datenflusskontrolle durch Data Leakage Prevention – kein Thema der Zukunft mehr

Um eine solche Lösung zu implementieren, muss man abwägen, welche Daten für das Unternehmen besonders wichtig sind.

Da es sich in den meisten Fällen bei Unternehmen um gewachsene IT-Infrastrukturen handelt, muss zuerst eine Datenkonsolidierung stattfinden. Das ist in vielen Fällen nicht einfach, sollte aber aus Gründen der Verwaltbarkeit und des Datenmanagements angestrebt werden.

Klassifizierung der Daten und Implementierung der Lösung

Diese Daten bzw. die Dateistrukturen, in denen sich die Daten befinden, werden nun markiert bzw. mit einem „Tag“ versehen. Diese Markierung dient zur Klassifizierung der Daten.

Viele Unternehmen nehmen eine Klassifizierung anhand der Abteilung vor, die mit den Daten arbeitet, also beispielsweise Personal, Entwicklung und Vertrieb. Meistens kann davon ausgegangen werden, dass diese Abteilungen mit Daten arbeiten, die auch für Dritte von Interesse sind.

Nach Inventarisierung der Daten folgt nun die Implementierung einer Lösung. Anforderung an eine solche Lösung ist ein zentrales Management und die Möglichkeit, online (im lokalen Firmennetz) bzw. offline (außerhalb der gesicherten Unternehmensstruktur) im Clientstatus Datenverlust zu unterbinden.

Das Herzstück in „state-of-the-art“ Data Leakage Prevention-Lösungen ist der Agent

Der Agent wird mit herkömmlichen Softwareverteilungsmechanismen oder über die Managementkonsole auf den Clients installiert.

Der Agent hat nach der Installation noch keine Richtlinien. Viele Implementierungen fordern in einem ersten Schritt das Blocken von USB-Geräten. Generell können natürlich auch andere mobile Datenträger wie CD oder DVD geblockt werden.

Regeln definieren

Die Definition einer solchen Regel erfolgt in wenigen Schritten.

Aus einem Satz von vordefinierten Geräteklassen werden die Geräte ausgewählt, die von der Regel betroffen sein sollen. In einem zweiten Schritt wird die gewünschte Aktion ausgewählt – zum Beispiel die Blockierung für die Übertragung bestimmter Daten durch bestimmte Nutzer oder das generelle Verbot, USB-Sticks anzuschließen.

Nachdem die Regel in der Managementkonsole erstellt und auf die Agenten verteilt wurde, setzt der Client diese sofort um. Der Benutzer hat nun keinerlei Möglichkeiten mehr, ein USB- Gerät, welches in die blockierte Kategorie fällt, zu benutzen. Ausgenommen sind in diesem Fall natürlich Maus und Tastatur, die über USB betrieben werden.

Bestimmte E-Mails sowie „Kopieren-und-Einfügen“ unterbinden

Auch E-Mail-Verkehr kann so unterbunden werden. E-Mail-Adressen, Web-Mail-Zugänge oder IP-Adressen können ebenfalls als Zielgeräte definiert werden, für die bestimmte Datenflussregeln gelten sollen.

Doch was ist mit der beliebten Windows-Funktion „Kopieren und Einfügen“ von Daten? Und was passiert mit Dateien, die nicht von einem markierten Dateisystem kommen und somit lokal erstellt wurden? Das Kopieren und Einfügen kann auf Anwendungsbasis unterbunden werden.

Das bedeutet, dass der Benutzer innerhalb einer Anwendung zwar Daten kopieren und auch einfügen kann, sofern er diese aber an eine andere Anwendung überreichen möchte, wird das unterbunden.

Dateien werden daher auf unterschiedliche Weise markiert. Zum einen basierend auf dem Inhalt (Content based), zum anderen durch die Anwendung, die diese Daten erstellt (Application based).

Auf Inhalt basierende Markierungen werden zum Beispiel dort genutzt, wo Mitarbeiter am Telefon Daten von Kunden entgegennehmen. Diese Daten haben in den meisten Fällen einen charakteristischen Aufbau. Dieser Aufbau wird dann je nach Anforderung des Kunden mit einer Reaktionsregel verknüpft.

