Best Practice für Ihre Datensicherheit

Transkript

1 Best Practice für Ihre Datensicherheit Im Büro und unterwegs Datensicherheit ist Unternehmensschutz Seit Jahren ein fester Begriff, wird die Datensicherheit im Unternehmen doch oft vernachlässigt. Im besten Fall gibt es Compliance-Richtlinien, im Tagesgeschäft sind ihre Inhalte jedoch schnell vergessen. IT-Leiter sind herausgefordert, Server, internetbasierte Kommunikation und eine Vielzahl mobiler Endgeräte zu schützen. Doch kann man in einem hochdynamischen Arbeitsumfeld die Datensicherheit überhaupt in den Griff bekommen? Und die Umsetzung für die Anwender einfach halten? Ja, man kann. Schirmherrschaft Ein Handlungsversprechen von gemeinsam mit

2 Best Practice für Ihre Datensicherheit Sicherheit und Effizienz sind keine Gegensätze Noch nie wurden Kunden schneller bedient: Projektarbeit wird an unterschiedlichen Standorten geleistet, die benötigten Informationen werden rasch und bequem aus dem Firmennetz heruntergeladen und vor Ort aktualisiert. Reisezeit wird genutzt, die Daten sind auf mobilen Endgeräten überall und jederzeit verfügbar. Doch die hohe Mobilität, die ungeschützten externen Zugriffe auf Server, die Versendung vertraulicher Informationen per oder ihre Auslagerung dies alles bietet auch Angriffsmöglichkeiten auf die Ihre Daten. Traditionelle Sicherheitsmaßnahmen reichen leider nicht mehr aus. Die Entwicklung eines Sicherheitskonzepts ist jedoch keine Sisyphusarbeit: systematisch und mit Augenmaß geplant, werden die Risiken proaktiv ausgeschaltet. Gute Lösungen sind dabei diejenigen, die vollautomatisch und transparent arbeiten, denn sie bremsen die Produktivität der Anwender nicht. Richtlinien sind Wegweiser Selbstverständlich gibt es Gesetze zum Schutz personenbezogener Daten. Es gibt sogar branchenspezifische Gesetze. Wenn Ihr Unternehmen im Finanz- oder Versicherungssektor, Gesundheitswesen, Energiesektor oder Bildungswesen tätig ist, hat es sich an strenge Regularien zu halten. Ebenso gibt es Geheimhaltungsvereinbarungen, die zwischen Projektpartnern, zwischen Dienstleistern und Auftraggebern, Arbeitgebern und Arbeitnehmern getroffen werden. Eine solche Vereinbarung hat Vertragsstatus. Wenn Daten nicht oder nachlässig geschützt sind, hat das Konsequenzen. Bußgelder oder sogar Freiheitsstrafen (z. B. nach 203 StGB) wegen Verstoßes gegen Datenschutzgesetze, rechtliche Schritte von Kunden oder Partnern, die sich geprellt fühlen, Verlust von gutem Ruf und strategischen Unternehmensdaten sind nur einige davon. Die gute Nachricht ist: Diese Regularien geben bereits die Richtung für Ihr Sicherheitskonzept vor. Wer ein wirksames Konzept zur Datensicherung umsetzt, hat bereits 85 bis 90 Prozent aller Compliance-Vorschriften abgedeckt. Wie sicher sind die Daten Ihres Unternehmens? Datensicherheit dient nicht nur der Erfüllung von Gesetzen und der eigenen Absicherung sie schützt Unternehmenswerte. Denn um nichts anderes geht es bei Ihrer strategischen Roadmap, Ihrer Produktdatenbank, Ihrer Kundendatei. Mit einem gut durchdachten Sicherheitskonzept schützen Sie zudem Kunden und Partner und schaffen Vertrauen. Zur Entwicklung eines solchen Konzepts sollte zunächst bewertet werden, wie die Geschäftsprozesse und die Kommunikation in Ihrem Unternehmen stattfinden. Fragen Sie sich also: Wo befinden sich die Daten? Welche Daten sind sensibel? Wer kann darauf zugreifen? Was sind die Schwachstellen? Wie kann ich die Sicherheitsmaßnahmen möglichst einfach für die Anwender machen? 2

