Schulung ist wichtig:
Zehn Schritte gegen den Datenmissbrauch im Unternehmen

von Werner Veith (werner.veith@networkcomputing.de)

Share
12.03.2009

Unternehmensweite Sicherheitsrichtlinien sind der Kern aller Maßnahmen gegen den Missbrauch von Daten im Unternehmen. Daneben hat Utimaco noch neun weitere Schritte dagegen zusammengestellt.

Die Wirtschaftskrise fördert, was es seit jeher ein Problem ist: Die Wirtschaftsspionage. Aber auch Mitarbeiter sind häufig geneigt, Daten mitzunehmen, wenn sie entlassen werden. Daher ist der Schutz der Daten in diesen Zeiten ein noch größerer Punkt für Unternehmen, als er es ohnehin sein sollte. Zentraler Punkt aller Maßnahmen sind dabei für Utimaco Safeware [1] firmenweite Sicherheitsrichtlininien. Um Daten effizient zu schützen, muss ein Unternehmen aber zuerst wissen, wie wichtig diese sind. Das erfordert eine Einteilung in verschiedene Sicherheitsstufen.

Auch Unternehmen können etwas tun, damit sensible Daten nicht einfach aus dem Unternehmen verschwinden. (Quelle: Pixelio)

Weiter gehört dazu der Schutz vor Viren und Trojanern, die Absicherung von Unternehmenszugängen oder die Schulung von Mitarbeitern. Weitere Maßnehmen sind unterschiedliche Zugriffsrechte für Benutzergruppen, Mehrfachauthentifizierung, E-Mail-Verschlüsselung und Gewaltenteilung bei der Sicherheit.

Unternehmensweite Sicherheitsrichtlininien müssen auch umgesetzt werden. Dazu gehört ein zentrales Sicherheitsmanagement, dass etwa Mitarbeitern bei einer Kündigung sofort alle Zugangsberechtigungen entziehen. Dann passiert es nicht, dass Mitarbeiter auch nach Verlassen des Unternehmens auf Daten zugreifen können.

Alle Daten zu schützen, verursacht normalerweise einen zu hohen Aufwand. Mit Sicherheitsklassen lassen sich Maßnahmen der Bedeutung der Informationen anpassen. Schon eine Einteilung in Öffentlich, Intern und Vertraulich kann hier helfen.

Der Schulung der Mitarbeiter sollte dabei eine große Aufmerksamkeit gewidmet werden. Sie müssen die Sicherheitsrichtlininien akzeptieren und verinnerlichen. Aufklärung hilft auch gerade bei Social-Engineering-Angriffen, um an sensible Daten etwa für Zugänge auszuspionieren. Ein spezieller Punkt ist es, gerade auch Maßnahmen gegen Wirtschaftsspionage zu ergreifen. Dazu gehört, dass sensible Daten das Unternehmen nicht ohne Verschlüsselung verlassen, sei es per E-Mail oder auf Datenträgern. Die Website des Innenministeriums von Nordrhein-Westfalen bietet zudem einen Online-Test [2]: Hier können Unternehmen herausfinden, inwieweit sie ein lohnendes Ziel für Wirtschaftspionage sind.

Der Schutz vor Viren und Trojanern gehört zum Standardprogramm der IT-Sicherheit. Ein Verbot von USB-Sticks und externen Festplatten verhindert einmal, dass Malware auf diesem Weg eingeschleppt wird. Zum anderen verlassen dann Daten auf diesem Weg auch nicht das Unternehmen. Ist dies nicht möglich, dann sollten, die Nutzung entsprechend geregelt und auch überwacht werden. Genauso gehören auch VPNs für den Zugang von außen für Mitarbeiter zu den Grundaufgaben in der IT-Sicherheit.

Zu sensiblen Informationen sollten nur die jeweils berechtigten Nutzergruppen Zugang haben. Sicherheitsrichtlinien legen dabei fest, welche Zugriffsrechte einzelne Arbeitsgruppen oder Nutzer haben. Gleichzeitig dürfen sensible Informationen nur in den berechtigten Nutzergruppen kreisen. Die Gewaltenteilung zwischen Administratoren und IT-Sicherheit schafft zusätzlichen Schutz. Erstere verwalten zwar die Systeme, können die Daten aber nicht entschlüsseln. Letztere können dies zwar, haben aber keinen Zugriff darauf.

Das Passwort, das auf einem gelben Notizzettel unter der Tastatur klebt, ist ein klassisches Beispiel. Für sensible Bereiche sollten der Zugang deshalb über eine Zwei-Wege-Authentifizierung abgesichert werden. Dazu lassen sich etwa Smartcards oder Fingerabdrucksensoren einsetzen.

[1] http://www.utimaco.de/
[2] http://www.im.nrw.de/wirtschaftsspionage

Verwandte Artikel