Die neue Regelung hebt die Datensicherheit auf ein für das Risikomanagement auf Geschäftsführungsebene relevantes Niveau. Ungeachtet der Branche sind alle Unternehmen ab einer gewissen Größe zwangsläufig angehalten, in angemessenem Maße Risikomanagement zu betreiben. Ob die Firmenpolitik hierbei risikofreudig, -neutral oder -avers ausgerichtet ist, liegt üblicherweise an zahlreichen Faktoren, wie Branche, Innovationsgrad und Kapitalintensität der Produkte oder Dienstleistungen, sowie zum Teil an der Einstellung der verantwortlichen Entscheider. Die Tatsache, dass heutzutage kein Unternehmen mehr ohne IT auskommt, ist evident und bedarf keiner weiteren Erläuterung. Schwierig hingegen ist die Beurteilung des jeweiligen Sicherheitsbewusstseins, respektive der Selbstwahrnehmung in diesem komplexen Feld. Es gibt eine nachvollziehbare, streng positive Relation zwischen der Technik-Affinität eines Unternehmens und den ergriffenen Schutzmaßnahmen. Der größte Teil der EDV-fremden Branchen in Industrie, Handel und im Dienstleistungssektor tut sich traditionell jedoch schwer, mit der raschen Entwicklung adäquat Schritt zu halten.
Problemfälle
Trotz gut dokumentierter Präzedenzfälle der jüngeren Vergangenheit in teils exorbitantem Umfang fehlt häufig das Bewusstsein für derlei Risiken und somit deren Berücksichtigung in der Geschäftsplanung völlig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den BSI-Standard-Richtlinien einen Rahmen für vergleichbare und branchenübergreifende IT-Sicherheit geschaffen. Das zentrale Werk IT-Grundschutz teilt sich schwerpunktmäßig in vier Teile:
- 1. Managementsysteme für Informationssicherheit (BSI-Standard 100-1) 2. IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) 3. Risikoanalyse auf Basis von IT-Grundschutz (BSI-Standard 100-3) 4. Notfallmanagement (BSI-Standard 100-4)
Es handelt sich hierbei um einen gut dokumentierten Leitfaden zur Analyse, dem Ausbau und der kontinuierlichen Aufrechterhaltung der IT-Sicherheit. Jedoch stellt dieses Dokument nur eine Möglichkeit einer konsequenten Sicherheitsstrategie dar und wendet sich im Kern eher an Behörden und Verwaltungen. Dies schmälert jedoch in keinster Weise seine Eignung zum Einstieg in die Materie. Für die freie Wirtschaft hingegen greifen eher die Maßstäbe der ISO-Richtlinie 27001:2005 in der Urversion und ISO 27005:2008 in der aktualisierten Fassung. Offensichtlich fällt es jedoch sogar den Zertifizierungsstellen schwer, mit dem schnellen technischen Fortschritt mitzuhalten. Die eingangs erwähnten Änderungen des BDSG vom Juli 2009 können in diesen Dokumenten noch keine Berücksichtigung finden. Durch diese rückt die Datensicherheit unmittelbar in den Interessensfokus des Topmanagements, da dieses durch die geänderte Rechtslage im Fall einer ‚Datenpanne‘ in die Haftung genommen werden kann. Vormals häufig an die IT-Abteilungen delegiert, ist durch die Offenlegungspflicht die Notwendigkeit entstanden, unabhängig vom technischen Aspekt klar Position im unternehmensweiten Risikomanagement zu beziehen. Data Leakage Prevention (DLP) beschreibt technische Ansätze, die mit üblicherweise geringem finanziellem Aufwand das Risiko von Datenverlust oder deren Kompromittierung auf ein kalkulierbares Niveau reduziert. Hierbei ist es unerheblich, ob von vorsätzlichem oder fahrlässigem Verhalten ausgegangen wird, da mit technisch ausgereiften Lösungen der Zugriff auf externe Speichermedien zuverlässig kontrolliert werden kann.
