Datenschutz und IT-Sicherheit sind Chefsache:
Data-Loss-Prevention: Wachgerüttelt von öffentlichen Skandalen

von Werner Veith (werner.veith@networkcomputing.de), vu

Share
09.06.2009

Fälle wie Datenmissbrauch bei der Deutschen Telekom oder der Landesbank Berlin führen dazu, dass Unternehmen das Problem wahrnehmen. Die Antwort heißt Data-Loss-Prevention. Doch die Projekte sind komplex, wie Teil 2 der Statements von Checkpoint, McAfee, Sophos, Symantec oder Trend Micro zeigen.

Deutsche Telekom, Landesbank Berlin – es lassen sich sicher noch weitere Beispiele für Datenmissbrauch in Deutschland finden. Dieses Phänomen scheint unabhängig von Firmengröße oder Branche zu sein. Gilt doch beispielsweise die Finanzbranche als Musterschüler in Security-Belangen. Trotzdem sind Datenskandale geschehen.

Solche Fälle führen zumindest dazu, dass Unternehmen anfangen, sich mit dem Problem auseinander zu setzen. Doch etwa Komplexität oder gesetzliche Vorgaben verhindern, dass Firmen Data-Loss-Prevention (DLP) einführen wollen. Network Computing sprach mit Check Point [1], McAfee [2], Sophos [3], Symantec [4] oder Trend Micro [5] über die Problematik. Dabei ging es auch um deren Erfahrungen und Konzepte zu DLP. Lesen Sie im Folgenden den zweiten Teil der Statements. Den ersten Teil der Antworten finden Sie ebenfalls auf Networkcomputing.de [6]. Die Aussagen erschienen auch im Teil 2 der »IT-Solutions Security«, S.IIf, als Element der Ausgabe 4/2009 der Network Computing.

Network Computing: Welche Wirkung haben Ihrer Meinung nach die öffentlich geworden Datenskandalen auf die Unternehmen?

Sascha Pfeiffer, Principal-Security-Consultant bei Sophos

Sascha Pfeiffer, Principal-Security-Consultant bei Sophos: »Vorfälle bei bekannten Firmen führen anderen vor Augen, was es bedeutet, wegen solcher Ereignisse in die Öffentlichkeit zu kommen. Der Imageschaden ist nur schwer zu beheben, ganz abgesehen von dem Aufwand für die interne Aufklärung und eventuelle strafrechtliche Ermittlungen. Die steigende Nachfrage nach Lösungen für den Schutz vor internen Bedrohungen zeigt, dass Firmen durchaus aus dem Schaden der anderen klug werden.«

Thorsten Schuberth, Senior-Technical-Consultant und Security-Evangelist bei Check Point: »Nicht gleich klug, aber sie sind sicherlich wach gerüttelt geworden. Auch in der IT erkennt man Gefahren leider oft erst dann, wenn sie tatsächlich spürbar werden. Als Anbieter von Sicherheitslösungen gehört es zu unserer wichtigsten Aufgabe, für Aufklärung und Sensibilisierung zu sorgen. Ziel ist es, dass die Unternehmen nicht erst dann agieren, wenn ihre Geschäftsdaten bereits missbraucht wurden.«

Network Computing: Welche Argumente bringen Unternehmen, um das Thema nach hinten zu schieben?

Albert Schöppl, Senior-Manager Major-Account-Sales bei Trend Micro

Albert Schöppl, Senior-Manager Major-Account-Sales bei Trend Micro: »Häufig wird argumentiert, dass die interne Überwachung wegen gesetzlicher Vorgaben kritisch sei, und oft an den Arbeitnehmervertretern scheitere. Außerdem seien die wichtigsten Daten wie Konstruktionspläne ohnehin stark geschützt. Diese Ansichten verkennen das Problem: Schützenswerte Daten sind heterogen. Mitarbeiter wissen oft nicht, dass sie bestimmte Dokumente weder versenden, drucken oder kopieren dürfen.«

Pfeiffer: »Bisher lag der Fokus auf dem Schutz vor Angriffen von außen. Hier findet nun langsam ein Umdenken statt. Wichtig ist, dass IT-Sicherheit und Datenschutz zur Chefsache erklärt und nicht auf der rein instrumentellen Ebene dem IT-Administrator überlassen werden. Firmen müssen erkennen, dass ihnen IT-Sicherheit Business-Vorteile bringt und dürfen Vorkehrungen nicht als reinen Kostenfaktor sehen.«

Network Computing: Welche Projektlaufzeiten erwarten Sie bei Data-Leakage-Projekten?

