Wahrheit und Fiktion:
Die 5 größten Datenschutz-Lügen
Verstärkt durch einen Wandel in der IT (z.B. Cloud Computing) und das neue Datenschutzgesetz werden Daten zu einem der wichtigsten und wertvollsten Vermögensgüter in Unternehmen. Eine überholte Auffassung von Datenschutz verhindert jedoch oft noch den gewünschten Erfolg entsprechender Maßnahmen.
(Fortsetzung des Artikels von Seite 3)
Keine Beiträge im Forum. » Diskussion starten!
USB-Sticks: Genauso praktisch wie gefährlich. (Bild: elypse, Fotolia.com)
Nach den steten Schreckensmeldungen über Datenverluste und die strengere Neuregelung der Gesetzesvorschriften im vergangenen Jahr hat sich im Bereich IT-Sicherheit ein starker Trend zu datenorientiertem Schutz entwickelt. Neue Technologien zur Verschlüsselung und Lösungen zum Schutz vor Datenverlust, die großteils auf Inhaltsfilterung zurückgreifen, werden zur Stärkung der Data Warehouses zahlreicher Unternehmen eingesetzt.
Gleichzeitig zu den neuen Datenschutzstrategien zeigt sich jedoch, dass auch in den Köpfen der Verantwortlichen oft erst noch ein entsprechendes Umdenken nötig ist. Der Rückgriff auf eine ganze Reihe veralteter und grundlegend falscher Auffassungen von Datenschutz gefährdet die neue Datenschutzstrategie schnell wieder. Deshalb haben die Endpoint-Security-Spezialisten von Lumension [1] die fünf größten dieser überholten und gefährlichen Denkweisen in einem Whitepaper [2] zusammengefasst und geben Tipps, wie sie den neuen Realitäten angepasst werden müssen.
1. Die Bedrohungen von außen übersteigen bei Weitem die Insider-Bedrohung.
Die Tatsachen: Grundsätzlich gibt es zwei verschiedene grundlegende Kategorien des Datenverlustes: den versehentlichen Datenverlust und den beabsichtigten Datendiebstahl. Zwar erregen die Fälle der ersten Kategorie meist ein wesentlich größeres mediales Interesse, wie etwa im Fall der Diebe, die den Fußballtrainer Christoph Daum im vergangenen Jahr mit den Daten eines ihm geklauten Laptops erpressen wollten.
Insider-Angriffe als Risiko unterschätzt
Diese größere Aufmerksamkeit für die Verlustfälle bedeutet allerdings nicht, dass absichtlicher Datenklau lediglich ein Randphänomen ist, dem kaum Aufmerksamkeit geschenkt werden muss. Das genaue Gegenteil ist Fall. Denn auch wenn mehr Daten auf diesem Wege verloren gehen, so sind es doch meist »unwichtigere« und unvollständigere Datensätze, als sie im Unternehmen selbst vorliegen. Meist haben die Diebe hier sogar eher die Hardware im Auge, als die darauf gespeicherten Daten. Mittels Verschlüsselungssoftware kann diese Gefahr des Datenverlustes und –missbrauchs bei Hardwareverlust außerdem leicht minimiert werden.
Wesentlich schwieriger sieht es bei den absichtlichen »Verlusten« aus, auch wenn diese meist nicht öffentlich werden oder teils sogar den Unternehmen selbst nicht auffallen. Egal, ob er sich von außen über Schadsoftware oder geklaute Logins (Phishing) Zutritt verschafft, oder ob es sich um einen Mitarbeiter handelt, der per beispielsweise einfach per USB-Stick Gigabyte-Weise Daten kopiert: Hier hat es der Dieb direkt auf konkrete Daten abgesehen, deren Wert er noch dazu relativ genau einschätzen kann.
Obwohl also intern mindestens genauso große Gefahren und Risiken drohen, verfügen die meisten Unternehmen lediglich über einen umfassenden Schutz vor Attacken von außen. Schutzmaßnahmen, durch die zugriffsberechtigte Insider am Herunterladen von Daten auf externe Geräte und an deren einfachem Abtransport gehindert werden könnten, sind nur selten im Einsatz. Somit sollte bei einer Priorisierung der Sicherheitsmaßnahmen auf der Grundlage des bestehenden Risikos für ein Unternehmen der Schutz vor Insider-Bedrohungen mindestens eine ebenso hohe Priorität haben, wie der Schutz vor externen Angriffen. Darüber hinaus muss die Möglichkeit zu einem automatischen Audit der Schutzmechanismen gegeben sein, um die mit Datenverlust einhergehenden Risiken quantifizieren zu können.
Datenschutz ist mehr als Datenverluste vermeiden
2. Datenverlust ist der einzige Aspekt des Datenschutzes, mit dem sich Unternehmen befassen müssen.
Die Tatsachen: Zweifelsohne kann ein Datenverlust Unternehmen auf mehrere Weisen erheblich schaden. Neben dem reinen Wert der Daten spielen auch weiche Faktoren wie das Vertrauen eine wichtige Rolle, die durch öffentlich gewordene Datenpannen leiden. Dennoch darf Datenschutz sich nicht alleine auf diese gefahren beziehen, sondern muss auch den Schutz der Datenintegrität und der Datenverfügbarkeit beinhalten. Nur so kann eine erfolgreiche Datenschutzstrategie sowohl die Gefahr von Datenverlusten selbst massiv eindämmen, als auch die Gefahr potenzieller Beschädigung bzw. Zerstörung von Daten auf ein Mindestmaß reduzieren.
Auch die Verwaltung von Schwachstellen und Patches sowie die Sicherung der Endpunktkonfigurationen spielen für die Gewährleistung der Datenintegrität ein zentrale Rolle, denn nicht verwaltete Anwendungen und Geräte können leicht zu einer Verbreitung von Malware und Key-Loggern führen und dadurch die Integrität und Verfügbarkeit der Daten in Gefahr bringen.
3. Emailschutz schiebt jedem potenziellen Datenverlust einen Riegel vor.
Die Tatsachen: In Zeiten wachsender Bedrohung durch Gefahren wie Spam, Malware und Phishing, haben sich inzwischen die meisten Unternehmen der Risiken in Verbindung mit mailbasiertem Datenverlust angenommen und entsprechende Mail-Filter integriert. Dabei wird jedoch außer Acht gelassen, dass es neben der Email noch etliche weitere Wege gibt, Daten aus dem Sicherheitsperimeter eines Unternehmens zu schleusen. Sei es, indem ein Mitarbeiter auf einen verseuchten Link klickt und dadurch unwissentlich oder absichtlich eine Hintertür auf dem Rechner installiert, oder dass ein Angestellter die Daten auf einem unternehmenseigenen Gerät (Endpunkt) mit aus dem Unternehmen nimmt. Datenkontrolle darf sich deshalb nicht ausschließlich auf den, wenn auch besonders sensiblen, Bereich Email beschränken.
Mobile Medien in den Griff bekommen
4. Datenverlust über mobile Medien lässt sich durch das einfache Verbot deren Nutzung verhindern.
Die Tatsachen: Die zunehmende Verbreitung mobiler Medien wie USB-Sticks stellt die Unternehmen vor eine völlig neue Herausforderung. Zwar sind sie einerseits für die Angestellten praktische Arbeitsgeräte, die Zeit sparen und Prozesse verkürzen können. Andererseits bringen sie für das Unternehmen völlig neue Risiken mit sich. Ganze Datenbanken lassen sich damit in Sekundenschnelle in die Hosentasche packen.
Einige IT-Manager versuchen darum, den Einsatz solcher mobilen Medien komplett zu verhindern, indem sie entsprechende Berechtigungen setzen, oder teils sogar die vorhandenen USB-Ports physisch versiegeln. Solch eine totale Verbannung an sich nützlicher Hilfsmittel ist allerdings eine schlechte Taktik und führt meist nur dazu, dass sich die Mitarbeiter kreativ darüber hinwegsetzen. Effektiver ist hier die Ausarbeitung geeigneter Sicherheitsrichtlinien, durch die sich potenziell gefährliches Verhalten verhindern lässt – denn erst dadurch werden mobile Medien letztendlich zu einer Bedrohung.
5. Verschlüsselung und Inhaltsfilterung sind ausreichend für einen effizienten Datenschutz.
Die Tatsachen: Obwohl Inhaltsfilterung die Bemühungen um einen effektiven Datenschutz sicherlich verbessern kann, weist der aktuelle Schutz nach wie vor meist einen toten Punkt auf: Da typische Lösungen zur Inhaltsfilterung meist nur die gesamte Netzwerk- und E-Mailaktivität überwachen, werden sie »blind«, sobald die Daten auf den lokalen Rechnern geladen sind. Auf diesem Weg können böswillige Datendiebe nahezu alle Sicherheitsmechanismen umgehen und die Daten einfach über den eignen Endpoint abgreifen, ohne dass dies vom Inhaltsfiltersystem bemerkt wird.
Auch die Verschlüsselung weist ähnliche Schwächen auf. Zwar kann sie die Daten zuverlässig vor Fremdzugriffen schützen, allerdings nicht vor Zugriffen durch autorisierte Nutzer. Somit lassen sich Daten an Endpunkten durch eine Verschlüsselung nicht mehr schützen, wenn der Zugriff nach einer gültigen Authentifizierung erfolgt.
Um einen wirklich ausgewogenen Schutz gewährleisten zu können, sollten deshalb Verschlüsselung und Inhaltsfilterung mit einer umfassenden Endpunktlösung kombiniert werden, die eine lückenlose Überwachung der Benutzeraktivitäten und eine proaktive Umsetzung der Richtlinien an den Endpunkten garantiert.
Das gesamte Whitepaper »Tatsache oder Fiktion: Wir enthüllen die Top 5 der falschen Auffassungen von Datenschutz [2]« können Sie kostenlos in unserem Whitepaper-Portal herunterladen.
[1] http://www.lumension.com/
[2] http://www2.informationweek.de/lumension/
[3] http://www2.informationweek.de/lumension/
- 1. Seite: Die 5 größten Datenschutz-Lügen
- 2. Seite: Insider-Angriffe als Risiko unterschätzt
- 3. Seite: Datenschutz ist mehr als Datenverluste vermeiden
- 4. Seite: Mobile Medien in den Griff bekommen
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Der wahrscheinlich härteste USB-Stick der Welt
Mit seiner ruggedized Superior-Serie verspricht Adata USB-Sticks für Outdoor-Abenteuer aller Art. Wir haben die Riegel auf eine verdammt harte Probe gestellt und sie zurück ins Mittelalter geschickt, wo sie es mit Pfeilen, Schwertern und sogar Streitkolben zu tun bekamen. Mit überraschenden Ergebnissen.
Die witzigsten Internetmemes
Jeden Internet-Surfer sind sie schon über den Weg gelaufen. Ob in sozialen Netzwerken, auf Videoportalen oder sogar offline im Freundeskreis, Internet-Meme sind überall. Wir haben die witzigsten Internet-Phänomene zusammengesucht.
Google fordert jährlich 4 Milliarden von Microsoft
Im Patentstreit gegen Microsoft fordert Google künftig vier Milliarden US-Dollar pro Jahr für die Nutzungsrechte an Patenten, die Microsoft mit der Xbox 360 verletzen soll. Alternativ will Google den Verkauf der beliebten Spielkonsole unterbinden lassen.
» Bilderstrecken
» Meistgelesene News
Kommt der Apple-Fernseher von Loewe?
Branchengerüchten zufolge hat Apple dem deutschen TV-Hersteller Loewe ein Übernahmeangebot unterbreitet. Loewe hat zwar umgehend dementiert, trotzdem blühen die Spekulationen, dass der geplante Apple-Fernseher in Zusammenarbeit mit Loewe entstehen könnte.
Das sind die 10 meistverkauften Handys
Der schwedische Zubehöranbieter Krusell errechnet jeden Monat anhand seiner abverkauften Smartphone- und Handy-Cases, welche Modelle derzeit besonders gefragt sind. Die Aufstellung ist zwar nicht so genau wie die Analysen der Marktforscher, aber dennoch aufschlussreich.