Datenschutz im digitalen Zeitalter Bewegte Daten schützen
3. März 2017Firewalls, Antivirensoftware, Zugriffskontrollen, Datensicherung: Unternehmen tun bereits einiges dafür, ihre ruhenden Daten und Informationen zu schützen. Ihre vertrauliche Kommunikation hingegen verschlüsseln nur wenige. Werden jedoch Daten aus E-Mails oder Filesharing-Diensten entwendet, verlieren Unternehmen die Kontrolle über ihr Know-how. Bei Diebstahl von Kunden- oder Mitarbeiterinformationen kann es darüber hinaus zu einem Imageschaden und Haftungsrisiken kommen, die kaum zu beziffern sind. Um Daten auch auf dem Übertragungsweg zu schützen, ist eine Ende-zu-Ende-Verschlüsselung unabdingbar. Auch das Bundesdatenschutzgesetz (BDSG) nennt Verschlüsselung als geeignete technische Maßnahme, um ein angemessenes Schutzniveau für personenbezogene Daten zu erreichen.
Datenschutzbereiche
Einen CIO muss heutzutage niemand darüber aufklären, wie wichtig Datenschutz für das IT-Management ist. In einer aktuellen Umfrage von Ovum platzierten die IT-Entscheider das Thema Sicherheit und Privatsphäre unter den drei wichtigsten IT-Trends 2017. Allerdings bleibt abzuwarten, wie viel sie in welche Bereiche investieren. Bisher liegt der Schwerpunkt auf der Sicherheit gespeicherter Daten – die Welt wird jedoch immer dynamischer. Sensible Daten sind – getrieben durch mobile Endgeräte und Cloud-Computing – immer in Bewegung. Dadurch wachsen die Risiken für die Unternehmenskommunikation.
Edward Snowdens Enthüllungen haben gezeigt, wie weit staatliche Überwachung von Kommunikation geht: Das Ausspionieren von Bürgern durch Behörden rückte in den Mittelpunkt der öffentlichen Aufmerksamkeit. Für Unternehmen bedeutet das: Spätestens wenn Daten ihren Hoheitsbereich verlassen, ist die Sicherheit gefährdet. Dass Unternehmensdaten nach draußen gelangen, ist aber essenzieller Bestandteil der modernen Arbeitswelt. In digitalen Arbeitsumgebungen können und müssen Mitarbeiter Informationen über Standorte hinweg sowie mit Kunden und Partnern austauschen.
Im Zuge der Digitalisierung setzt sich Cloud Computing immer mehr durch, wodurch sich von vornherein weniger Daten im direkten Einflussbereich der Firmen befinden. Drei Viertel der Unternehmen geben an, bis Mitte 2018 sensible Daten in Cloud- und Software-as-a-Service-Anwendungen (SaaS) speichern zu wollen. Über 70 Prozent planen Daten in mobilen Anwendungen abzulegen. Mehr als 65 Prozent nehmen sich vor, in diesem Zeitraum Internet-of-Things-Lösungen (IoT) einzusetzen.
Besonders der Schutz von Daten auf mobilen Endgeräten stellt die IT-Abteilungen vor große Herausforderungen. Die Folge der Bring-Your-Own-Device-Strategie (BYOD) vieler Firmen: Mitarbeiter nutzen sensible Unternehmensdaten auf ihren privaten Smartphones und Tablets. Dabei handelt es sich in der Regel um ganz unterschiedliche Gerätemodelle, auf denen verschiedene Betriebssysteme laufen. Die IT-Abteilung muss trotzdem alles dafür tun, die Daten auf den privaten Geräten zu schützen. Mobile-Device-Management-Plattformen (MDM) und Enterprise-Mobility-Management-Lösungen (EMM) können zwar helfen, sind aber in der Umsetzung sehr komplex.
Verschlüsselt kommunizieren
Die einzige Möglichkeit, Kommunikation vor dem Zugriff Unberechtigter zu schützen, ist Ende-zu-Ende-Verschlüsselung. Dabei bleiben die Daten auf dem gesamten Weg vom Absender bis zum Empfänger und sogar bei der Speicherung geschützt, da nicht der Transportweg, sondern der Inhalt verschlüsselt wird. Fängt dann jemand die Kommunikation ab oder stiehlt gespeicherte Informationen, sieht er nur Datenmüll. Allerdings setzen nur wenige Unternehmen eine solche Verschlüsselung ein. Zum einen gibt es keinen universellen Standard, zum anderen schreckt häufig die umständliche Handhabung der Anwendungen ab. Eine Anwendung, die mehrere Schritte auf dem Weg zur Verschlüsselung vorsieht oder für die auf einem Smartphone mehrere Apps installiert werden müssen, wird sich nur schwer im Alltag durchsetzen können.
IT-Entscheider, die auf Nummer sicher gehen, achten bei der Auswahl zusätzlich auf folgende Kriterien: Die Anwendung unterstützt alle standardisierten Datentransfer-Protokolle. Sie weist zudem einen hohen Automatisierungsgrad für maximale Sicherheit und Effizienz auf. Automatisiert sollten sein: Schlüssel- und Zertifikatsmanagement, Datenverschlüsselung und Benutzerregistrierung.
Darüber hinaus sollte sich die Lösung schnell in jede IT-Infrastruktur integrieren lassen. Sie darf weder die Anwenderprozesse noch den Geräteeinsatz behindern – die Nutzer müssen die Verschlüsselung einfach und transparent bedienen können. Wichtig ist außerdem, dass die Sicherheitsanwendung zertifiziert ist, beispielsweise nach FIPS 140-2. Sie sollte auch Funktionen mitbringen, die bei Bedarf zentrale Anti-Virus- und Inhaltsüberprüfungen ermöglichen.
Höchstes Sicherheitslevel
Aus dem Geschäftsalltag lassen sich Anforderungen ableiten, was eine Sicherheitsanwendung heute leisten muss: Sie schützt vor internen und externen Angriffen, ist einfach zu implementieren, überzeugt durch intuitive Bedienung und stellt die Kontrolle über alle versendeten Daten her. Das Ziel, die sensible Unternehmenskommunikation bestmöglich zu schützen, gelingt nur mit einer Ende-zu-Ende-Verschlüsselung. Zusätzlich sollten Unternehmen Sicherheitsregularien festlegen, die für Mitarbeiter jeglicher Hierarchiestufe verbindlich sind. (rhh)
Marcel Mock
ist CTO bei der totemo ag