13-12-2016 Gedruckt am 27-05-2017 aus www.monitor.co.at/index.cfm/storyid/17062

Gastartikel - Gianluca De Lorenzis, FGND Group

Datenleck Mitarbeiter? – Wie Unternehmen ihre sensiblen Daten schützen können

Mittelständische Unternehmen sind häufig besonders stark von Datenverlusten und Datendiebstahl betroffen. Vor allem die Weitergabe von vertraulichen Informationen durch die eigenen Mitarbeiter stellt viele Organisationen vor Probleme, da deren Sicherheitsinfrastruktur meist nur auf den Schutz vor Angriffen von außen ausgelegt ist. Abhilfe schaffen hier Data Loss Prevention Tools, die nicht nur technische Hilfeleistung zum Schutz vor Datenverlust bieten, sondern auch aktiv die Einhaltung von Unternehmens-Richtlinien durch die Nutzer unterstützen.

CC0 Public Domain - pixabay.com

 Jeder zweite IT-Verantwortliche hat keinen genauen Überblick darüber, wo sich sensible Daten innerhalb seines Unternehmens befinden. Die Gründe dafür liegen auf der Hand: Durch die zunehmende Zahl von Cloud-Lösungen sowie mobilen Geräten und Anwendungen, die Zugriff auf das Unternehmensnetzwerk haben, erhöht sich nicht nur die Menge an potenziell sensiblen oder vertraulichen Daten im Unternehmen; diese liegen auch zunehmend verteilt und unstrukturiert vor. Die Folge: Datenverluste werden meist zu spät oder möglicherweise gar nicht bemerkt. Gleichzeitig nehmen Malware-Angriffe massiv zu. Alleine im vergangenen Jahr verdoppelte sich die Zahl auf insgesamt 8,19 Milliarden Attacken, wobei vor allem mobile Endgeräte betroffen waren. Vor diesem Hintergrund werden die Identifikation und Nachverfolgbarkeit vertraulicher Informationen innerhalb der eigenen Organisation bzw. des eigenen Netzwerks zu entscheidenden Erfolgsfaktoren für einen effektiven Schutz vor unerwünschtem Datenverlust.
 

Sensibilität liegt im Auge des Betrachters 

Welche Daten als vertraulich oder sensibel eingestuft werden (sollten), hängt dabei im Wesentlichen vom Unternehmen selbst bzw. von den gesetzlichen Bestimmungen in den jeweiligen Ländern und Branchen ab. Das Spektrum reicht dabei von personenbezogenen Daten, wie etwa Adressen oder Bankverbindungen über Patente bis hin zu Strategiepapieren. Grundsätzlich trifft der Begriff Sensitive Data aber auf alle Informationen zu, die speziellen gesetzlichen Vorschriften unterliegen oder negativen Einfluss auf die Geschäftstätigkeit des Unternehmens haben können, wenn sie in falsche Hände geraten. Zusätzlich erschwert wird die Identifikation sensibler Daten dadurch, dass bestimmte Informationen für sich genommen zwar grundsätzlich unproblematisch sind, jedoch in Kombination mit weiteren Angaben kritisch einzustufen sind, etwa, wenn Kundennummern und personenbezogenen Daten, wie Namen oder Wohnort in einem Dokument zusammengeführt sind. Gerade diese Art von kombinierten Datensätzen wird allerdings im Zeitalter von IoT und Big Data weiter an Bedeutung gewinnen, da sowohl Prozess- aber auch Kundendaten mit immer mehr Informationen aus verschiedenen Quellen angereichert werden. 
 

Teile und kontrolliere?

Neben der richtigen Klassifikation von Daten, bildet vor allem deren Nachverfolgbarkeit eine wichtige Voraussetzung für den effektiven Schutz vor dem Abfluss nach außen. Aufgrund der Vielfalt potenziell vertraulicher Inhalte, lassen sich Daten dabei in der Regel allerdings nicht auf bestimmte Bereiche innerhalb des Unternehmens eingrenzen. Im Gegenteil: Durch die zunehmende Auslagerung von Daten in die Cloud sowie den Zugriff auf bzw. von externen Partnern, wie etwa Lieferanten oder Kunden, z.B. in Form über gemeinsame Service-Portale, befinden sich die Daten oftmals verteilt auf unterschiedlichen Plattformen in- und außerhalb des Unternehmens. Grundsätzlich müssen sich Unternehmen bewusst sein, dass selbst einzelne Datensätze niemals nur an einem Ort oder in einem bestimmten Format vorliegen. Ausgehend von einem klassischen Data- bzw. Information Life Cycle, können dabei unterschiedliche Phasen des Daten Handling unterschieden werden. Ein Dokument kann beispielsweise in Word erstellt, anschließend in SharePoint abgespeichert und später als E-Mail verschickt werden. Starre Sicherheitsarchitekturen und Standard-Tools alleine greifen dabei zu kurz. Vielmehr müssen für alle Phasen des Data Life Cycle spezifische Schutzmechanismen zum Einsatz kommen, die teilweise direkt auf Ebene der Dokumente selbst (Data Layer) ansetzen.
 

Schwachstelle Mensch 

Insbesondere die Weitergabe von Informationen durch den Nutzer (Sharing) stellt dabei eine besondere Herausforderung im Hinblick auf die Datensicherheit dar. Gerade vor dem Hintergrund sogenannter Social Engineering Attacken, bei denen User durch manipulierte Websites oder E-Mails gezielt zur Informationsweitergabe genötigt werden, gewinnt "der Faktor Mensch" beim Schutz vertraulicher Informationen immer mehr an Bedeutung. Auch die zunehmende Nutzung privater Geräte am Arbeitsplatz (Bring your own Device; ByoD) trägt dazu bei, dass die Mitarbeiter zu einer zentralen Schwachstelle in der Sicherheitsarchitektur von Organisationen werden können. Regeln und Vorgaben zum Umgang mit sensiblen Daten, die einem bewussten oder unbeabsichtigtem Missbrauch schützen sollen, sind angesichts der hohen Komplexität und geringen Halbwertszeit häufig wirkungslos. Anders ausgedrückt: Vorgaben zur Datensicherheit, die mehr als 20 Seiten stark sind, werden von 90% der Mitarbeiter niemals gelesen.
 

DLP Tools in Office 365

Abhilfe schaffen hier sog. Data Loss Prevention (DLP) Tools, die entweder als eigenständige Programme oder als zusätzliche Sicherheitsfunktionen, eingebettet in bestehende Office-Anwendungen, verfügbar sind. Letztere bieten den Vorteil, dass Aufwand und Kosten für die Einrichtung geringer ausfallen als bei externen Lösungen. Gerade für mittelständische Unternehmen mit einem überschaubaren IT-Budget stellen diese Modelle daher eine interessante Alternative dar. Ein Beispiel für solche Instrumente bilden die DLP-Features in Office 365. Dort können Nutzer mithilfe entsprechender Richtlinien zur Verhinderung von Datenverlust vertrauliche Informationen in Office 365 identifizieren, überwachen und automatisch schützen. Anschaulich wird das am Beispiel der Outlook Policy Tips:
 
Enthalten E-Mails – bei Aktivierung dieses Features in Exchange Online oder OWA – bestimmte Datentypen, wie z.B. Kreditkartennummern, IP-Adressen oder andere vertrauliche Informationen, werden diese automatisch vom System identifiziert und dem Absender entsprechende Hinweise zum richtigen Umgang mit den Daten angezeigt. Die Regeln für die Einblendung dieser sogenannten Policy Tips werden durch den IT-Administrator oder den Compliance-Verantwortlichen des Unternehmens individuell festgelegt. Je nach Grad der Vertraulichkeit der Information reichen sie von einfachen Benachrichtigungen bis hin zum Blockieren der E-Mails. Neben dem Inhalt können auch für bestimmte Empfängergruppen spezifische Regeln definiert und dabei länderspezifische Compliance-Bestimmungen berücksichtigt werden. E-Mails, die den Datenschutzverordnungen eines Landes widersprechen, werden dadurch beispielsweise automatisch blockiert, sobald das entsprechende Landeskürzel in der Adresse auftaucht. 
 
Neben dem Versenden von E-Mails können im Rahmen des Office 365 Security & Compliance Center auch weitere Richtlinien zur Verhinderung von Datenverlust festgelegt werden. Dies beinhaltet zum einen die Identifikation von vertraulichen Informationen über mehrere Speicherorte hinweg, wie etwa SharePoint oder OneDrive for Business. Im Unternehmen oder darüber hinaus verteilte Datensätze werden somit effektiv geschützt. Zum anderen können DLP-Richtlinien auch auf Standard-Office-Anwendungen wie Excel, PowerPoint und Word angewendet werden, um einzelne Dokumente von Beginn an gezielt abzusichern und kontinuierlich zu überwachen. Dadurch haben Unternehmen die Möglichkeit für bestimmte Arten von sensiblen Informationen, wie z.B. interne Strategiepapiere oder unveröffentlichte Geschäftszahlen, spezielle Dokumenten-Templates mit individuellen Regeln entsprechend der jeweiligen Risikoklassifikation anzulegen.
 

Balance zwischen Sicherheit und Produktivität

Richtig konfiguriert, können DLP-Richtlinien in Office 365 die Einhaltung der Compliance-Vorschriften enorm vereinfachen, indem Nutzer während des laufenden Prozesses automatisch entsprechende Anweisungen zum richtigen Umgang mit sensiblen Unternehmensdaten erhalten. Dadurch wird nicht nur unmittelbar die Gefahr von Verstößen gegen Unternehmens-Policies oder von unbeabsichtigten Datenverlusten reduziert. Auch kann die Sensibilität der Mitarbeiter im Umgang mit vertraulichen Informationen somit wesentlich effizienter geschult werden, als durch starre Vorgaben. Dabei steht vor allem die Balance zwischen Sicherheit und Produktivität im Vordergrund: Die DLP-Features sind so konzipiert, dass sie die Benutzer dabei unterstützen, Bestimmungen kontinuierlich einzuhalten, ohne dabei den Arbeitsfluss zu unterbrechen, etwa indem automatische Benachrichtigungen oder Aktionen durch Überschreiben (false positive/silent override) überstimmt werden können.
 

Richtlinien richtig umsetzen

Wesentliche Voraussetzung für den effizienten Einsatz von DLP-Funktionen im Unternehmen ist eine planvolle Implementierung der Richtlinien durch den IT-Administrator, in Abstimmung mit den Compliance-Verantwortlichen. Andernfalls können fehlerhafte Konfigurationen oder falsche Verknüpfungen von Datentypen und Regeln dazu führen, dass einzelne Mitarbeiter oder ganze Abteilungen nicht mehr auf benötigte Informationen zugreifen bzw. diese nicht mehr weiterverarbeiten können. DLP-Richtlinien setzen sich dabei aus zwei wesentlichen Bestandteilen zusammen: Zum einen müssen Unternehmen die Speicherorte, an denen vertrauliche Inhalte zu schützen sind, festlegen und zum anderen die Regeln für den Schutz dieser Inhalte präzise definieren. Konkret geht es dabei um die Bedingungen, die erfüllt sein müssen, damit eine Regel erzwungen wird – z.B. das Vorhandensein von personenbezogenen Daten. Je präziser dabei die Prüfkriterien für vertrauliche Informationen – z.B. Kreditkartennummern, übereinstimmende Muster oder Signalwörter – definiert werden, desto höher ist die Genauigkeit bei der Identifikation sensibler Daten. Die Erfüllung der definierten Kriterien zieht wiederum individuell festlegbare Aktionen nach sich, wie etwa das Sperren der Zugriffsrechte auf ein Dokument oder die automatische Benachrichtigung des Compliance-Officers. DLP-Richtlinien können auch so konfiguriert werden, dass sie verschiedene Regeln, die zur Einhaltung spezieller Datenschutzvorgaben notwendig sind, zusammenfassen.
 
Um die reibungslose Einführung neuer DLP-Richtlinien sicherzustellen, empfiehlt sich eine schrittweise Implementierung, bei der diese zunächst im Testmodus gestartet werden. Hierbei haben die Richtlinien zunächst keine praktischen Auswirkungen auf die Produktivität der Mitarbeiter, da Verstöße gegen Compliance-Richtlinien zunächst keine Aktionen nach sich ziehen, sondern Compliance-Verantwortliche und im zweiten Schritt die Nutzer selbst lediglich über die Verstöße informiert werden. So können Unternehmen gemeinsam mit ihren Mitarbeitern die neuen Regeln testen und gegebenenfalls verfeinern. 
 

Fazit

DLP-Richtlinien, wie sie beispielsweise in Office 365 bereitgestellt werden, stellen wirkungsvolle Instrumente zur Verhinderung von Datenverlusten im Unternehmen dar. Insbesondere die aktive Einbindung der Mitarbeiter, z.B. in Form von "Policy Tips", trägt dabei zur nachhaltigen Sensibilisierung im Umgang mit vertraulichen Daten bei und verbessert dadurch langfristig die Akzeptanz von Compliance-Vorgaben im Unternehmen. Ein wesentliches Hindernis auf dem Weg zur breiten Adaption solcher DLP-Lösungen ist die bestehende Skepsis gegenüber Cloud-Lösungen. So sehen 61% der Unternehmen bei Cloud-Anwendungen weiterhin Schwierigkeiten im Hinblick auf die Einhaltung von Compliance-Richtlinien. Gerade vor dem Hintergrund der rasanten Zunahme sensibler Daten, sollten Organisationen allerdings damit beginnen Cloud-Technologie in Sicherheitsfragen nicht als Teil des Problems, sondern vielmehr als Teil der Lösung zu betrachten. 
 
Gianluca De Lorenzis ist CEO der FGND Group. Er berät mittelständische Unternehmen und Konzerne bei der Lösung komplexer technologischer Herausforderungen und bei der Entwicklung zukunftssicherer IT-Strategien.