3 Das Konzept Wenn Sie im Bilde sind über Ihre Prozesse, steht Ihrem Konzept zur Datensicherheit nichts mehr im Wege. Es sollte folgende Bereiche umfassen: sicheres Arbeiten von unterwegs vertrauliche -Kommunikation Verlust von Speichermedien Arbeiten in der Cloud Schwachstellen beim Outsourcing und interne Risiken Datensicherheit in der Praxis Beziehen Sie in Ihr Datensicherheitskonzept die Situationen und den Status ein, in dem sich Ihre Unternehmensdaten befinden: im Backend, im Austausch oder in der Bearbeitung. Auch, wenn sich die Sorglosigkeit in viele Prozesse eingeschlichen hat, weil scheinbar noch nie etwas passiert ist aus der Praxis gibt es zahllose Beispiele für die Konsequenzen, wenn eben doch etwas passiert. Szenario 1: Verlust eines Tablet-PC Matthias Hesse arbeitet als COO für die ABC AG, dem weltweit führenden Hersteller von Maschinen zur Fertigung von Solarkollektoren. Da die Mitarbeiter viel reisen, bereitet das Unternehmen die alle sechs Wochen stattfindenden Vorstandssitzungen neuerdings IT-basiert vor. Allen Vorstandsmitgliedern wurde ein ipad zur Verfügung gestellt, sie bekommen die Sitzungsdokumente jetzt im Voraus per . Die Vorstände können nun mit leichtem Gepäck reisen und erhalten völlig problemlos ihre Updates. Auf einer Geschäftsreise bemerkte Matthias Hesse auf dem Weg zum Flugsteig, dass er sein Tablet in der Vielflieger-Lounge vergessen hatte. Er eilte zurück in die Lounge, das Gerät war nicht mehr aufzufinden. Kurz zuvor hatte er die strategische Roadmap für das kommende Jahr erhalten. 3

4 Best Practice für Ihre Datensicherheit Risiko: Tablets und Smartphones sind ungeschützt Mobilgeräte meist eine Mischung aus Telefon, Tablet und Computer erleichtern die Arbeit von unterwegs ungemein, doch die Geräte sind oft völlig ungeschützt, und mit ihnen die gespeicherten Unternehmensdaten. Best Practice: Kontrollieren Sie die Sicherheitsfunktionen von Smartphones und Tablet-Computern Sorgen Sie dafür, dass Sie die Geräte bei Verlust auch remote sperren und zurücksetzen können. Der vorliegende Fall hätte dementsprechend verlaufen können: Matthias Hesse rief sofort den Helpdesk an und erbat die Sperrung des Geräts. Nachdem er das ipad vergeblich gesucht hatte, rief er noch einmal beim Helpdesk an und bat um eine vollständige Löschung der Daten des Geräts. Lösung: Eine Anwendung, die über gemeinsame Richtlinien die Geräte so konfiguriert, dass sie den Sicherheitsrichtlinien Ihres Unternehmens entsprechen. In einem einzigen Schritt werden alle Einstellungen für -Zugang, VPN oder andere IT-Systeme vorgenommen. Szenario 2: Diebstahl eines Notebooks Das bayrische Unternehmen Mediatech (MT), ein Vertriebspartner des globalen Chipherstellern Isodyne LLC, hat einen viel versprechenden Media-Player entwickelt. Produktmanagerin Christina Haller arbeitete dabei eng mit Isodyne zusammen und handelte die Einzelheiten zu Prozessoreinkauf, Produkt-Rollout, Marketing-Strategie, Umsatzprognosen verschiedener Vertriebswege und Produktplanung aus. Haller archivierte alle Dokumente auf ihrem Notebook, darunter auch eine Vielzahl an proprietären Informationen, die unter eine Geheimhaltungsverpflichtung mit Isodyne fielen. Bei einer Messe in Hongkong wurde Haller angerempelt, jemand