DER FAKTOR SICHERHEIT

Sichere Betriebsgeheimnisse: Wie wäre es mit einem digitalen Türsteher für Datentransfers?

Lesedauer 7 Min.

Es muss nicht immer böse Absicht sein, wenn Kundendaten, Firmeninterna oder sogar Betriebsgeheimnisse das Unternehmen verlassen. Manchmal reicht eine gut gemeinte E-Mail oder ein schneller Datentransfer in die Cloud, dass Informationen ungewollt in die Öffentlichkeit gelangen. Wer sich davor schützen möchte, sollte sich mit „DLP“ befassen – keine Angst, es ist keine politische Partei.

Es ist bestimmt jedem schon einmal passiert: Man sitzt in lauschiger Runde, unterhält sich angeregt und dann plaudert man mehr aus dem Nähkästchen, als es einem lieb ist. Was sich im privaten Bereich vermutlich weniger negativ auswirkt, kann Unternehmen unter Umständen in eine gefährliche Schieflage bringen: Wenn Betriebsgeheimnisse das Bürogebäude verlassen, kann im schlimmsten Fall auch die Geschäftsgrundlage „flöten gehen“. Sollten sensible Kundendaten in Umlauf geraten, drohen durch die Datenschutzgrundverordnung (DSGVO) empfindliche Geldbußen. Und auch Mitarbeitenden droht ernstes Ungemach, denn das Ausplaudern von Firmeninterna kann unter Umständen persönliche, juristische Konsequenzen und/oder Kündigung zur Folge haben.

Unternehmen jeglicher Größe stehen nun vor dem Problem, den ungewollten Datenabfluss nach extern zu unterbinden. Zumindest für den digitalen Bereich gibt es professionelle Sicherheitslösungen namens „Data Loss Prevention“ (DLP). Hinter dem Begriff verbergen sich intelligente Schutzmechanismen, welche die Vertraulichkeit und die Integrität von Daten gewährleisten. Auf Wikipedia.de wird die Arbeitsweise sehr gut beschrieben: „Technisch gesehen lassen sich durch moderne DLP alle denkbaren Szenarien des Datendiebstahls absichern. Es wird das Lesen oder Schreiben auf allen Wechselmedien unterstützt, z. B. USB-Sticks und Brenner, sowie der Transfer von Daten per E-Mail oder Datei-Uploads. Je nach Integration können sogar die Funktionen von Cut&Paste und Printscreen verhindert werden. Ebenso gibt es inzwischen Ansätze, Datenlecks proaktiv durch statische Code-Analyse zu ermitteln. Einzig das Abfilmen oder Fotografieren des Bildschirms sind – wenn überhaupt – nur sehr aufwendig zu verhindern.“

Und diese Sicherheitslösungen ergeben absolut Sinn, wenn man die Schäden durch Datenlecks betrachtet. Laut einer Studie des IT-Branchenverbands Bitkom verursachten Diebstahl, Spionage und Sabotage der deutschen Wirtschaft jährlich einen Gesamtschaden von mehr als 220 Milliarden Euro. Betroffen sind dabei, auch wenn die mediale Berichterstattung dies nahelegen mag, nicht ausschließlich Großunternehmen und Konzerne. Im Gegenteil legt die Studie der Bitkom nahe, dass gerade kleine und mittelständische Firmen involviert sind. Demnach wurden 2020/2021 neun von zehn Unternehmen Opfer von Cyberattacken.

Der Schutz vor externen Bedrohungen ist für Unternehmen jeder Größe zu einer wichtigen Praxis geworden. Aber wenn es um Datenlecks geht, werden 40-60 Prozent der Vorfälle durch interne Akteure verursacht. Dabei handelt es sich sowohl um die sogenannten Innentäter – die absichtlich Daten nach extern verbreiten – als auch um Mitarbeitende, die durch Unwissenheit das Problem befeuern. Der Einsatz einer Lösung zum Schutz vor Datenverlusten (DLP) kann Ihnen also helfen, auf die Risiken im Zusammenhang mit der Datensicherheit zu reagieren.

 

Die Vorteile einer DLP-Lösung


1) DLP-Lösung wahrt Ihren guten Ruf 

Der Fahrdienstleister UBER musste kürzlich schmerzlich erfahren, wie schnell die eigene Reputation ruiniert werden kann. Durch Datenlecks wurde publik, mit welchen fragwürdigen oder illegalen Methoden Politik und Öffentlichkeit beeinflusst wurden.

Wenn Sie die Daten Ihrer Mitarbeiter, Klienten oder Kunden sicher behandeln, schützen Sie also nicht nur deren Privatsphäre, sondern ebenso Ihren guten Ruf. Wenn Sie datenbezogene Vorfälle vermeiden, sparen Sie nicht nur Zeit und Geld, sondern verbessern sogar Ihr öffentliches Ansehen. Dies wiederum macht Ihr Unternehmen für neue potenzielle Kunden und Mitarbeiter attraktiver.

