Datensicherheitsmaßnahmen

Bereits zum dritten Mal wurde von der Prüfungsgesellschaft PwC und dem Informationsmanagementdienstleister Iron Mountain ein so genannter Reifegradindex erhoben und festgestellt, inwieweit Firmen über ein angemessenes Maß an Schutz verfügen, um Informationsgefahren wie Datenverlust, Cyberangriffe oder Wirtschaftsspionage zu reduzieren. "Es gibt keine 100%ige Datensicherheit", sagt Dr. Dieter Steiner, IT-Sicherheitsexperte und CEO von SSP Europe.

"Vor allem in großen Firmen sind Datenspione äußerst filigran und gezielt, aber solche Attacken sind sehr kostspielig. Die SSP Europe, spezialisiert auf Hochsicherheitslösungen für den Datenaustausch, hat deshalb eine Liste von Checklisten erstellt, die Firmen bei der Überarbeitung ihrer Datensicherheit prüfen sollten. Der Informationsrisikoindex belegt, dass nicht einmal die Haelfte der untersuchten Firmen ueber eine individuelle Informationspolitik verfuegt.

Das wäre jedoch eine unabdingbare Bedingung, um die relevanten Informationen zu sichern und eine missbräuchliche Verwendung zu vermeiden. Wird nicht angegeben, welche Benutzer welche Arten von Informationen bearbeiten dürfen, entstehen oft Sicherheitslöcher durch unsachgemäßen Umgang mit Datenzugriff, -übertragung oder Datenspeicherung. Das hört sich banal an, ist aber immer noch eine der gebräuchlichsten geschäftlichen Verwundbarkeiten, denn wenn das Patch-Update auf einem einzelnen Endgerät ignoriert wird, gibt es eine Sicherheitsschwachstelle, selbst für Mobilgeräte.

Attacken durch Viren, Worms, Trojaner und Webapplikationen zählen zu den häufigste Auslösern von Datenverlust, insbesondere in KMU. Vielen Firmen fällt nicht einmal auf, dass sie zu Opfern von Industriespionage geworden sind - allenfalls, wenn es schon zu spÃ?t ist und eine neue Entwicklung, in die viel Geld geflossen ist, plötzlich anderswo zum Zuge kommt.

Mobilfunkgeräte sind heute für viele Firmen eine der grössten Schwächen. Sicherheitslücken entstehen nicht nur bei Sicherheitsupdates, sondern auch bei der Datenübermittlung und Datenspeicherung, z.B. durch automatischen Datenabgleich in bereits installierten Cloud-Lösungen. Gerade Spionageattacken finden oft über die schwache Struktur von Handelspartnern statt. Für den Austausch von Daten zwischen Filialen, mit Mobilgeräten und mit Partnerunternehmen wird eine Ende-zu-Ende Verschlüsselung der Daten empfohlen: für die Übermittlung (Channel Encryption), auf dem Webserver, was auch für Cloud Storage zutrifft (Server-Side Encryption), und auf den Geräten der Benutzer (Local Encryption).

Prinzipiell ist es Sinn, eine sichere Kollaborationsplattform für den Austausch von Informationen zu nutzen oder den Mitarbeitenden zur Nutzung zur Verfügung zustellen. Wenn es die oben angeführten Voraussetzungen für die Verschlüsselung von Informationen erfuellt, ist es viel besser als viele andere Möglichkeiten, mit denen Firmen alternative Informationen wie E-Mail-Anhänge, Dateiserver oder die von Angestellten oft verwendeten kostenlosen Cloud-Lösungen austauschbar sind.

Dabei ist neben der Verschlüsselung der Daten auch der Speicherort ein Kriterium der Sicherheit. Anders als in den USA oder anderen Staaten müssen Datacenter in Deutschland nach ISO/IEC 27001 bescheinigt werden, was ein umfangreiches Informationssicherheitsmanagementsystem garantiert. Eines der grössten und in vielen Firmen oft unterschätzte Gefahren für vertrauliche Informationen kommt von den eigenen Mitarbeiter.

Das Augenmerk des Management auf die Themen Security muss ebenfalls wachsen: 47% der für den Information Risk Index erfassten Betriebe geben an, dass das Problem der Datensicherheit für sie auf der Führungsebene nur eine untergeordnete Rolle spielt. Sie müssen ihre Anlagen modernisieren oder an einen professionellen Anbieter auslagern. "Zudem sollte dem Themenkomplex Datensicherheit höchste Bedeutung beigemessen werden, da der ökonomische Vorteil der Datensicherheit auch heute noch oft unterbewertet wird.