Andreas Zeitler, Vice-President und Regional-Manager Central-Region bei Symantec

Andreas Zeitler, Vice-President und Regional-Manager Central-Region bei Symantec: »Das hängt in erster Linie von der Komplexität der Firmenprozesse ab. Zu Beginn eines Projekts gilt es, alle Abläufe rund um sensible Daten zu evaluieren. Ein klassisches DLP-Projekt hat zwei Phasen. Zuerst wird die DLP-Lösung implementiert. Diese Phase dauert zwischen zwei und vier Wochen. Danach kommt die Business-Enablement-Phase. Hierbei handelt es sich um einen fortlaufenden Prozess, um Richtlinien zu erstellen oder anzupassen.«

Schöppl: »Alle Firmen strukturieren ihre Datenwelt mit unterschiedlich großen Anstrengungen und Vorkehrungen. Somit ist der notwendige Aufwand von Fall zu Fall unterschiedlich und abhängig von der Unternehmensgröße und dessen Struktur. DLP-Projektzeiten (Data-Loss-Prevention) können von einigen Wochen bis über einem Jahr variieren. Neben den genannten Faktoren spielt eine wichtige Rolle, welcher technologische Ansatz gewählt wird.«

Network Computing: Wie groß wird die Nachfrage nach DLP-Konzepten in diesem Jahr sein?

Thorsten Schuberth, Senior-Technical-Consultant und Security-Evangelist bei Check Point

Schubert: »Die Nachfrage wird deutlich zunehmen. Allerdings dürften Investitionen nur zögerlich erfolgen. Die Wirtschaftslage bremst die Bereitschaft, in umfassende IT-Projekte zu investieren, deren Gesamtaufwand noch nicht überschaubar ist. Wir raten Organisationen, mit Teilprojekten zu beginnen. Es ist sinnvoll, eine Sicherheitsarchitektur zu betreiben, die jederzeit zusätzliche Security-Komponenten aufnehmen kann.«

Thomas Maxeoner, Product-Line-Executive Data-Protection Central-Europe bei McAfee: »Wir erwarten auf jeden Fall eine steigende Nachfrage nach DLP-Konzepten. Dies geschieht vor allem vor dem Hintergrund, dass sich mit Hilfe von unseren Lösungen Projektlaufzeiten verkürzen und damit auch unmittelbar Kosten reduzieren lassen.«

Network Computing: Welche Konzepte haben Sie im Portfolio, um den unautorisierten Informationsfluss zu verhindern?

Thomas Maxeoner, Product-Line-Executive Data-Protection Central-Europe bei McAfee

Maxeoner: »McAfee bietet einen ganzheitlichen Data-Protection-Ansatz. Mit der Verschlüsselungstechnologie werden Daten durchgängig in Files und Verzeichnissen und auf Wechseldatenträgern verschlüsselt. Auch mobile Geräte wie Laptops oder PDAs werden so geschützt. Die Lösungen zu Host- und Network-Data-Loss-Prevention verhindern die unerlaubte Weitergabe vertraulicher und wichtiger Daten.«

Zeitler: » Für Unternehmen ist es wichtig zu wissen, wo sich vertrauliche Informationen befinden und wie diese von welchen Mitarbeitern genutzt werden. Erst dann greift ein technisches Sicherheitskonzept und verhindert, dass Daten heruntergeladen, kopiert oder verschickt werden. Wir können mit unseren Produkten beispielsweise sicherstellen, dass User sensible Daten nicht an persönliche E-Mail-Adressen schicken oder auf USB-Sticks speichern.«

[1] http://www.checkpoint.de/
[2] http://www.mcafee.de/
[3] http://www.sophos.de/
[4] http://www.symantec.de/
[5] http://www.trendmicro.de/
[6] data-loss-prevention-gefangen-zwischen-notwendigkeit-und-komplexitaet/

Verwandte Artikel