 

2) DLP-Lösung schützt Sie von innen heraus 

Während Anti-Malware-Software und Firewalls vor allem mögliche cyberkriminelle Bedrohungen von außen bekämpfen, befasst sich der Schutz vor Datenverlusten mit den Vorgängen innerhalb Ihres Unternehmens. Viele Mitarbeiter gehen tagtäglich mit Daten um: Zuweilen kann es für sie schwierig sein, immer richtig zu entscheiden, ob eine bestimmte Aktivität völlig korrekt ist. Eine DLP-Lösung verhindert, dass sie eine falsche Entscheidung treffen und damit ungewollt die Sicherheit Ihrer Daten gefährden. Darüber hinaus verhindert Data Loss Prevention, dass Ihre Mitarbeiter Ihrem Unternehmen absichtlich schaden, indem sie zum Beispiel die Daten Ihrer Kunden an Mitbewerber verkaufen.

3) DLP-Lösung kann Ihre Mitarbeiter schulen 

Fortschrittliche Anbieter von Data Loss Prevention bieten eine interaktive Reaktion auf unsichere Aktivitäten an. So kann es beispielsweise vorkommen, dass Ihr Mitarbeiter einen Screenshot von einem Dokument mit sensiblen Daten anfertigen möchte. Eine Sicherheitslösung kann nicht nur die Aktion blockieren, sondern den Mitarbeiter auch über ein Pop-up-Fenster über die möglichen Risiken der blockierten Aktivität aufklären und ihm eine sicherere Option anbieten.

4) DLP-Lösung macht hybrides Arbeiten sicherer 

Das hybride Arbeiten im Büro und im Homeoffice setzt sich immer mehr durch. Allerdings kann die Arbeit aus der Ferne weniger sicher sein als die Arbeit im Büro. Um effektiv arbeiten zu können, müssen Ihre Mitarbeiter mehr Informationen über Online-Kommunikationskanäle austauschen. Und sie kommen nicht drumherum, sich möglicherweise mit öffentlichen oder privaten Netzwerken zu verbinden, die nicht so streng überwacht werden wie die am Arbeitsplatz. Eine DLP-Lösung überprüft automatisch den Umgang mit Daten in diesen Situationen und kann so viele mögliche Probleme verhindern.

  

5) Überblick und Transparenz bereits ab der Implementierung

  • Der Prozess der Implementierung einer DLP-Lösung beginnt mit einer Datenflusserkennung. So erhalten Sie einen Überblick, wo Ihre sensiblen oder vertraulichen Daten erstellt, gespeichert und innerhalb/ außerhalb des Unternehmens verschoben werden. Dies hilft Ihnen, die internen Risiken zu analysieren und zu verstehen, was in Echtzeit geschieht.
  • Anschließend werden die sensiblen Daten in Kategorien eingeteilt, wie beispielsweise personenbezogene Daten, Finanzdaten, Gesundheitsdaten usw. Der nächste Schritt ist die Implementierung von DLP-Richtlinien und -Regeln.
  • Sobald die Lösung erfolgreich komplett eingerichtet ist, können Sie regelmäßige Schulungen und Besprechungen in die Strategie zur Verhinderung von Datenverlusten einbeziehen. Nehmen Sie Ihre Mitarbeiter mit ins Boot und nutzen Sie deren Feedback für den korrekten, alltagstauglichen Umgang mit Daten.
  • Schließlich kann eine DLP-Lösung Sie darüber informieren, wer mit Ihren Daten umgeht oder wie oft Ihre Mitarbeiter auf verschiedene Software, Apps, Websites oder sogar Hardware zugreifen, sodass Sie das Funktionieren Ihres Unternehmens optimieren können.

Wie wählen Sie die richtige Lösung zum Schutz vor Datenverlust aus?

Hier sind 14 Fragen, die Sie sich selbst und den Anbietern von DLP-Software stellen sollten, um die richtige Lösung für Ihr Unternehmen zu finden:

1) Entspricht die Software meinen Zielen und spezifischen, potenziellen Risiken?

2) Brauche ich eine DLP-Lösung vor Ort oder bevorzuge ich dies als Software-as-a-Service (SaaS)?

3) Auf welchen operativen Systemen funktioniert die Lösung (am besten)?

4) Kann die Software ein Unternehmen meiner Größe abdecken?

5) Umfasst die DLP-Lösung alle wichtigen Datenkanäle und Betriebssysteme, die wir in unserem Unternehmen verwenden?

6) Ist die Lösung für hybride Arbeitsumgebungen geeignet?

7) Bietet sie sowohl inhalts- als auch kontextbasierte Datenklassifizierung?

8) Verfügt sie über OCR (Optical Character Recognition, „Texterkennung“), um sensible Daten in gescannten Dokumenten und Bildern erkennen und klassifizieren zu können?

9) Kann die Lösung auch vorübergehend schützen, wenn Geräte offline sind?

10) Schützt die DLP-Lösung die Daten auf der Ebene des Endgeräts oder nur auf Netzwerkebene?

11) Benötige ich zusätzliche Mitarbeiter, die sich um den Datenschutz kümmern? Wenn ja, wie viele?

12) Wie groß sind die Auswirkungen auf die Leistung der geschützten Geräte?

13) Muss ich zusätzliche Server (Hardware) kaufen, um die DLP-Lösung zu implementieren?

14) Wie schnell kann die Lösung implementiert werden?