Mit DLP-Lösungen gegen Industriespionage

IT-Sicherheit ist kein Thema, das in KMU besonders groß geschrieben wird. In vielen Unternehmen besteht hier Nachholbedarf. Doch Industriespionage und gezielte Angriffe betreffen nicht allein große Unternehmen. KMU sind aus zwei Gründen ein interessantes Angriffsziel für Wirtschaftsspionage: Sie besitzen erhebliches Know-how und sie vernachlässigen ihren Schutz.

Der Hauptgrund ist, dass die Kosten dafür sofort bezahlt werden müssen, während der Nutzen von Sicherheitsmaßnahmen erst zum Tragen kommt, wenn der "Ernstfall" eintritt - der aber durch die Sicherheitsmaßnahmen ja gerade verhindert werden soll. Dies liegt nicht zuletzt an den unterschiedlichen Perspektiven, die in Bezug auf den Begriff "Datenverlust" möglich sind: Manche Unternehmen ermitteln ihre Kosten über entgangene Einnahmen, andere über die Mittel für die Wiederherstellung der verlorenen Daten. Auch die Kosten, die durch Rechtsstreitigkeiten aufgrund von Datenverlust entstehen können, sind ein möglicher Faktor zur Bemessung der realen finanziellen Schäden durch einen Datenverlust.

Für die Sicherung eines Unternehmensnetzwerkes stellen sich die drei fundamentalen Fragen:

• Wo sind vertrauliche Informationen gespeichert?
• Wie und von wem sollen sie genutzt werden (können)?
• Wie lassen sie sich am besten vor Verlust schützen?

Unzulässige Datenübertragungen blockieren

Gängige Sicherheitslösungen beantworten diese Fragen jedoch in der Regel nicht. Die Antworten kommen von speziellen Lösungen, die vor Datenverlust schützen (Data-Loss-Prevention-Lösungen, DLP). Diese Lösungen werden in Netzwerken eingesetzt, um Datensicherheitsrichtlinien zu etablieren, den E-Mail-Verkehr zu beobachten und Verletzungen der Richtlinien festzuhalten.

Bei der umfassenden Überwachung der Datenausgänge ist der E-Mail-Verkehr jedoch nur ein Teil des Problems. USB-Sticks, CDs, DVDs, MP3-Player, Instant Messenger und Blogs sind weitere potenzielle Gefahrenquellen, die ein schnelles Kopieren ungesicherter Daten ermöglichen.

Neben einer umfassenden Überwachung muss die Möglichkeit gegeben sein, die unsichere und unerwünschte Übertragung von Daten zu stoppen, zum Beispiel mit einer Lösung für Endgeräte-Sicherheit. Durch entsprechende Regeln wird verhindert, dass sensible Daten sowohl im ursprünglichen Format (doc, xls, ppt, ...), als auch in ein anderes Dateiformat (z.B. PDF) konvertiert das Unternehmen verlassen können.

Dies gilt für Endgeräte als auch für das Netzwerk. Datenübertragungen, die ganz offensichtlich die Sicherheitsrichtlinie verletzen, können blockiert werden. Schließlich gelingt es mit den DLP-Lösungen, vertrauliche Daten auf Fileservern, stationären PCs, Laptops und in verschiedenen Datenspeichern zu entdecken und zu schützen.

Zusammenarbeit von Fachbereichen und IT

DLP ist längst keine reine IT-Angelegenheit mehr, sondern muss Menschen und Prozesse einbeziehen, um den Verlust vertraulicher Unternehmensdaten zu verhindern. Dabei spielt es keine Rolle, ob es sich um Personaldaten, Finanzdaten oder Marketingpläne, geistiges Eigentum wie Produktpläne oder Programmcodes handelt - all diese Daten repräsentieren für das Unternehmen einen hohen Wert und müssen geschützt werden.

Nun können die IT-Fachleute nicht in jedem Fall wissen, welche Daten vertraulich sind und welche nicht. Der Schutz vor Datenverlust ist also vor allem ein Business-Problem: Die Bereichsleiter müssen festlegen, welche Daten welcher Sicherheitsstufe unterliegen müssen. Die IT sorgt dann mit geeigneten Instrumenten für die korrekte Umsetzung und die technische Sicherheit.

Der Schutz beginnt mit der Implementierung einer ganzheitlichen IT-Risikostrategie. Dies gilt für kleine und mittlere Unternehmen genauso wie für Konzerne. Dazu gehören Faktoren wie die Priorisierung und Quantifizierung des Risikopotenzials, vor allem aber auch die kontinuierliche Überprüfung der Wirksamkeit der Richtlinien und deren Einhaltung.

Moderne Software wie Symantec Data Loss Prevention bietet beispielsweise die Möglichkeit, mittels Pop-up-Fenster den Anwender auf die Verletzung einer Richtlinie aufmerksam zu machen. Dies schließt Links in das Intranet zur relevanten Sicherheitsrichtlinie ein. Schritt für Schritt erhöht sich somit das Sicherheitsbewusstsein im Unternehmen.

Sicherheitsrichtlinie an Standards orientieren

Kern eines jeden wirkungsvollen Sicherheitskonzeptes ist die Sicherheitsrichtlinie. Sie regelt alle Maßnahmen, die Unternehmen und Mitarbeiter ergreifen müssen, um eine möglichst umfassende Datensicherheit herzustellen.

Ein guter Weg, eine Sicherheitsrichtlinie zu verfassen, ist die Orientierung an den geltenden Standards: Sie können nämlich als Checklisten dienen, um sicher zu stellen, dass keine wichtigen Aspekte vernachlässigt werden. Ein vielfach bewährter Standard sind die Normen DIN ISO/IEC 27001 und 27002. Sie stellen den Unternehmen ein kompetentes Werkzeug in deutscher Sprache zur Verfügung, welches die Anforderungen an die Informationssicherheit ihres Unternehmens klar und eindeutig definiert.

Fazit

Wirkungsvolle DLP-Lösungen integrieren Menschen, Prozesse und Technologie. So können Unternehmen nicht nur Einblick gewinnen, wo ihre sensiblen Daten sind, wer sie nutzt und wohin sie gehen. Sie können damit auch effizient ihr Gefährdungspotenzial jetzt und in Zukunft managen und steuern.