schnitt den Tragegurt des Notebooks durch und riss es unter ihrem Arm weg. Fünf Tage später waren die Spezifikationen für den noch nicht erschienen Prozessor im Internet zu finden, zusammen mit dem Marketing-Plan für den Media-Player und der Produktplanung. Tags darauf kündigte Isodyne die Vereinbarung zur gemeinsamen Vermarktung mit MT und drohte rechtliche Schritte wegen der Verletzung der Geheimhaltung an. Risiko: Herkömmlich konfigurierte Notebooks sind leicht zu knacken Das mobile Büro ist zwar effizient, denn die Daten sind überall und jederzeit verfügbar. Doch die Notebooks befinden sich nicht mehr hinter, sondern vor der Unternehmens-Firewall. Selbst ein beim Hochfahren des Systems einzugebendes Passwort oder andere Formen einer 1-Faktor-Authentifizierung sind nur wenig hilfreich. Best Practice: Implementieren Sie eine Richtlinie zur kompletten Festplattenverschlüsselung aller Notebooks Ihres Unternehmens Ohne Schutzmaßnahmen sind die auf Notebooks gespeicherten Informationen für Diebe leicht zugänglich. Eine Verschlüsselung der Festplatte hingegen verhindert den Zugriff durch nicht autorisierte Personen. Christina Haller hätte zwar ihr Notebook verloren, doch dank des starken Verschlüsselungsschutzes hätte keine Gefahr einer Offenlegung der vertraulichen Daten bestanden. Lösung: Festplattenverschlüsselung bei der die mit Single-Sign-On (SSO) arbeitenden Mitarbeiter lediglich einmal ihr Passwort eingeben, um Zugriff auf den Computer zu erhalten. Unterschiede in der Funktionsweise der Notebooks gibt es danach nicht. 4

5 Szenario 3: Vertrauliche -Kommunikation Forschungsleiterin Susanne Morgenstern ist für die Doppelblind- Studien zur medizinischen Forschung ihres Unternehmen Mang Pharma AG verantwortlich. Sie versendet häufig Statusberichte, vertrauliche pharmazeutische Daten und ähnliche sensible Informationen via an externe Forschungsunternehmen. Ihre Ansprechpartner kennt sie aus langjähriger Zusammenarbeit, daher hat sie keine Befürchtungen, dass jemand die übermittelten Informationen ausspäht. Ein früherer Mitarbeiter der Mang AG, Thomas Neuhäuser, wechselte zu einem Konkurrenzunternehmen. Er fälschte die -Adresse eines externen Ansprechpartners von Susanne Morgenstern, gab sich damit bei ihr als eben jener altbekannte Ansprechpartner aus und bat sie, ihm eine Reihe von vertraulichen Dokumenten über einen kürzlich durchgeführten Medikamententest erneut zu schicken. Die -Nachricht wirkte überzeugend und Morgenstern schickte ihm die Daten. Erst nach einer Rücksprache mit dem Ansprechpartner, für den Neuhäuser sich ausgegeben hatte, erkannte Susanne Morgenstern, dass man sie getäuscht hatte. Risiko: Der Empfänger ist nicht der, für den Sie ihn halten Die -Nutzung wird beim Erstellen von Sicherheitskonzepten häufig vernachlässigt, weil diese Kommunikationsform so vertraut und harmlos erscheint. Doch sie ist absolut anfällig für Ausspäh- und Betrugsversuche. Wenn unter falscher -Adresse das Vertrauen ausgenutzt wird, können personenbezogene oder sensible Daten erfragt werden. Best Practice: Verschlüsseln Sie s und prüfen Sie die Authentizität der Empfänger Durch eine Verschlüsselung der Inhalte von -Nachrichten sorgen Sie dafür, dass die enthaltenen Informationen nicht von Wettbewerbern, Hackern oder anderen nicht autorisierten Personen gelesen werden können. Die Verwendung digitaler Signaturen