Lösung gegen Schussel und Schurken
Irren ist menschlich: Banale Fehler wie vergessene Laptops, gedankenlose Telefonate in der Bahn oder falsch adressierte E-Mails sind die statistisch häufigsten Ursachen für Datenverluste. Sie geschehen durch Unachtsamkeit und mangelndes Risikobewusstsein und in der Regel ohne Vorsatz.
Seltener, dafür umso katastrophaler für Unternehmen, sind die gezielte Datenweitergabe durch nicht vertrauenswürdige Mitarbeiter und die Datenbeschaffung durch Spione: Hier werden meist die eigenen Mitarbeiter Opfer von Datenklau oder sie werden durch kriminelle Energie zur Weitergabe von Daten genötigt.
Bei diesem als „Social Engineering“ bezeichneten Phänomen nutzen Täter die Hilfsbereitschaft, Gutgläubigkeit oder Autoritätshörigkeit von Mitarbeitern aus, um an sensible Unternehmensinformationen zu gelangen. „Rein technische Lösungen vernachlässigen die Fehlerquelle Mensch“, kritisiert Johannes Wiele, IT-Sicherheitsexperte bei TÜV Rheinland. „Deshalb setzen wir bei TÜV Rheinland auf den ganzheitlichen Ansatz von ‚Data Leakage Prevention‘ (DLP) – der Verhinderung von unerwünschtem Verlust oder unerwünschter Weitergabe von Daten“, so Wiele.
Viele Unternehmen vertrauen allerdings auf isolierte DLP-Produkte. „IT-Entscheider klammern sich gern an einfache Lösungen, die schnellen Erfolg versprechen“, weiß Wiele aus Erfahrung. Er rät dazu, die Business-Sicherheitsstrategie auf drei Säulen aufzubauen.
Erstens: Unternehmen müssen die Standardfunktionen der IT-Sicherheit konsequent einsetzen. Dazu zählen zum Beispiel das Berechtigungsmanagement, die Verschlüsselung sowie die Klassifizierung von Informationen in Kategorien wie „vertraulich“ oder „intern“.
Die zweite Säule: Eine moderne DLP-Lösung. Sie sollte unter anderem bestehende Dokumentenklassifizierungen berücksichtigen können und darüber hinaus Mitarbeiter dazu auffordern, Dokumente aktiv zu klassifizieren. Außerdem sollte die DLP-Lösung nicht nur blockieren, sondern auch regeln und warnen können: „Sie kopieren ein als vertraulich klassifiziertes Dokument. Sie können den Vorgang fortsetzen, wenn Sie der Protokollierung und der Meldung an die Sicherheitsabteilung zustimmen“, kann ein gutes DLP-Produkt beispielsweise anmerken.
Auch alle Schnittstellen wie USB, Bluetooth oder E-Mail, über die Dokumente weitergegeben werden können, müssen berücksichtigt werden. Weitere wichtige Features: eine Schnittstelle zur Einbindung in Management-Systeme, die Zusammenarbeit mit Digital Rights Management und die Berücksichtigung von Compliance-Vorgaben. Nicht zu vergessen: Eine gute DLP-Lösung findet auch die Zustimmung des Betriebsrates.
Die dritte Säule einer ganzheitlichen Sicherheitsstrategie bildet die auf Vertrauen basierende Führungspraxis. „Die Angst vor Geheimnisverrat ist bei vielen Managern verständlicherweise groß. Aber wenn sie in zu strikte Überwachungsmechanismen und übertriebenes Misstrauen ausartet, fühlen sich Mitarbeiter kontrolliert und reagieren mit Ablehnung – sogar gegenüber vernünftigen Maßnahmen“, weiß Dr. Johannes Wiele.
Passend zu diesem Artikel
Die DRB Deutsche Risikoberatung hat zum 15. März 2024 das Geschäft mit Shore der Safe Asset Group für die DACH-Region übernommen. Doch was bedeutet Shore?
Die Bevölkerung verroht, die Gewaltbereitschaft steigt. Das besagt die Statistik über Gewalttaten und Wohnungseinbrüche in 2023.
Der Bundesverband der Sicherheitswirtschaft BDSW spricht sich für eine Verbesserung der Ausschreibungen und der Sicherheitskonzepte beim Schutz von Flüchtlingsunterkünften aus.