Getroffene Maßnahmen überprüfen:
Sechs Schritte gegen den Verlust von sensiblen Daten
Weiß ein Unternehmen nicht, welche Daten am wichtigsten für sein Geschäft sind, dann kann es diese auch nicht schützen. Daneben hat RSA noch fünf weitere Best-Practices für Data-Loss-Prevention definiert.
Datendiebstahl ist ein Thema, das jedes Unternehmen betreffen kann. Besonders ausscheidende Mitarbeiter [1] stehen in der Gefahr, sensible Informationen mitzunehmen. Auch die Motivation [2] dafür kann ganz unterschiedlich sein: Vom Gelegenheitsdieb bis hin zur Förderung der eigenen Karriere beim nächsten Unternehmen. Firmen sollten sich daher Gedanken machen, welche Daten kritisch für ihr Geschäft sind und wie sie diese schützen wollen. Eine Hilfe dabei können »6 Best Practices for Preventing Enterprise Data Loss« von RSA [3] sein. Dies beginnt damit, dass sich ein Unternehmen klar wird, welche Daten überhaupt wie wichtig sind. Danach gilt es herauszufinden, wo überall diese Informationen gespeichert sind. Als dritten Schritt untersucht ein Unternehmen, welche Gefahren es gibt, dass die Daten verloren gehen beziehungsweise gestohlen werden. Diese drei Schritte bilden nun die Basis, um geeignete Kontrollen zu implementieren. Die Möglichkeiten, Informationen zu stehlen sind vielfältig, deshalb bekommt eine zentrale Sicherheitskontrolle eine große Bedeutung zu. Sicherheit ist kein Zustand, sondern ein Prozess. Also müssen alle Maßnahmen regelmäßig überprüft und eventuell verbessert beziehungsweise angepasst werden.
In einer Umfrage im Auftrag von RSA in 2007 standen Verschlüsselung, Datenklassifizierung und Information-Leak-Prevention an der Spitze bei Massnahmen zur Datensicherheit.
Um die wesentlichen Daten zu identifizieren, muss zuerst die Geschäftstruktur des Unternehmens klar sein. Dann schaut sich ein Unternehmen seine verschiedenen Abteilungen und Geschäftsbereiche an: Was sind hier Sicherheitstreiber? Dabei gilt es, zwischen gesetzlichen und eigenen Vorgaben zu unterscheiden. Anschließend gruppiert die Firma die gefundenen Daten in verschiedene Klassen wie kritisch, sensible oder nicht so kritisch. Abschließend werden Regeln erstellt, wer wie auf diese Daten zugreifen darf.
Im zweiten Schritt ermittelt ein Unternehmen, wo die Daten gespeichert sind. Die Antwort: »In einer Datenbank« greift meist etwas zu kurz. Denn die Datenbank liegt wiederum auf irgendwelchen Festplatten. Weiter gibt es davon Backups. Außerdem greifen verschiedene Applikationen darauf zu, vielleicht auch von mobilen Rechnern aus. Daraus ergibt sich dann eine Karte, welche Daten sich auf welchen Systemen überall finden.
Als drittes macht sich ein Unternehmen darüber Gedanken, wie die Daten gestohlen oder vielleicht manipuliert werden können. Auch mögliche Täter sollten ins Blickfeld kommen. Schließlich muss ein Unternehmen auch beurteilen, welcher Schaden entstehen kann, falls bestimmte Informationen abhanden kommen. Gefahren sind etwa gestohlene oder verlorene Datenträger, Vertrauensbruch durch privilegierte Nutzer oder gehackte Applikationen.
Mit der Hilfe der aufgestellten Regel, dem Wissen, wo sensible Daten liegen, und den möglichen Gefahren stellt das Unternehmen nun ein Kontrollsystem auf. Bei der physikalische Kontrolle geht es darum, wer (Authentifizierung) mit welchen Rechten (Autorisierung) Zugang hat. Die Datenkontrolle schließt etwa Verschlüsselung, Data-Loss-Prevention (DLP) und Information-Rights-Management (IRM) ein.
Die verschiedenen Kontrollmechanismen muss ein Unternehmen auch verwalten. Je mehr zentral erfolgt, desto besser ist es. Eine zentrale Verwaltung der Sicherheitsregeln stellt sicher, dass etwa überall die gleichen Policies aktiv sind. Für das Management der Schlüssel gilt ähnliches. Zwar bringt jedes Verschlüsselungsprodukt auch seine eigene Konsole mit, aber einheitliche Regeln im Umgang durchzusetzen wird irgendwann schwierig.
Ein effizienter Schutz hängt auch von einer regelmäßigen Überprüfung ab. Schließlich muss ein Unternehmen auch irgendwie herausfinden, ob die getroffenen Maßnahmen auch greifen beziehungsweise Verstöße gegeben hat. Eine Hilfe dabei sind Lösungen für Security-Information and Event-Managment (SIEM). Sie sammeln die Daten aus verschiedenen Logs und analysieren sie. Data-Loss-Preventions-Systeme (DLP) helfen Sicherheitsbrüche zu erkennen und darauf zu reagieren.
[1] nach-der-kuendigung-60-prozent-nehmen-daten-mit/
[2] insider-taeter-ein-einblick-in-ihre-psychologie/
[3] http://www.rsa.com/
- 1. Seite: Sechs Schritte gegen den Verlust von sensiblen Daten
- 2. Seite: Sechs Schritte gegen den Verlust von sensiblen Daten (Fortsetzung)
» Tipp der Redaktion
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
» Top-Stories der Woche
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
Was der 1&1-Werbestar wirklich will
Ist er ein Schauspieler, oder ist er »echt«? Seit diesem Frühjahr wirbt Marcell D’Avis als »Leiter Kundenzufriedenheit« in TV-Spots für den Internetprovider 1&1. CRN hat D’Avis getroffen.
Weitere Artikel
» Meistgelesene News
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
Nokia N8 mit Symbian 3
Mit seinem neuen Touchscreen-Smartphone N8 will Nokia endlich Apples iPhone und der wachsenden Andoid-Konkurrenz wieder ernsthaft Paroli bieten. Eine besonders wichtige Rolle kommt daher dem neuen Symbian 3 zu, das die Bedienung per Touchscreen weit besser unterstützt als die Vorgängerversionen.
» Preisvergleich Top 5
- Hier finden Sie Software zum Thema Navision
Die Leserkommentare sind für diesen Artikel deaktiviert.