gewährleistet die Gültigkeit der Sender und Empfänger von Nachrichten, so dass Sie sichergehen, auch wirklich mit der richtigen Person zu kommunizieren. Lösung: Eine Anwendung zur Verschlüsselung aller -Nachrichten und Anhänge, die über das -System Ihres Unternehmens versandt und erhalten werden. Digitale Signaturen und deren Verifizierung stellen die Identität der -Sender und -Empfänger sicher. Szenario 4: Verlust von Speichermedien Fabian Bredkowski war im technischen Support der SilberWeiss Computer GmbH tätig, einem florierenden Computerhandel mit Sitz in Köln. Bredkowski nahm das Thema Sicherheit zwar durchaus ernst die Unternehmensserver waren allesamt durch eine Firewall und strenge Authentisierungs- und Zugriffsregelungen abgesichert beschloss aber eines Tages, an einem kniffligen Support-Problem zu Hause an seinem eigenen PC weiterzuarbeiten. Er kopierte die Kundendateien auf einen Memory Stick, den er in seinen Geldbeutel steckte. Die Dateien umfassten die Kontaktdaten und persönlichen Informationen von mehreren hundert SilberWeiss-Kunden. Auf dem Heimweg verlor er beim Aussteigen vor einem Restaurant seinen Geldbeutel. Jemand fand ihn, steckte ihn ein und fuhr davon. 5

6 Best Practice für Ihre Datensicherheit Bredkowski meldete den Verlust des Memory Sticks gewissenhaft seinem Vorgesetzten. SilberWeiss musste seinen Richtlinien zufolge nun alle seine Kunden über den Verlust ihrer persönlichen Daten informieren. In den folgenden Monaten bearbeiteten die Support-Mitarbeiter von SilberWeiss unzählige Beschwerden von Kunden, die darüber aufgebracht waren, dass ihre persönlichen Daten so nachlässig behandelt worden waren. Risiko: Externe Speichermedien gehen schnell verloren oder werden gestohlen Mit ihrer kompakten Größe und ihrem geringen Gewicht sind externe Festplatten, Flash-Speicher und Memory Sticks besonders anfällig für Verlust oder Diebstahl. Solche potenziellen Sicherheitsverletzungen schädigen die Kundenbeziehungen eines Unternehmens und bringen auch finanzielle Verluste mit sich. Best Practice: Verschlüsseln Sie sensible Daten auf Speichermedien Eine Verschlüsselung verhindert den unberechtigten Zugriff auf Festplatten, Flash-Speicherkarten, optische Medien, Memory Sticks und ähnlichen Trägermedien. Lösung: Anwendung, die umfassende Sicherheit für alle Arten von externen Speichermedien bietet und so konfiguriert werden kann, dass alle sensiblen Daten, die das Unternehmen auf einem externen Speichermedium verlassen, vorher verschlüsselt werden. Ideal ist es, wenn der Zugriff auf jegliche auf externen Speichermedien befindlichen nicht verschlüsselten Daten ganz einfach verweigert werden kann. Szenario 5: Arbeiten in der Cloud In einer Projektarbeit im Rahmen ihres Studiums entwarfen Mario und Sonic ein neues Konzept für eine schnelle Autofokussierung in Digitalkameras und gründeten daraufhin das Startup ucam. Um die IT-Anschaffungs- und Betriebskosten niedrig zu halten, mieteten Mario und Sonic Speicherplatz in der Cloud an. Damit brauchten sie weder einen Systemadministrator anzuheuern noch Server zu beschaffen, und sie konnten sich auf die Backups in der Cloud verlassen. Sehr praktisch fanden sie außerdem die permanente Verfügbarkeit ihrer Daten und den Datenaustausch mit Mitarbeitern, Consultants und Investoren über Shared Folders in der Cloud. Nach einem Jahr waren etliche Patente angemeldet und der erste Prototyp war fertig. In der Nacht auf den 13. März wurden die Cloud-Server ihres Dienstleisters gehackt. Eine Woche später wurden die Patentanmeldungen angefochten. Nochmals zwei Monate später stellte ein eher unbekannter Kamerahersteller auf einer Fotomesse den Prototypen einer revolutionären neuen Digitalkamera mit unglaublich schnellen Fokussierungszeiten vor. Risiko: Informationen werden in der Cloud völlig aus der Hand gegeben Daten werden dort gespeichert, wo es weltweit gerade am günstigsten ist. Obwohl Dokumente in der Regel von den Dienstleistern verschlüsselt werden, können u.a. Programmierfehler dazu führen, dass Fremde an vertrauliche Daten gelangen. So waren z. B. im Juni 2011 gespeicherte Daten von Millionen Usern als Folge eines fehlerhaften Softwareupdates eines Cloud- Dienstleisters für mehrere Stunden beliebig zugreifbar. Hackergruppen können sich Cloud Services genauso vornehmen wie Regierungsbehörden oder Konzerne (wie 2011 geschehen) und die gefundenen Informationen veröffentlichen oder verkaufen. Und nicht zuletzt können auch Mitarbeiter des Dienstleisters auf die Daten zugreifen. 6

7 Best Practice: Verschlüsseln Sie Ihre vertraulichen Daten in der Cloud Die Verschlüsselung muss dabei noch auf dem Client erfolgen, bevor die Daten in die Cloud hochgeladen werden. Damit behalten Benutzer die volle Kontrolle über ihre Daten, denn die Schlüsselhoheit bleibt in ihrer Hand. Falls unautorisierte Personen auf die Informationen in der Cloud zugreifen, sind die Daten aufgrund der Verschlüsselung unlesbar. Nur berechtigte Benutzer können auf die verschlüsselten Informationen zugreifen wenn sie die benötigte Software und die Schlüssel besitzen. Lösung: Eine Anwendung, die vertrauliche Dokumente in der Cloud schützt, indem es sie transparent verschlüsselt. Auch bei Tablets. Sogar der Datenaustausch mit Dritten wäre auf diese Weise möglich einfach ein Passwort mitteilen und schon geht s los. Szenario 6: Schwachstelle beim Outsourcing Martina Bachmann hatte sich seit vielen Jahren mit ihren Kenntnissen und ihrer Integrität als freiberufliche Software- Entwicklerin einen sehr guten Ruf erarbeitet. Innerhalb eines Projekts für die Developim GmbH erhielt sie den für ihre Arbeit obligatorischen Zugang zum Netzwerk. Was allerdings niemand wusste: Bachmann war spielsüchtig und verwertete die auf Unternehmensservern gespeicherten Informationen zur Tilgung ihrer Spielschulden. Bachmann gelang es, ihre Zugangsrechte so zu ändern, dass sie die Netzwerk-Dateistrukturen durchsuchen konnte. Sie fand ein Dutzend Kreditkartennummern, persönliche Informationen über die Mitglieder der Unternehmensleitung, Finanzdaten, die sie an einen taiwanesischen Wettbewerber von Developim verkaufen wollte, sowie den Quellcode für ein bahnbrechendes Produkt, das Developim gerade entwickelte. Eines Abends wurde Bachmann erwischt, als sie gerade die Personalakte eines Wachdienstmitarbeiters einsah, der sich wunderte, seinen Namen auf ihrem Bildschirm zu sehen, und umgehend ihren Vorsetzten informierte. Risiko: nicht autorisierter interner Zugriff auf serverbasierte Daten und Workstations Bedrohungen, die von externen wie auch internen Mitarbeitern wie zum Programmieren von Software-Code beschäftigten Freiberuflern, sorglosen Administratoren bis hin zu böswilligem Personal ausgehen, zählen zu den besonders heimtückischen Datenrisiken. Best Practice: Prüfen Sie, auf welche vertraulichen Daten Ihre externen und internen Mitarbeiter zugreifen können, und verschlüsseln Sie diese Daten Setzen Sie dazu ein automatisches Verfahren zur Dateiverschlüsselung ein. Das kann den Dateizugriff in internen LANs, für interne Anwender zugängliche Serverinhalte sowie gedankenlos auf frei zugänglichen Workstations oder Notebooks abgespeicherte Daten umfassen. Lösung: Eine Anwendung, die verhindert, dass auf Unternehmensservern gespeicherte vertrauliche Informationen von nicht autorisierten Personen eingesehen werden können. Dazu wird jedem User auf Basis seines Profils eine einmalige Schlüsselgruppe zugewiesen. Eine solche Anwendung arbeitet völlig transparent für autorisierte Anwender und schützt die Dateien während Netzwerk-Übertragungen zwischen Client und Server. Die Rollen des Server-Administrators und des Sicherheitsbeauftragen sind strikt getrennt: Ein klarer Vorteil bei der Abwicklung des Datenschutzes. 7

8 Best Practice für Ihre Datensicherheit Best Practice Schritt für Schritt: die Methoden im Überblick Zum Schluss noch einmal die Frage: Wie sicher sind Ihrer Meinung nach die Daten Ihres Unternehmens? Wenn Sie jetzt das Thema Datensicherheit angehen, helfen Ihnen die folgenden Methoden bei Analyse, Konzept und Maintenance: Durchsuchen Sie die Geschäftsprozesse und die Kommunikation Ihres Unternehmens auf potenzielle Schwachstellen. Ihre Datensicherheitsstrategie wird nur so gut sein wie ihr schwächstes Element, denken Sie daher in erster Linie an die Menschen, Richtlinien und Prozesse. Informieren Sie sich über die gesetzlichen Vorgaben für Ihre Branche. Eine Nichteinhaltung zieht Kosten nach sich, daran ist nichts zu ändern. Nutzen Sie die Richtlinien Ihrer Branche und die entsprechenden Compliance-Bestimmungen Ihres Unternehmens als Leitplanke. Überprüfen Sie regelmäßig die Verfahren und passen Sie sie an technologische Weiterentwicklungen an. Wenn Ihre Compliance nur rudimentär vorhanden ist: aktualisieren Sie. Erleichtern Sie Ihren Endanwendern den Alltag. Die besten Sicherheitsmaßnahmen sind die, von denen die Anwender fast nichts bemerken. Komplizierte Verfahren und Funktionalitäten schrecken ab. Unterstützen Sie daher die Einhaltung der Unternehmensrichtlinien durch Technologien, die fortlaufend und transparent arbeiten. Schulen Sie Ihre Anwender. Klären Sie darüber auf, welche Folgen ein verloren gegangenes Notebook, ein liegen gelassenes Mobilgerät oder die sorglose Versendung vertraulicher Daten nicht nur für das Unternehmen hat, sondern auch für die Kundenbeziehungen des einzelnen Mitarbeiters und vielleicht sogar für seine Karriere. Nur, wer die Dinge versteht, kann sie auch umsetzen. Sicheres Arbeiten von unterwegs: Festplattenverschlüsselung von Notebooks Over-the-air -Kontrolle unabhängig vom Standort für Smartphones und Tablets Vertrauliche -Konfiguration: Automatische Verschlüsselung und Signatur von ausgehenden s, Entschlüsselung und Prüfung von eingehenden s Verlust von Speichermedien: Transparente, nahtlose Datenverschlüsselung Arbeiten in der Cloud: Datenverschlüsselung Schwachstelle Outsourcing und interne Risiken: Verschlüsselung für Dateifreigaben und geregelter Mitarbeiterzugriff auf Daten Boston, USA Oxford, UK Copyright Sophos Ltd. Alle Rechte vorbehalten. Alle Marken sind Eigentum ihres jeweiligen Inhabers.