Möchte nun ein Mitarbeiter eine solche Information z.B. in ein Internet-Forum laden, wird dies unterbunden. Anwendungsbasierende Markierungen klassifizieren nach Applikationen. Erstellt der Mitarbeiter ein Dokument mit Word, so unterliegt dieses Dokument automatisch den Schutzregeln, die für diese Markierung festgelegt wurden.

Verschlüsselung – und keiner weiß, was drin steht

Die andere Möglichkeit, Daten vor unberechtigten Zugriffen zu schützen, besteht darin, sie zu verschlüsseln.

Viele Unternehmen statten ihre Mitarbeiter mit Laptops oder Smartphones aus. Nicht selten aber werden gerade solche Datenträger verloren, vergessen oder entwendet. Deshalb bietet sich für diese mobilen Endgeräte eine Festplatten- oder File- und Folder-Verschlüsselung an.

Bei der „File & Folder“-Lösung bestimmt der Administrator, die Verschlüsselung der Inhalte bestimmter Ordner, von Dateien aus bestimmten Anwendungen oder eines bestimmten Dateityps.

Anwendergruppen erhalten selektive Zugriffsrechte auf festgelegte Dateien und Ordner und können diese über das gesamte Netzwerk hinweg sicher gemeinsam nutzen. Egal, wo Dateien gespeichert sind oder wohin sie übertragen werden, die Daten bleiben stets verschlüsselt.

Sollte ein unbefugter Anwender versuchen, eine Datei auf einem nicht genehmigten Gerät zu speichern, so erhält er nur eine verschlüsselte und damit unlesbare Datei.

Festplatten-Verschlüssselung für Laptops

Bei Laptops empfiehlt sich Festplatten-Verschlüsselung. Auch die Verschlüsselung von USB-Sticks darf nicht vergessen werden. Manche Lösungen bieten auch hier eine zusätzliche Authentifizierungsmöglichkeit durch Fingerprint an. Gehen solle Geräte dann verloren, kann niemand etwas mit dem USB-Stick anfangen und es bleibt bei einem vernachlässigbaren Materialverlust.

Wer sich für die Verschlüsselung vertraulicher Daten entscheidet, sollte auf folgende Punkte ein Augenmerk legen:

  • Die Lösung sollte eine strenge Zugangskontrolle möglichst mit Anwender-Authentifizierung noch vor dem Hochfahren des Betriebssystems, eine sogenannten Pre-Boot-Authentifizierung, bieten.
  • Die verwendeten Verschlüsselungsalgorithmen sollten möglichst staatlich zertifiziert sein.
  • Ver- und Entschlüsselung sollten für den Anwender transparent sein, im laufenden Betrieb stattfinden und keinen Leistungsverlust zur Folge haben.
  • Daten sollten „on-the-fly“ verschlüsselt werden.

Datenschutz-Zentrale – keine Insellösung

Wichtig bei diesen Lösungen, die entweder unternehmensweit oder in bestimmten Abteilungen ausgerollt werden, ist die Möglichkeit, sie über eine zentrale Konsole verwalten zu können.

Über ein zentrales Management können Sicherheitspolicies ausgerollt, Updates eingespielt und Patches ausgebracht werden. Das spart der IT-Administration sehr viel Zeit und dem Unternehmen selbst Kosten.

Ein effektives zentrales Management wird auch durch die immer heterogeneren Netzlandschaften wichtiger. Mobile Arbeitsgeräte eröffnen den internen Mitarbeitern verschiedenste Wege in Unternehmensnetzwerk. Auch externe Partner und freie Mitarbeiter müssen bei ihrem Zugriff auf Unternehmensdaten überwacht und begleitet werden.

Insofern sollten Data-Leakage Prevention- oder Verschlüsselungslösungen keine Einzelspieler bleiben. NAC-Lösungen sind ein wirksamer Zusatzschutz.

Data Leakage Prevention ist kein isoliertes Einzelelement der Datensicherheit. Es ist vielmehr ein wichtiger Mitspieler zum Schutz des Unternehmenskapitals.

Isabell Unseld
Isabell Unseld ist McAfee PR Manager.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln