Personenbezogene Daten schützen

Transkript

1 Autor: John Stringer, Product Manager, Sophos Praktisch alle Unternehmen und öffentlichen Einrichtungen erhalten, verwenden und speichern personenbezogene Daten über Kunden, Mitarbeiter, Patienten, Studenten, Schüler und andere Einzelpersonen. Um unbefugte Zugriffe auf diese Daten und Diebstähle zu verhindern, erwarten wir von Unternehmen und öffentlichen Einrichtungen eine angemessene Verwaltung und Datenverlust-Sicherung unserer Privatdaten. Ein Missbrauch, Verlust oder eine anderweitige Veruntreuung kann erhebliche finanzielle Einbußen nach sich ziehen, dem Ruf eines Unternehmens schaden und je nach gesetzlicher Lage sogar Straftatbestand sein. Dieses White Paper setzt sich mit den Herausforderungen auseinander, denen sich Unternehmen und Einrichtungen bei der Sicherung sensibler Daten stellen müssen, und erklärt die wichtigsten Schritte für eine effektive Verhinderung von Datenverlusten für Unternehmen, Einrichtungen und deren Kunden. Vor nicht allzu langer Zeit schützten wir unsere personenbezogenen Daten, indem wir uns Geheimnummern zulegten, die in keinem Telefonbuch auftauchten. Heutzutage müssen weit mehr personenbezogene Daten geschützt werden, angefangen bei Kreditkartennummern (siehe Tabelle I). Kundendaten werden elektronisch verarbeitet und in Datenbanken gespeichert. Dies gilt nicht nur für Unternehmen. Auch viele andere Institutionen müssen personenbezogene Daten schützen. Universitäten, Einrichtungen des Gesundheitswesens, Einzelhändler, Regierungsbehörden und viele weitere Organisationen halten hoch sensible Datensätze bereit und verarbeiten diese. Bei der Abwicklung von Verkäufen hat sich die neue Datentechnologie als Segen erwiesen, ermöglicht sie doch eine höhere Flexibilität und Schnelligkeit bei der Verarbeitung von Zahlungen und der Verwaltung von Datensätzen. Kehrseite der Medaille: Das Risiko für Datenverluste ist rasant angestiegen und immer mehr personenbezogene Daten geraten in die falschen Hände. Schutz für personenbezogene Daten in acht Schritten * 1. Definieren Sie personenbezogene Daten und informieren Sie sich über geltende Vorschriften. 2. Identifizieren Sie personenbezogene Daten in Ihrem Unternehmen. 3. Bewerten Sie Ihre Sicherheitsrisiken im Bereich personenbezogener Daten. 4. Vernichten Sie nicht mehr benötigte personenbezogene Daten. 5. Nutzen Sie bereits vorhandene Sicherheitskontrollen. 6. Verschlüsseln Sie personenbezogene Daten. 7. Sensibilisieren und schulen Sie Ihre Mitarbeiter. 8. Dokumentieren, überwachen und bewerten Sie Ihre Daten. *komplette Liste auf Seite 11 Personenbezogene Daten schützen: 1

2 Tabelle I: Was sind personenbezogene Daten? Einzigartige Identifikationsmerkmale»» Vor- und Zuname (falls selten)»» Sozialversicherungsnummern»» IP-Adresse (in einigen Fällen)»» Führerscheinnummer»» Gesicht, Fingerabdrücke oder Handschrift»» Kreditkartennummern»» Digitale Identität In Kombination mit weiteren Daten»» Vor- oder Nachname (falls gebräuchlich)»» Land, Staatszugehörigkeit oder Wohnort»» Alter, besonders im unspezifischen Bereich»» Geschlecht»» Name der besuchten Schule oder Arbeitsplatz»» Abschlüsse, Einkommen oder berufliche Position»» Vorstrafen Der Verizon Data Breach Investigations Report des Jahres 2010 kommt zu dem Schluss, dass über 900 Mio. Datensätze veruntreut wurden. Es existieren zwei Arten von Datenverlusten: versehentliche und bewusst herbeigeführte. Menschliches Versagen oder unzureichende Datenschutzmaßnahmen in Unternehmen können zu versehentlichen Datenverlusten führen. Oft reicht schon das Senden einer mit personenbezogenen Daten an die falsche Person aus. Bei bewusst herbeigeführten Datenlöchern handelt es sich hingegen um vorsätzliche interne oder externe Angriffe auf die Datensysteme eines Unternehmens. Ein Datenloch kann, unabhängig von seiner Ursache, erhebliche Kosten verursachen. Durchschnittlich kommt ein verloren gegangener Datensatz ein Unternehmen mit 204 USD (ca. 154 EUR) teuer zu stehen (Ponemon Institute, Fifth Annual U.S. Cost of a Data Breach Study, Januar 2010). Ein Einbruch in die internen Datensysteme kostete Unternehmen 2008 im Durchschnitt mehr als 6,6 Mio. USD (ca. 5 Mio. EUR). Laut Ponemon ein Anstieg von 46 % gegenüber dem Jahr Zu den Kosten zählen u.a. Aufwendungen für die Behebung des Datenlochs, für die Neubeschaffung verloren gegangener oder gestohlener Laptops und Speichermedien, Prozesskosten, Kosten, die mit der Offenlegung des Datenverlusts gegenüber den Kunden einhergehen (z.b. Briefversand, Pressemeldungen), Betriebsausfälle und Geldstrafen. Was sind personenbezogene Daten? Laut der US-Behörde Office of Management and Budget handelt es sich bei personenbezogenen Daten um solche Daten, über die eine Einzelperson eindeutig identifiziert werden kann, bzw. die den Kontakt zu dieser Person oder die Ermittlung ihres Aufenthaltsorts ermöglichen. Zu solchen Daten zählen eine Vielzahl von Informationen wie z.b: Sozialversicherungsnummern, Führerscheinnummern, Kreditkartendaten, Kontoverbindungen, Krankenhausakten, Patienten- Karteikarten, Versicherungsscheine uvm. Sobald Ihr Unternehmen Kartenzahlungen akzeptiert und Daten zu Löhnen und Gehältern der Mitarbeiter speichert, existieren auch personenbezogene Daten, die es zu schützen gilt. Viele Kunden lassen bei der Herausgabe ihrer personenbezogenen Daten Vorsicht walten. Sobald diese Daten jedoch einem Unternehmen anvertraut werden, obliegt es diesem, für einen sicheren Einsatz und Zugriff zu sorgen. Personenbezogene Daten schützen: 2

3 Tabelle II: Fünf Kriterien, mit denen Sie festlegen, welche Daten im Speziellen geschützt werden müssen Unterscheidbarkeit Kombination Verwendung Compliance Benutzerkomfort Halten Sie nach Daten Ausschau, die an sich bereits eine Einzelperson identifizieren können. Halten Sie nach zwei oder mehr Datentypen Ausschau, die in Kombination eine Einzelperson identifizieren können. Analysieren Sie, wie personenbezogenen Daten in Ihrem Unternehmen verwendet werden. Sie werden häufig innerhalb des Netzwerks übertragen. Sie werden gleichzeitig auf Servern und tragbaren Geräten gespeichert. Sie werden von unterschiedlichsten Personengruppen im Unternehmen verwendet. Ihr Unternehmen muss eine oder mehrere Richtlinien und Vorschriften zum Schutz personenbezogener Daten einhalten. Zu diesen zählen u.a.: Datenschutzrichtlinie der Europäischen Union Vorschriften in den Vereinigten Staaten zum Datenschutz und zur Meldung von Datenverlusten PCI DSS für Kreditkartenzahlungsabwickler HIPAA für das Gesundheitswesen FERPA für den Bildungssektor Vorschriften zum Schutz personenbezogener Daten in Kanada (PIPEDA) Entscheiden Sie, ob personenbezogene Daten: leicht von allen Mitarbeitern eingesehen werden können. kopiert, versendet und ohne Einschränkung gespeichert werden können. der Personalabteilung zur Mitarbeiterbetreuung oder dem Kundendienst für Beratungszwecke zur Verfügung stehen sollen. nur nach Eingabe von PINs und Kennwörtern von Mitarbeitern eingesehen werden können. Laut US Government Accountability Office können 87 % aller US-Bürger eindeutig auf Grundlage ihres Geschlechts, Geburtsdatums und ihrer Postleitzahl identifiziert werden. Es gilt also nicht nur, offenkundig personenbezogene Daten wie Sozialversicherungsnummern, Kreditkarten- und EC-Kartendaten, sondern auch andere private Informationen zu schützen. Konsequenzen eines mangelnden Schutzes personenbezogener Daten Die Kosten, die ein Verlust personenbezogener Daten durch Unachtsamkeit oder Diebstahl nach sich zieht, ist in Dollars oder Euros kaum zu bemessen. Unternehmen und Einrichtungen, die den Missbrauch und Verlust personenbezogener Daten billigend in Kauf nehmen, müssen mit negativer Publicity, sinkendem Kundenvertrauen, Betriebsausfällen und hohen Prozesskosten rechnen*: In Folge eines Datenlochs kamen in einem Zeitraum von über einem Jahr beim Einzelhandelskonzern TJX geschätzte 94 Mio. Kundendatensätze abhanden. Das Unternehmen musste Prozesskosten von insgesamt 170 Mio. USD (ca. 128 Mio. EUR) begleichen wurde Heartland Payment Systems von dem bis dato größten Datenverlust aller Zeiten *Quelle: Security Threat Report: Januar 2010 Personenbezogene Daten schützen: 3

4 heimgesucht. Insgesamt waren 130 Mio. Kredit- und EC-Karten betroffen. Zur Begleichung der anfallenden Prozesskosten veranschlagte das Unternehmen einen Betrag von bis zu 8 Mio. USD (ca. 6 Mio. EUR). In den USA gingen 26 Mio. Datensätze über Veteranen verloren, nachdem einem Mitarbeiter ein Laptop mit personenbezogenen Daten gestohlen wurde. Bei einem in Großbritannien ansässigen Mobilfunk-Anbieter veruntreute ein Mitarbeiter zehntausende Kundendatensätze und bot diese der Konkurrenz zum Kauf an. Bei Health Net of the Northeast Inc. kam eine Festplatte mit unverschlüsselten personenbezogenen, Finanz- und Patientendaten von insgesamt 1,5 Mio. Mitgliedern und Netzwerkärzten abhanden. Zur Kompensation der entstandenen Schäden bot das Unternehmen einen zweijährigen Credit-Monitoring Service für Betroffene an. Für die Medien sind solche Vorfälle ein gefundenes Fressen der von vielen Unternehmen gefürchtete CNN-Moment droht. Auch die Moral Ihrer Mitarbeiter kann erheblichen Schaden nehmen, wenn diese die Folgen eines Datenverlusts beheben und den Ursprungszustand wieder herstellen müssen. Fragen zur Entwicklung einer Nutzungsrichtlinie für personenbezogene Daten Wer benötigt zur Erledigung seiner Arbeit Zugriff auf personenbezogene Daten? Welche Vorschriften muss Ihr Unternehmen einhalten? Welches sind Ihre derzeitigen Schwachstellen? Welche Daten können innerhalb des Unternehmens übertragen bzw. an Dritte außerhalb des Unternehmens versendet werden? Über welche Regeln und Berechtigungen für die Übertragung von Daten verfügt Ihr Unternehmen, bzw. welche werden benötigt? Müssen Daten vor einer Übertragung oder Speicherung auf portablen Geräten verschlüsselt werden? Wer darf Änderungen der Nutzungsrichtlinie vornehmen? Drei mögliche Zustände von Daten Data in Use sind Daten, die von Mitarbeitern auf Endpoints zur Erledigung ihrer Arbeit verwendet werden. Data at Rest sind auf Endpoints gespeicherte Daten. Data in Motion sind Daten, die innerhalb des Netzwerks übertragen werden. Erstellen von Nutzungsrichtlinien Leitende IT-Kräfte müssen den Mittelweg zwischen strengen Kontroll- und Schutzmaßnahmen für personenbezogene Daten und den Anforderungen zur Verwendung dieser Daten vonseiten der Mitarbeiterschaft finden. Prägen Sie sich die Grundsätze für den Umgang mit personenbezogenen Daten gut ein: Vertraulichkeit, Integrität und Verfügbarkeit. Ziel ist die Entwicklung und Durchsetzung von Nutzungsrichtlinien, die klar definieren, welche Daten als besonders sensibel eingestuft werden und welche Mitarbeiter diese einsehen und zu Arbeitszwecken verwenden dürfen. Bilden Sie ein Team, das Sie mit der Identifizierung und Priorisierung sämtlicher personenbezogener Daten in Ihrem Unternehmen betrauen. Das Team sollte sich aus folgenden Fachkräften zusammensetzen: IT-Experten, Mitglieder des Sicherheitsteams und Datenkontrolleure, die wissen, welche Daten verfügbar sind und wo sie sich befinden, sowie Vertreter der Personal- und Rechtsabteilung, die über Fachkenntnisse auf dem Gebiet unternehmensinterner, branchenspezifischer und gesetzlicher Vorschriften verfügen. Dieses Team Personenbezogene Daten schützen: 4

5 kann Sie bei der Definition von Nutzungsrichtlinien für die Verarbeitung und Speicherung personenbezogener Daten aktiv unterstützen. Fünf Schritte zur Entwicklung von Nutzungsrichtlinien Um den Prozess für eine effektive Verhinderung von Datenverlusten in Gang zu bringen, müssen Unternehmen die folgenden fünf Schritte befolgen: Finden Sie zunächst heraus, welche personenbezogenen Daten in Ihrem Unternehmen geschützt werden müssen (siehe Tabelle II). Nehmen Sie eine Priorisierung der personenbezogenen Daten vor. Finden Sie heraus, wo sich die personenbezogenen Daten befinden. Erstellen Sie Nutzungsrichtlinien. Klären Sie Ihre Mitarbeiter über Ihre Nutzungsrichtlinien auf. Wie finden Sie die personenbezogenen Daten in Ihrem Unternehmen? Diese können sich an zahlreichen Orten befinden, z.b. parallel auf Servern, Laptops, PCs und Wechselmedien gespeichert sein. Denken Sie an die drei möglichen Datenzustände, mithilfe derer Sie Daten identifizieren und ihren Standort bestimmen können. Nachdem Sie die Standorte Ihrer personenbezogenen Daten identifiziert haben, müssen Sie festlegen, welchen Umgang Sie mit personenbezogenen Daten in Ihren Nutzungsrichtlinien vorschreiben möchten. Nutzungsrichtlinien unterscheiden sich von Unternehmen zu Unternehmen, sollten jedoch in jedem Unternehmen die drei folgenden Ziele erfüllen: Erstellen Sie Regeln, die festschreiben, wie befugte Mitarbeiter personenbezogene Daten einsetzen dürfen. Ihre Nutzungsrichtlinie wird nur erfolgreich sein, wenn Sie Ihre Mitarbeiter in den Schutz personenbezogener Daten aktiv mit einbeziehen. Eine umfassende Aufklärung Ihrer Mitarbeiter ist eine entscheidende, jedoch allzu häufig vernachlässigte Maßnahme. Händigen Sie daher jedem Mitarbeiter ein Exemplar der Nutzungsrichtlinie aus, bieten Sie Trainings an und lassen Sie Ihre Mitarbeiter eine Erklärung unterzeichnen, in der diese sich zur Einhaltung der Richtlinien verpflichten. So wird jeder einzelne Mitarbeiter zum aktiven Element für das Enforcement Ihrer Nutzungsrichtlinien und spielt bei der unternehmensweiten Verhinderung von Verlusten personenbezogener Daten eine Schlüsselrolle. Eine geeignete Lösung zum Schutz personenbezogener Daten wählen Nachdem Sie sich einen Überblick der personenbezogenen Daten in Ihrem Unternehmen verschafft und eine Nutzungsrichtlinie zur sicheren Verwendung dieser Daten entwickelt haben, sollten Sie sich mit der Frage auseinandersetzen, wie Sie Ihr Netzwerk, Ihre Endpoints sowie sonstige Geräte und Anwendungen effektiv schützen können. Leistungsstarke Schutzmaßnahmen auf Systemebene können versehentliche Datenverluste und Schädlinge im Keim ersticken, noch bevor diese die Chance erhalten, Ihr Unternehmen zu gefährden. Zur Bekämpfung der Vielzahl heutiger Bedrohungen gibt es jedoch keine Wunderwaffe (siehe Tabelle III). Vielmehr ist eine Kombination hochentwickelter Verfahren sowie eine auf mehreren Ebenen greifende Sicherheitsstrategie erforderlich. Schützen Sie personenbezogene Daten. Legen Sie fest, wer auf personenbezogene Daten zugreifen darf. Personenbezogene Daten schützen: 5

6 Tabelle III: Grundlegende Verfahren zum Schutz personenbezogener Daten Verschlüsselung Bedrohungsschutz Verhinderung von Datenverlust Richtlinien- Compliance Vollständige Festplattenverschlüsselung Verschlüsselung von USB-Geräten, CDs und Wechselmedien Richtlinienbasierte -Verschlüsselung Verschlüsselung von Dateifreigaben Schlüsselverwaltung und -backup von zentraler Stelle Möglichkeit zum Audit des Verschlüsselungsstatus Endpoints, s und Internetzugang mit bewährten Sicherheitsverfahren schützen Bekannte und unbekannte Malware wie Würmer, Trojaner, Spyware, Adware, verdächtige Dateien, verdächtiges Verhalten und potenziell unerwünschte Anwendungen (PUAs) uvm. proaktiv und ohne Update aufdecken Virenschutz, Firewall, Application Control und Device Control über nur einen Agent abwickeln Sämtliche Plattformen schützen (Windows, Mac, Linux, UNIX) Stoppt versehentliche Datenverluste mithilfe automatischer Regeln, indem das Verfahren Inhalte auf sensible Daten scannt, die über s oder Instant Messaging versendet und auf Wechselmedien gespeichert werden, z.b.: Dateiregel: Legt die Maßnahme fest, die ergriffen wird, wenn ein Benutzer versucht, eine Datei mit einem bestimmten Dateinamen oder Dateityp aufzurufen bzw. zu übertragen. Inhaltsregel: Legt die Maßnahme fest, die ergriffen wird, wenn ein Benutzer versucht, Daten zu übertragen, die einer oder mehreren Definition entsprechen Stellen Sie eine Liste mit Anwendungen zusammen, die unter allen oder bestimmten Umständen kontrolliert werden müssen. So verhindern Sie, dass sensible Daten versehentlich per , IM, P2P, Online-Speicher, Smartphone-Synchronisationen und andere häufig genutzte Kommunikationsanwendungen übertragen werden. Ergreifen Sie Maßnahmen zur Kontrolle Ihres Internet-Zugangs, denn das Internet ist die Hauptquelle für Malware. Führen Sie Kontrollen für die drei Gerätetypen durch, auf denen am häufigsten versehentliche Datenspeicherungen und -sendungen vorgenommen werden: Speichermedien: Wechselmedien (USB-Sticks, PC-Kartenleser und externe Festplatten), optische Medienlaufwerke (CD-ROM/DVD/Blu-Ray-Laufwerke), Diskettenlaufwerke Netzwerk: Modems; drahtlos (Wi-Fi-Schnittstellen, Standard) Short Range: Bluetooth-Schnittstellen; Infrarot (IrDA-Infrarot-Schnittstellen) Verschlüsselung Verschlüsselungsverfahren sind für den Schutz sensibler Unternehmensdaten unerlässlich. Gelingt es einer Bedrohung, trotz Anti-Virus, Firewall und sonstiger Kontrollen ins Unternehmen zu gelangen, sind personenbezogene Daten einem erheblichen Risiko ausgesetzt. Wenn Daten jedoch bereits verschlüsselt werden, bevor sie auf Wechselmedien gespeichert oder per versendet werden, bleiben sie für Unbefugte in jedem Fall unlesbar. Sie können Kennwörter oder Austauschschlüssel für verschlüsselte Daten Gruppen oder Einzelpersonen fallweise und je nach Bedarf zur Verfügung stellen, wenn diese zur Erledigung ihrer Aufgaben Zugriff benötigen. Durch das Hinzufügen von SPX Encryption werden s in PDF-Dateien umgewandelt, um einen sicheren Versand zu garantieren. Außerdem profitieren Unternehmen bei der Implementierung von Verschlüsselungsverfahren von einer erhöhten Konformität mit Vorschriften zum Schutz personenbezogener Daten. Wenn ein Unternehmen, das alle tragbaren Geräte, s und von Mitarbeitern verwendeten Medien verschlüsselt, einen Verlust oder Diebstahl dieser Geräte bzw. Kommunikationen verzeichnen muss, kann eine Offenlegung des Vorfalls in vielen Fällen vermieden werden und das Unternehmen kommt ohne Rufschädigung Personenbezogene Daten schützen: 6

7 und Negativschlagzeilen davon. Ordnungsgemäß eingesetzt schafft die Verschlüsselung von Daten also einen sicheren Hafen, der Sie vor der gesetzlich vorgeschriebenen Offenlegung peinlicher Datenverluste bewahrt. Tabelle IV: Personenbezogene Daten schützen Ein Kreditsachbearbeiter einer mittelständischen Bank muss wichtige Unterlagen an einen Kunden, der einen Kreditantrag gestellt hat, per versenden. Die Netzwerksicherungslösung der Bank muss über folgende Schutzinstanzen verfügen: Verschlüsselung, die den Schutz der Daten des Kreditsachbearbeiters auch gewährleistet, wenn dessen Laptop gestohlen wird oder verloren geht. Schutz vor Bedrohungen, der Viren, Phishing und andere Schädlingen vom PC fernhält. Data Loss Prevention, die den Kreditsachbearbeiter warnt, bevor er Dateien, die Sozialversicherungsnummern und andere personenbezogene Daten enthalten, versendet. Compliance mit Richtlinien, um zu verhindern, dass der Kreditsachbearbeiter einen Browser mit einer bekannten Sicherheitslücke verwendet oder aber eine Datei auf einem unverschlüsselten USB-Stick speichert. Sperrung anonymisierender Proxyserver für Internetsuchen, da über diese personenbezogene Daten von Administratoren des Proxyservers eingesehen werden können. Bedrohungsschutz Um einen unterbrechungsfreien Betrieb Ihres Netzwerks zu garantieren und allgegenwärtige Viren zu stoppen, die Ihre Unternehmenscomputer infizieren und Daten stehlen könnten, ist eine Lösung zum Schutz vor Malware und sonstigen Bedrohungen unerlässlich. Eine Antiviren-Software allein kann diese Aufgabe nicht bewältigen. Geeignet ist nur eine Sicherheitslösung, die Ihre Angriffsfläche für Bedrohungen durch Einsatz präventiver Verfahren maximal reduziert. Umfassende Anti-Malware-Produkte führen einen schnellen und gründlichen Scan durch, im Rahmen dessen Malware, Adware, verdächtige Dateien, ungewöhnliches User- Verhalten, Phishing-Attacken und nicht autorisierte Software-Installationen aufgedeckt werden. Die von Ihnen gewählte Lösung sollte: Regelmäßig mit neuen Bedrohungskennungen aktualisiert werden, um stets gegen neue und gezielte Bedrohungen gewappnet zu sein. Zero-Day-Bedrohungen mit integriertem Host Intrusion Prevention System (HIPS) und webbasierter Erkennung von Skript-Attacken stoppen. Verwaltete und Gastcomputer automatisch auf aktuellen Schutz- und Patchstatus prüfen, noch bevor diese Zugriff auf das Netzwerk erhalten. Einen sofortigen Einblick in den Sicherheitsstatus sämtlicher Windows-Systeme über dieselbe Konsole verschaffen, über die Sie auch Mac-, Linux- und UNIX-Computer verwalten (so wäre eine schnelle und verlässliche Prüfung des PCs des Bankangestellten in Tabelle IV möglich). Verhinderung von Datenverlust Um zu prüfen, ob Dateien und sonstige Inhalte, die Ihr Unternehmen verlassen, personenbezogene Daten enthalten oder nicht, sollten Sie einen Scan durchführen. Wie in Tabelle IV veranschaulicht, liegt das Ziel darin, User bereits zu warnen, bevor sie sensible Daten versenden. So stellen Sie sicher, dass Mitarbeiter sich Ihrer unternehmensinternen Nutzungsrichtlinien bewusst sind und verhindern, dass Daten per versendet, auf USB-Sticks übertragen werden oder auf anderem Wege in Umlauf geraten. Die Implementierung einer Standalone-Lösung zur Verhinderung von Verlusten sensibler Daten kann nicht nur kosten- und zeitintensiv sein, sondern auch Ihre Endpoints zusätzlich verlangsamen. Eine hochwertige Lösung zur Inhaltskontrolle identifiziert sensible Informationen wie personenbezogene Daten und Datensätze, die Sie als privat gekennzeichnet haben. Nach Abschluss des Personenbezogene Daten schützen: 7

8 Scanvorgangs haben Sie folgende Möglichkeiten: Übertragung zulassen und das Ereignis protokollieren Benutzer warnen, dass Sie im Begriff sind, personenbezogene Daten zu versenden, diese über Konsequenzen aufklären, auf die Nutzungsrichtlinie hinweisen und das Ereignis protokollieren Datenübertragung blockieren, da diese gegen die Nutzungsrichtlinien verstößt, und Ereignis protokollieren Datei vor dem Versenden per verschlüsseln Mit einer kombinierten Sicherheitslösung überwachen und kontrollieren Sie die Übertragung von Dateien auf ausgewählte Speichermedien bzw. über ausgewählte Internet-Anwendungen (z.b. -Client, Internet- Browser oder Instant Messaging), ohne eine separate Lösung für jede Anwendung implementieren zu müssen. So profitieren Sie von Kosteneinsparungen bei der Verwaltung und optimieren außerdem Ihre Performance. -Verschlüsselung und DLP-Inhaltskontrollen sind unerlässliche Komponenten einer jeden Datenschutzlösung. Um Daten jedoch effektiv zu schützen, muss die Lösung auch benutzerfreundlich sein und die gewohnten Arbeitsabläufe in keinem Maße behindern. Um personenbezogene Daten in s zu schützen, ist eine Inhaltsüberwachung und -kontrolle sowohl auf Endpoint-Ebene als auch am -Gateway selbst unerlässlich. Wenn die Bank in Tabelle IV Listen zur Inhaltskontrolle einsetzt, können sensible Daten im -Attachment aufgedeckt und der Bankangestellte vor dem Klicken der Senden-Schaltfläche gewarnt werden. Je nach Sicherheitseinstellungen der Bank wird der Sendevorgang blockiert und/oder das Ereignis protokolliert. Richtlinien-Compliance Die Compliance mit Richtlinien wird durch Einsatz der folgenden drei Hauptelemente gewährleistet: Application Control, Device Control und Web Control. Nur ein Zusammenspiel aller drei Komponenten ermöglicht eine lückenlose Konformität mit geltenden Richtlinien vonseiten der Benutzer. Application Control: Datenverluste können auch geschehen, wenn Mitarbeiter versehentlich oder mutwillig Informationen über nicht zugelassene Anwendungen wie IM, P2P-Software zum Dateiaustausch, Onlinespeicher oder Smartphone- Synchronisationen versenden. Diese Anwendungen beanspruchen nicht nur Ihre Netzwerkbandbreite, sondern sind auch immer häufiger Ursache für Probleme sicherheitstechnischer, legaler oder produktiver Natur in Unternehmen. IT-Abteilungen sind daher dazu angehalten, die unbefugte Installation und Verwendung solcher Anwendungen zu kontrollieren. Eine auf mehreren Ebenen greifende Sicherheitslösung kombiniert die Erkennung solcher Controlled Applications mit Erkennungsmechanismen für Malware und potenziell unerwünschte Anwendungen wie in Tabelle IV, wo der Bankangestellte an der Verwendung eines Internet-Browsers mit einer unbekannten Sicherheitslücke gehindert wurde und sorgt so für eine lückenlose Anwendungskontrolle, ohne dass hierzu eine separate Einzellösung erworben, installiert oder verwaltet werden müsste. Eine granulare Kontrolle von Anwendungen, die bekanntermaßen Datenverluste hervorrufen, kann entscheidend zum Erfolg Ihrer Nutzungsrichtlinien beitragen. Sie haben ferner die Möglichkeit, Richtlinien für Gruppen von Endpoint- Computern zu erstellen, die speziell auf die Bedürfnisse bestimmter Standorte oder Abteilungen eingehen. Personenbezogene Daten schützen: 8

9 Beispielsweise kann VoIP für unternehmensinterne Computer ausgeschaltet, für externe Computer jedoch zugelassen werden. Administratoren können Anwendungen durch den Einsatz von Whitelists (erlaubte Anwendungen) und Blacklists (verbotene Anwendungen) problemlos kontrollieren. So folgt die Kontrolle von Anwendungen klaren Regeln und Sie haben die Möglichkeit, potenzielle Quellen für Verlust oder Diebstahl personenbezogener Daten ohne jegliche Behinderung des Alltagsgeschäfts im Keim zu ersticken. Device Control: Gemeinsam mit Application Control kann Device Control die Gefahr für versehentliche Datenverluste erheblich eindämmen und ein unbefugtes Einbinden von Software und Malware von außerhalb des Netzwerks unterbinden. Sie haben die Möglichkeit, Richtlinien zu erstellen, die die Nutzung von Netzwerkgeräten und Wechselmedien bis hin zu bestimmten Modellen, Arbeitsgruppen und Einzelpersonen kontrollieren. So können personenbezogene Daten nicht mehr auf USB-Sticks gespeichert oder auf CDs gebrannt werden bzw. es kann lediglich Lesezugriff gewährt werden. In Tabelle IV wurde ein Bankangestellter an der Übertragung personenbezogener Daten auf einen unverschlüsselten USB-Stick gehindert. Web Control: Ein weiterer wichtiger Aspekt zur Realisierung eines übergreifenden Konzepts zur Richtlinien-Compliance stellt eine lückenlose Kontrolle der Internet-Nutzung dar, da auf missbrauchten Websites mit Abstand die meisten Malware-Quellen lauern. Web Control kann Infektionen verhindern, indem der Zugriff auf bekannt schädliche und infizierte Websites gesperrt wird. Ein kontrollierter Zugriff auf das Internet und Web 2.0-Anwendungen ist für die Realisierung einer wirksamen Datenschutzstrategie von entscheidender Bedeutung. Webmail, Blogs, Foren und Social-Networking-Websites sind Tummelplätze für Datenverluste. Eine effektive Lösung zur Richtlinien-Compliance muss daher im besonderen den Risiken entgegenwirken, die mit Datenverlusten über Web 2.0 einhergehen: Zugriff auf schädlingsbefallene und hochriskante Websites kontrollieren Daten kontrollieren, die das Unternehmen über Internet-Anwendungen verlassen Die Nutzung unsicherer, anonymisierender Proxyserver unterbinden, welche u.u. sensible Daten abfangen und missbrauchen Da Sie die Möglichkeit erhalten, Geräte je nach Einzelfall und Modell zu kontrollieren, ist beispielsweise die Blockierung eines USB-Sticks der Marketing- Abteilung auf Grundlage der Richtlinie über die Blockierung von Wechselmedien möglich, während die Verwendung eines verschlüsselten USB-Sticks der Rechtsabteilung zur Speicherung personenbezogener Daten erlaubt bleibt. Personenbezogene Daten schützen: 9

10 Empfehlungen 1. Verwenden Sie unsere Checkliste Schutz für personenbezogene Daten in acht Schritten auf Seite 11, um personenbezogene Daten in Ihrem Unternehmen zu schützen. Und denken Sie daran: Wenn Ihre Geschäftspartner personenbezogene Daten erheben, speichern und nutzen, sollten Sie sich schriftlich bestätigen lassen, dass diese Daten hinreichend geschützt werden. Wenn bei Ihren Geschäftspartnern Daten verloren gehen, kann sich dies auch auf Ihr Unternehmen negativ auswirken. 2. Verfolgen Sie ein mehrschichtiges Schutzkonzept, das folgende Bereiche abdeckt: Verschlüsselung Bedrohungsschutz Verhinderung von Datenverlust Richtlinien-Compliance 3. Nehmen Sie eine Priorisierung der Lösungen auf Grundlage Ihres Risikoprofils vor (ermittelt auf Basis einer Risikoanalyse). Eine Priorisierung der geplanten Sicherheitsmaßnahmen vermeidet eine Überlastung des Budgets und wertvoller Ressourcen. Eine kombinierte Lösung eröffnet zahlreiche Vorteile: Einfache Installation und Verwaltung Nur ein Support-Kontakt Bester und umfassendster Schutz Kosten- und Zeiteinsparungen Personenbezogene Daten schützen: 10

