Getroffene Maßnahmen überprüfen:
Sechs Schritte gegen den Verlust von sensiblen Daten
Weiß ein Unternehmen nicht, welche Daten am wichtigsten für sein Geschäft sind, dann kann es diese auch nicht schützen. Daneben hat RSA noch fünf weitere Best-Practices für Data-Loss-Prevention definiert.
Datendiebstahl ist ein Thema, das jedes Unternehmen betreffen kann. Besonders ausscheidende Mitarbeiter [1] stehen in der Gefahr, sensible Informationen mitzunehmen. Auch die Motivation [2] dafür kann ganz unterschiedlich sein: Vom Gelegenheitsdieb bis hin zur Förderung der eigenen Karriere beim nächsten Unternehmen. Firmen sollten sich daher Gedanken machen, welche Daten kritisch für ihr Geschäft sind und wie sie diese schützen wollen. Eine Hilfe dabei können »6 Best Practices for Preventing Enterprise Data Loss« von RSA [3] sein. Dies beginnt damit, dass sich ein Unternehmen klar wird, welche Daten überhaupt wie wichtig sind. Danach gilt es herauszufinden, wo überall diese Informationen gespeichert sind. Als dritten Schritt untersucht ein Unternehmen, welche Gefahren es gibt, dass die Daten verloren gehen beziehungsweise gestohlen werden. Diese drei Schritte bilden nun die Basis, um geeignete Kontrollen zu implementieren. Die Möglichkeiten, Informationen zu stehlen sind vielfältig, deshalb bekommt eine zentrale Sicherheitskontrolle eine große Bedeutung zu. Sicherheit ist kein Zustand, sondern ein Prozess. Also müssen alle Maßnahmen regelmäßig überprüft und eventuell verbessert beziehungsweise angepasst werden.
In einer Umfrage im Auftrag von RSA in 2007 standen Verschlüsselung, Datenklassifizierung und Information-Leak-Prevention an der Spitze bei Massnahmen zur Datensicherheit.
Um die wesentlichen Daten zu identifizieren, muss zuerst die Geschäftstruktur des Unternehmens klar sein. Dann schaut sich ein Unternehmen seine verschiedenen Abteilungen und Geschäftsbereiche an: Was sind hier Sicherheitstreiber? Dabei gilt es, zwischen gesetzlichen und eigenen Vorgaben zu unterscheiden. Anschließend gruppiert die Firma die gefundenen Daten in verschiedene Klassen wie kritisch, sensible oder nicht so kritisch. Abschließend werden Regeln erstellt, wer wie auf diese Daten zugreifen darf.
Im zweiten Schritt ermittelt ein Unternehmen, wo die Daten gespeichert sind. Die Antwort: »In einer Datenbank« greift meist etwas zu kurz. Denn die Datenbank liegt wiederum auf irgendwelchen Festplatten. Weiter gibt es davon Backups. Außerdem greifen verschiedene Applikationen darauf zu, vielleicht auch von mobilen Rechnern aus. Daraus ergibt sich dann eine Karte, welche Daten sich auf welchen Systemen überall finden.
Als drittes macht sich ein Unternehmen darüber Gedanken, wie die Daten gestohlen oder vielleicht manipuliert werden können. Auch mögliche Täter sollten ins Blickfeld kommen. Schließlich muss ein Unternehmen auch beurteilen, welcher Schaden entstehen kann, falls bestimmte Informationen abhanden kommen. Gefahren sind etwa gestohlene oder verlorene Datenträger, Vertrauensbruch durch privilegierte Nutzer oder gehackte Applikationen.
Mit der Hilfe der aufgestellten Regel, dem Wissen, wo sensible Daten liegen, und den möglichen Gefahren stellt das Unternehmen nun ein Kontrollsystem auf. Bei der physikalische Kontrolle geht es darum, wer (Authentifizierung) mit welchen Rechten (Autorisierung) Zugang hat. Die Datenkontrolle schließt etwa Verschlüsselung, Data-Loss-Prevention (DLP) und Information-Rights-Management (IRM) ein.
Die verschiedenen Kontrollmechanismen muss ein Unternehmen auch verwalten. Je mehr zentral erfolgt, desto besser ist es. Eine zentrale Verwaltung der Sicherheitsregeln stellt sicher, dass etwa überall die gleichen Policies aktiv sind. Für das Management der Schlüssel gilt ähnliches. Zwar bringt jedes Verschlüsselungsprodukt auch seine eigene Konsole mit, aber einheitliche Regeln im Umgang durchzusetzen wird irgendwann schwierig.
Ein effizienter Schutz hängt auch von einer regelmäßigen Überprüfung ab. Schließlich muss ein Unternehmen auch irgendwie herausfinden, ob die getroffenen Maßnahmen auch greifen beziehungsweise Verstöße gegeben hat. Eine Hilfe dabei sind Lösungen für Security-Information and Event-Managment (SIEM). Sie sammeln die Daten aus verschiedenen Logs und analysieren sie. Data-Loss-Preventions-Systeme (DLP) helfen Sicherheitsbrüche zu erkennen und darauf zu reagieren.
[1] nach-der-kuendigung-60-prozent-nehmen-daten-mit/
[2] insider-taeter-ein-einblick-in-ihre-psychologie/
[3] http://www.rsa.com/
- 1. Seite: Sechs Schritte gegen den Verlust von sensiblen Daten
- 2. Seite: Sechs Schritte gegen den Verlust von sensiblen Daten (Fortsetzung)
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Apple: Online-Verkaufsverbot für iPhone und iPad
Im Patentstreit zwischen Motorola und Apple hat das Landgericht Mannheim heute ein überraschend klares Urteil gegen Apple gefällt: Das Unternehmen muss einige Produkte wie iPads mit 3G-Funkmodul sowie die meisten iPhone-Modelle aus seinem Onlineshop entfernen.
Notebooksbilliger.de eröffnet neuen Shop
Der Etailer startet mit einem neuen Online-Shop: www.nullprozentshop.de bietet ITK-Produkte mit einer Null-Prozent-Finanzierung an. Zum Start gibt es einige Knaller-Angebote.
» Bundesliga-Tippspiel 2011