Typische Szenarien
Szenario 1:Der Mitarbeiter eines risikoneutralen Unternehmens möchte seinem Kollegen die neusten Urlaubsbilder zeigen. Trotz anders lautender Dienstanweisung benutzt er hierzu seinen privaten USB-Stick – schließlich möchte er nichts Unrechtes tun, sondern lediglich einige Fotos anzeigen lassen. Der Heim-PC des Mitarbeiters ist jedoch mit Viren und Trojanern verseucht, da er weniger gut geschützt ist als das Unternehmensnetzwerk. Die Schädlingssoftware gelangt so ungehindert an fast allen Sicherheitseinrichtungen vorbei ans Ziel.Szenario 2:In einem hoch innovativen und folglich risikoaversen Unternehmen ist die Verwendung sämtlicher externer Speichergeräte streng untersagt. Die notwendigen Einschränkungen sind vorgenommen und nahezu alle externen PC-Anschlüsse wurden deaktiviert. Dies ist zum einen nicht praktikabel und zum anderen auch nicht allzu sicher. Durch den Einsatz von Hardware-Keyloggern können beispielsweise über längere Zeiträume hinweg alle Tastatureingaben mitgeschnitten werden, sodass sich auch hier sämtliche Sicherheitsmechanismen einfach umgehen lassen.Szenario 3:Ein externes Speichermedium mit hoch sensiblen Unternehmensdaten wird von einem Mitarbeiter in einer nicht vertrauenswürdigen Umgebung vergessen. Er hatte die Berechtigung und es bestand die Notwendigkeit, die Daten mitzuführen. Es hätte auch die Möglichkeit existiert, diese Daten verschlüsselt abzulegen, jedoch wurde dies schlichtweg vergessen. Diese drei exemplarischen Szenarien veranschaulichen die enormen Sicherheitslücken, die an den so genannten Netzwerkendpunkten, also den PCs der Mitarbeiter, bestehen. Das Risiko von Datenverlust und damit verbundenen Wettbewerbsnachteilen muss speziell in Krisenzeiten essentieller Bestandteil jedes umfassenden Risikomanagements sein. Von der Abwanderung der Kunden bis zur Plagiats-Produktion sind für den Bereich der Wirtschaftsspionage alle Möglichkeiten denkbar, jedoch gibt es auch zahlreiche Ansätze, die keine böse Absicht voraussetzen. Moderne und spezialisierte DLP-Systeme bieten hierfür umfassende granulare Einstellungen, sodass je nach Position des jeweiligen Benutzers und der damit verknüpften Berechtigungen Aktionen zugelassen oder verweigert werden. Einem Abteilungsleiter kann es somit durch eine reine Softwarelösung gestattet werden, Dateien auf ein externes Speichermedium zu kopieren, wohingegen dies dem Sachbearbeiter verwehrt wird. Generell kann der Lese- und Schreibzugriff umfassend kontrolliert werden, was zielführend für die Problematik des in Szenario 1 beschriebenen Sachverhalts ist. Des Weiteren kann je nach technischem Niveau der Software eine Verschlüsselung für die Ablage von Daten auf externen Laufwerken erzwungen werden. Auch gibt es Produkte, die den Einsatz von Hardware-Keyloggern verhindern, sodass durch eine einzige spezialisierte Software gleich alle drei beschriebenen Szenarien entschärft werden können. Eine simple Rentabilitätsrechnung kann die Kosten für die Einführung eines solchen Produkts dem verminderten Risiko gegenüberstellen. Es sollen 1000 PCs geschützt werden und der monetäre Wert der zu schützenden Daten wird mit rund zwei Millionen Euro beziffert. Das Risiko eines Datenverlusts ist abhängig vom Grad der Risikofreudigkeit des Unternehmens. Bei einem neutral eingestellten Management möge man von etwa 25 Prozent Wahrscheinlichkeit ausgehen. Dieser Prozentsatz könnte durch den Einsatz einer DLP-Lösung etwa auf 15 Prozent gesenkt werden. Solange die Einführung der Lösung somit weniger als 200000 Euro kostet, lohnt es sich aus Sicht des Risikomanagements. Dieser Umstand ist vor allem dann von Relevanz, wenn alle kalkulierbaren Risiken im Rechnungswesen abgebildet werden müssen. Reduziert man nachweislich und verlässlich das Risiko, so schlägt sich dies folglich auch auf die Rückstellungen und somit das Betriebsergebnis nieder.
Zusammenfassung
Gerade vor dem Hintergrund der kürzlich überwundenen Finanzkrise und noch immer geschwächten Wirtschaft, daraus resultierendem erhöhten Konkurrenzdrucks und durch die Weiterentwicklung der Informationstechnologie gesteigerter Vergleichbarkeit der Unternehmen wird es ungleich wichtiger, sich vom Wettbewerb abzuheben. Die Erfüllung geeigneter Compliance-Richtlinien zur Steigerung der Außenwirkung sowie die Berücksichtigung aller etwaigen Risiken für die konsequente Innendarstellung des Unternehmens können entscheidend für den Zuschlag größerer Projekte sein oder maßgeblichen Einfluss auf die Rolle im internationalen Markt nehmen. Datensicherheit wird vielerorts thematisiert in mannigfaltiger Form als Produktlösung oder Dienstleistung angeboten. Die Kontrolle der Netzwerkendpunkte mithilfe einer ausgereiften DLP-Lösung ist hierbei jedoch in den seltensten Fällen in einer Weise möglich, die Sicherheit und Praktikabilität mit geringem Kapitaleinsatz auf sich vereint.
• more@click-Code: SIK10096