11 Checkliste: Schutz für personenbezogene Daten in acht Schritten 1. Definieren Sie personenbezogene Daten und machen Sie sich mit den geltenden Vorschriften vertraut. Zuallererst ist es wichtig, zu verstehen, welche Rolle personenbezogene Daten in Ihrem Unternehmen spielen. Je nach Branche kann eine Durchsicht geltender Compliance-Vorschriften bei der Definition zu schützender personenbezogener Daten hilfreich sein. Nutzen Sie diese Definition personenbezogener Daten als Ausgangspunkt für Ihr Schutzkonzept. Mehr Informationen erhalten Sie im Buch Compliance für Dummies. 2. Identifizieren Sie personenbezogene Daten in Ihrem Unternehmen. Verschaffen Sie sich einen Überblick darüber, wie personenbezogene Daten in Ihrem Unternehmen erhoben, verwendet, gespeichert und übertragen werden. Finden Sie heraus, wer im Unternehmen und von außerhalb Zugriff auf personenbezogene Daten erhält. 3. Bewerten Sie Ihre Sicherheitsrisiken. Analysieren Sie, auf welchen Wegen personenbezogene Daten aus Ihrem Unternehmen gelangen (Verlust oder Diebstahl). Nehmen Sie eine Priorisierung dieser Risiken auf Basis ihrer Wahrscheinlichkeit vor. Zunächst sollten Hochrisikobereiche mit geeigneten Sicherheitsmaßnahmen angegangen werden. Arbeiten Sie dann die Liste ab. Dämmen Sie Sicherheitsrisiken ein, indem Sie Ihren Mitarbeitern nur dann Zugriff auf personenbezogene Daten gewähren, wenn dieser tatsächlich erforderlich ist. Manche Risiken lassen sich u.u. schwer eindämmen. Andere wiederum können mit einfachen Maßnahmen leicht ausgeschaltet werden. Erzielen Sie zeitnahe Erfolge und verschaffen Sie sich Rückhalt innerhalb Ihres Unternehmens, indem Sie leicht zu behebende Risiken so schnell wie möglich angehen. 4. Vernichten Sie nicht mehr benötigte personenbezogene Daten. Vernichten Sie personenbezogene Daten, sobald diese nicht mehr benötigt werden. Stellen Sie jedoch sicher, dass Sie Daten, für die gemäß geltender Vorschriften eine Vorhaltung vorgesehen ist, archivieren. Je weniger personenbezogene Daten vorhanden sind, desto geringer das Risiko für Datenverluste. 5. Nutzen Sie bereits vorhandene Sicherheitsvorrichtungen. Sorgen Sie dafür, dass Virenschutz, Firewall, Zugriffskontrolle, sichere Kommunikation, Betriebs- und Anwendungspatches aktualisiert sind. Nutzen Sie Ihre Sicherheitssoftware und Ihr Sicherheitsbudget maximal, indem Sie prüfen, ob das Produkt Ihres Virenschutzanbieters Funktionen zum Datenschutz und zur Datenverlustverhinderung beinhaltet. 6. Verschlüsseln Sie personenbezogene Daten. Verschlüsselung sollte eine Ihrer leistungsstärksten Sicherheitsmaßnahmen sein. Für die Verschlüsselung gelten besondere Vorschriften. Alle personenbezogenen Daten, die Ihr Unternehmen verlassen (z.b. über Laptops, Festplatten, USB-Sticks, CDs/DVDs, s) müssen verschlüsselt werden. Das gilt auch für die Schlüssel selbst. 7. Sensibilisieren und schulen Sie Ihre Mitarbeiter. Viele Benutzer wissen nicht, welche Daten in die Kategorie personenbezogen fallen und sind sich der besonderen Anforderungen bei der Verarbeitung solcher Daten nicht bewusst. Entwickeln Sie Nutzungsrichtlinien für Ihre personenbezogenen Daten. Sorgen Sie dafür, dass sämtliche Mitarbeiter über die besonderen Merkmale personenbezogener Daten aufgeklärt werden und nach deren Identifizierung entsprechende Maßnahmen zur Sicherung dieser Daten ergreifen. Im Rahmen dieser Schulungen sollten Ihre Mitarbeiter auch über die Wahl und Verwendung sicherer Kennwörter aufgeklärt werden. 8. Dokumentieren, überwachen und bewerten Sie Ihre Daten. Verfassen Sie einen schriftlichen Plan zur Datensicherung und überwachen Sie Ihre Sicherheitsmaßnahmen in regelmäßigen Abständen. Ziehen Sie ggf. im Rahmen des regulären Bewertungsprozesses eine Prüfung durch Dritte in Betracht. Boston, USA Oxford, UK Copyright Sophos Ltd. Alle Rechte vorbehalten. Alle Marken sind Eigentum ihres jeweiligen Inhabers.