5. Dezember 2008 - Interview Data-Loss-Prevention

Datenverluste: 90 Prozent sind unbeabsichtigt

Personenbezogene und vertrauliche Geschäftsdaten sind nicht nur im Internet, sondern auch im eigenen Netzwerk bedroht. Sogenannte DLP-Lösungen (Data Loss Prevention) zeigen Wege auf, wie man sich gegen einen internen Datenabfluss schützen kann. Doch was versteht man unter einem Datenabfluss? Welche Schritte sind erforderlich, um sich dagegen zu schützen? Datenschutz PRAXIS sprach mit Michael Neumayr, Regional Manager Central Europe bei Websense, einem Anbieter für Sicherheitslösungen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Datenschutz PRAXIS: In den Medien ist immer häufiger von Datenverlusten im internen Netzwerk zu hören. Was versteht man unter einem solchen Datenverlust oder Datenabfluss?

Michael Neumayr: Wenn über Datenverluste und deren Auswirkungen gesprochen wird, sollte zunächst einmal geklärt werden, um welche Art von Daten es geht.

Klar, dass bei allen sensiblen und unternehmenskritischen Daten wie personenbezogenen Angaben, Angeboten, internen Preiskalkulationen oder Unterlagen aus Forschung und Entwicklung die Alarmglocken schrillen, falls es hier zu einem „unerwünschten Datenabfluss“ kommt.

Die hier entscheidenden Fragen lauten daher:

  • Welche Daten sind für ein Unternehmen oder eine Behörde von kritischer Bedeutung und müssen vor einer unbeabsichtigten Weitergabe geschützt werden?
  • In welchen Geschäftsprozessen werden diese Daten genutzt?
  • Wo befinden sich denn die unternehmenskritischen Daten?
  • Und schließlich: Wer ist berechtigt, auf sensitive Inhalte oder Anwendungen zuzugreifen? Anders ausgedrückt: Welche Regeln und Arbeitsanweisungen gibt es für den Umgang mit unternehmenskritischen Daten?

Zu den wesentlichen Ursachen für Datenverluste gehören inkonsistente oder falsch aufgesetzte Geschäftsprozesse, im Rahmen derer Daten in die falschen Hände gelangen oder über unsichere Kanäle übertragen werden.

Wichtig ist demnach, welche Maßnahmen ergriffen werden, um die Regeln für den Umgang mit unternehmenskritischen Daten umzusetzen und zu kontrollieren.

Datenschutz PRAXIS: Wie kann man sich einen ungewollten Datenabfluss denn vorstellen? Steckt dahinter immer ein Datendiebstahl?

Michael Neumayr: Im Allgemeinen geschehen gut 90 Prozent aller Datenverluste unbeabsichtigt. Beim Rest handelt es sich um bewusstes Fehlverhalten.

Von einem „ungewollten Datenabfluss“ kann man bereits sprechen, wenn Unterlagen an einen Empfänger verschickt wurden, weil sich in der E-Mail-Adresse ein Tippfehler eingeschlichen hat oder die AutoComplete-Funktion des Mail-Clients eine falsche Zuordnung vorgenommen hat.

In einigen Unternehmen gibt es auch Regeln, dass bestimmte Dokumente – beispielsweise Angebote – nur verschlüsselt das Unternehmen per E-Mail verlassen dürfen.

Verstößt jemand gegen diese Vorschriften, muss es erstens Hinweise auf das (potenzielle) Fehlverhalten geben und zweitens Möglichkeiten, die Ausführung zu stoppen.

Geregelt wird dies über Arbeitsanweisungen, die als Regeln in Data-Security-Lösungen (DLP-Lösungen) hinterlegt sind. Im Kern geht es also um den Schutz essentieller Unternehmensdaten.

Datenschutz PRAXIS: Welche Anzeichen könnten auf einen Datenverlust hinweisen?

Michael Neumayr: Ohne Prävention ist der fehlerhafte Umgang mit Daten nur sehr schwer zu entdecken.

Um einen Datenverlust zu verhindern, müssen Unternehmen wissen, wo sich die sensiblen Daten befinden. Nur dann können sie auch wirksam geschützt werden.

Diese fehlende Transparenz wird allenfalls durch Zufall sehr schmerzlich spürbar. Beispiele für Datenskandale haben wir in Deutschland in diesem Jahr leider einige erlebt. T-Mobile wurden bekanntermaßen mehr als 17 Millionen Kundenstammdaten entwendet, und in Callcentern sind die Bankdaten Tausender Kunden abhanden gekommen.

Datenschutz PRAXIS: Moderne Lösungen im Bereich Data Loss Prevention (DLP) erscheinen sehr mächtig. Ist die Einrichtung eines solchen Systems nicht komplex und zeitaufwendig, wenn die zahlreichen Möglichkeiten des ungewollten Datenabflusses berücksichtigt werden sollen?

Michael Neumayr: Die Einführung einer DLP-Lösung stellt Unternehmen im Allgemeinen weniger vor eine technische denn vor eine organisatorische Herausforderung, die organisationsweit angegangen werden muss.

So kann die IT-Abteilung die technischen Rahmenbedingungen für eine DLP-Lösung beispielsweise mit der Websense Data Security Suite schaffen. Dem voraus geht jedoch die organisatorische Festlegung, welche Business-Daten zu schützen sind.

Dazu kommt die Dokumentation der Geschäftsprozesse, denn die wenigsten Unternehmen verfügen über Aufzeichnungen darüber, wie mit den Daten in ihrem Unternehmen umgegangen werden darf. Dieser Punkt ist für eine spätere korrekte Kontrolle von großer Bedeutung.

Bevor es also zur technischen Installation der DLP-Lösung kommt, müssen die organisatorischen Hausaufgaben gemacht sein. Sind diese Fragen konzeptionell geklärt, kommt als nächster Schritt, die Dateneigentümer und Fachabteilungen (wie IT, Datenschutz, Betriebsrat) an einen Tisch zu bringen und das Thema DLP zu konkretisieren.

Last but not least gilt es auch, die notwendigen Prozesse für den Betrieb der DLP-Lösung auf- und durchzusetzen. Vorfälle müssen überwacht, neue Projekte und Mitarbeiter erfasst werden. Eine hochwertige DLP-Lösung kann hier viel dazu beitragen, den Aufwand zu minimieren. Sie wird aber in absehbarer Zeit die menschlichen Entscheidungsträger nicht ersetzen können.

Datenschutz PRAXIS: Welche weiteren Schritte in Richtung DLP können Sie unseren Leserinnen und Lesern empfehlen?

Michael Neumayr: Für einen Einstieg unentbehrlich ist neben der Betrachtung der Geschäftsprozesse und den Arbeitsanweisungen die Klassifikation der Daten: Fast jeder kann sich in dem Zusammenhang noch an die Umlaufmappe aus Behörden mit den Stempeln „geheim“, „vertraulich“ oder „intern“ erinnern. Derartige Einordnungen legen die Schutzbedürftigkeit von Informationen fest.

Eine recht gute Hilfe im digitalen Zeitalter liefern Tools wie die Websense-Software Data Discover. Sie durchsucht alle in einem Unternehmen gespeicherten Informationen. Als Ergebnis liefert sie Hinweise darauf, wo überall sich besonders sensible Firmendaten befinden.

In einem zweiten Schritt können Unternehmen dann Maßnahmen ergreifen, um gefährdete Daten auf Fileservern, in Storagesystemen sowie auf Desktops und Notebooks optimal zu schützen.

Ergänzend zu allen notwendigen technischen Vorkehrungen sollten Unternehmen ihre Mitarbeiter regelmäßig schulen und ihnen die Gefahren beim allzu leichtsinnigen Umgang mit sensibeln Informationen aufzeigen.

Das fängt beispielsweise schon bei Verhaltensregeln für Telefonate an. Ein klassischer Fall für den ungewollten Datenabfluss sind Gespräche mit dem Handy in aller Öffentlichkeit, bei denen über vertrauliche Dinge gesprochen wird.

Datenschutz PRAXIS: Bleiben bei DLP auch die Vorgaben des Datenschutzes gewahrt?

Michael Neumayr: Zunächst einmal bleibt festzuhalten, dass es bei DLP um Unternehmensinformationen geht und nicht um persönliche Daten von Mitarbeitern.

Zu letzteren existieren bereits vielfältige Regeln, wie etwa die Personalabteilung mit solchen Informationen umgehen muss.

Sowohl bei den unternehmens- als auch bei den personenbezogenen Daten gilt, dass der Betriebsrat – so es einen gibt – und die Mitarbeiter ein Informations- und Mitspracherecht bei der Protokollierung haben. Den Zugriff auf unternehmenskritische Daten regeln die Benutzerrechte. Diese sind nicht an die Personen, sondern an die Schutzbedürftigkeit der Dokumente gebunden.

Die Fragen stellte Oliver Schonschek, Diplom-Physiker und Fachjournalist.

Mehr zum Thema „Datenverlust“
Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln