Profi-Tipps: So lassen sich kritische Daten am besten schützen Sicherheit braucht proaktive Vorgehensweisen
1. September 2015Wer kritische Informationen im Unternehmen betreuen muss, der sollte über die passenden Richtlinien und Prozesse verfügen, die diese Daten schützen. Auf der Grundlage der Empfehlungen, die die amerikanische Federal Trade Commission erarbeitet hat, lassen sich wertvolle Tipps ableiten. Im Zeichen der unternehmensübergreifenden Collaboration rückt dabei auch der sichere Datenaustausch in den Fokus.
Safety first
Daten gelten heutzutage als Rohstoff Nummer Eins in vielen Bereichen. Doch diese Vorgabe sollte nicht einfach übernommen werden – vielmehr gilt die Devise: Erst denken, dann sammeln. In diesem Kontext sollten sich Unternehmen einige relevante Fragen stellen: Ist es überhaupt notwendig, personenbezogene, sensible Informationen von Kunden und potenziellen Neukunden zu erfassen? Entsteht dadurch tatsächlich ein Mehrwert? Oder erhöht sich nur das Sicherheitsrisiko? Wenn sie auf sensible Informationen nicht verzichten können, dann speichern sie solche Daten nicht länger als unbedingt nötig. Setzen sie ein „Verfallsdatum“ ein und vernichten anschließend die Daten. In puncto Sicherheit sollten sie aktiv und nicht reaktiv vorgehen.
Wer aus geschäftlichen Gründen sensible Daten aufbewahren muss, sollte diese Informationen vor neugierigen Blicken sowohl von innen als auch von außen schützen. Dazu beschränkt man am besten den Zugriff auf vertrauliche Daten. Benötigt eine Praktikantin für ihren Job wirklich umfassende Zugriffsrechte auf geistiges Eigentum der Firma? Wohl eher nicht. Daher sollte man im Unternehmen regelmäßig die vergebenen Berechtigungen überprüfen. So ist gewährleistet, dass Benutzer stets nur auf die Informationen zugreifen können, die sie wirklich benötigen. Das macht sich auch bei einem Audit bezahlt.
Komplexe Kennwörter
Passwörter und Authentifizierung sind ein gewichtiger Faktor für den sicheren Datenzugriff, wenn es darum geht, vertrauliche Daten zu schützen. Hier lautet die Devise: „Verwenden Sie komplexe Passwörter!“ Wer als Kennwort lediglich „Passwort“ angibt, der handelt grob fahrlässig. Komplexe Kennwörter bestehen aus „Passphrasen“ oder aus Zeichenketten mit unterschiedlichen Elementen (Großbuchstaben, Zahlen, einer Mindestanzahl von Zeichen). Hierbei sollte eine zwingende Vorgabe lauten: Passwörter sind spätestens alle drei Monate zu ändern. So machen man es Hackern von vorneherein schwerer. Eine bessere Variante ist der vorgeschriebene Einsatz der Zwei-Faktor-Authentifizierung. Dabei sollte man den Zugang nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche sperren und sicherstellen, dass die Authentifizierung nicht umgangen werden kann.
Im Zeichen der unternehmensübergreifenden Collaboration rückt auch der sichere Datenaustausch in den Fokus. Dabei sollte man immer bedenken, dass ein unternehmensinternes Netzwerk weitgehend sicher gemacht werden kann. Aber was passiert, wenn Mitarbeiter Daten an Personen außerhalb der Firewall weitergeben müssen? Als eine sichere Möglichkeit bietet sich hier eine Dateisynchronisierungs- und Filesharing-Lösung, die auf der bereits bestehenden Berechtigungs- und Authentifizierungsinfrastruktur aufsetzt, wie beispielsweise DatAnywhere.
Eine weitere Aufgabenstellung im Bereich der Sicherheit, ist für IT-Verantwortliche der Aspekt: Sind Sie stets darüber informiert, wer gerade auf welchen Computer zugreift? Leider wird in vielen Fällen die Antwort lauten: Leider nicht. Daher sollte man beachten, dass die sensiblen Daten an einem separaten, sicheren Ort im unternehmenseigenen Netzwerk aufbewahrt werden. Und zudem sollte man den Zugriff darauf einschränken – etwa über vernünftige Rollenkonzepte. Noch besser ist die Protokollierung: Damit lassen sich sämtliche Dateizugriffe und Dateiaktivitäten kontinuierlich überwachen. Das bildet die Grundlage, um ein verdächtiges, ungewöhnliches Nutzerverhalten erkennen und den Sachverhalt überprüfen zu können, bevor es zu spät ist. Dazu dienen Lösungen wie DatAlert für DatAdvantage.
Fernzugriff mit Sicherheitsnetz
Telearbeitsplätze bieten den Mitarbeitern mehr Freiraum und führen zu höherer Produktivität. Doch was die Sicherheit angeht, werden solche Arbeitsplätze leicht zum Albtraum. Prinzipiell geht es in Unternehmen darum, Remote-Verbindungen zu erlauben, und gleichzeitig die Anmeldung an anderen Computern und Servern zu unterbinden. Nur dann verhindern die IT-Verantwortlichen, dass Angreifer sich nach Lust und Laune durch das Netzwerk bewegen. Dazu ist es unbedingt notwendig, den Sicherheitslevel beim Windows-Feature „Remotedesktop“ zu erhöhen.
Viele Unternehmen arbeiten mit Dienstleistern und Lieferanten zusammen. Dabei stellt sich die Frage, ob auch diese Personen die Sicherheitsanforderungen des Unternehmens in der Realität erfüllen. Dabei ist sicherzustellen, dass die Standards und Sicherheitsanforderungen (wie Verschlüsselung, Zwei-Faktor-Authentifizierung, Vernichtung von Daten nach Fristablauf) des „beauftragenden Unternehmens“ auch in Verträgen und Service-Level-Agreements festgeschrieben werden. Die IT-Verantwortliche haben diese Prozesse zu überwachen, damit die Sicherheitsanforderungen durchgängig erfüllt und Benutzerkonten nicht versehentlich offengelegt werden.
Ein weiterer wichtiger Aspekt, um Sicherheit zu garantieren, ist die vorausschauende Planung. Angenommen ein Unternehmen ist nach dem Stand der Technik sicher, so gilt dies eben im Augenblick. Aber leider ist Sicherheit leider nicht statisch. Will man Compliance-Vorgaben dauerhaft erfüllen, muss jedes Unternehmen in Bezug auf Systeme und Technologien immer am Ball bleiben. Dazu gehört es auch, Drittanbieter-Software zu überwachen, Updates auszuführen und Patches gewissenhaft einzuspielen. Außerdem sollten man Sicherheitswarnungen und Benachrichtigungen beachten. Verantwortungsbewusste IT-Chefs entwickeln einen Aktionsplan für den Ernstfall. Wenn eine Schwachstelle in einem System ausgenutzt wurde, gilt es, sofort zu handeln und die erforderlichen Schritte zu unternehmen, um die Daten zu schützen.
Netzwerksicherheit ist zwar das A und O, doch darf man die physische Sicherheit nicht außer Acht lassen. Computerhardware, Aktenordner und all die anderen Dingen, die man in einem Büro findet müssen mit einbezogen werden. Daher sollt man sich die Frage stellen, ob man über einen Sicherheitsplan für die analoge Welt verfügt. Hier gilt die Regel Nr. 1: Bewahren sie wichtige Dokumente und anderes geistiges Eigentum in physischer Form an einem sicheren Ort auf, zum Beispiel in verschlossenen Aktenschränken und gesicherten Serverräumen. Laptops sollten mit einer sicheren Anmeldefunktion und einem hardwarebasierten Passwortschutz ausgestattet sein. Was ist mit alten Computern, Servern, Bändern und Disketten? Was für einen vielleicht schon Abfall ist, ist für einen Hacker unter Umständen noch eine wahre Goldgrube.
Rainer Huttenloher
Hier geht es zu Varonis