Eine Umgebung, die vor Datenlecks sicher ist – wie erreicht man das?

Die Daten von Unternehmen und Institutionen fließen über offizielle und inoffizielle Kanäle, wie E-Mail, Instant Messaging, Drucker und Cloud-Lösungen. Wenn die Mitarbeiter die Daten nicht mit der gebotenen Sorgfalt behandeln und das Unternehmen oder die Institution keine geeigneten Lösungen einsetzt, können sie leicht verloren gehen. Lernen Sie die 10 wichtigsten Regeln zum Schutz vor Datenlecks in Ihrem Unternehmen kennen.

Angriffe durch Cyberkriminelle oder der Einsatz von Malware sind in der Regel die spektakulärsten und öffentlichkeitswirksamsten Fälle des Diebstahls von Unternehmensressourcen. In den meisten Fällen ist nicht nur die Organisation selbst von dem Angriff betroffen, sondern auch eine Vielzahl von Personen oder Akteuren, die von den verlorenen Daten betroffen sind. Ein wachsendes Problem stellen interne Bedrohungen und Datenlecks dar, die auf unvorsichtige oder vorsätzliche Handlungen von Mitarbeitern zurückzuführen sind. Einem Bericht des Ponemon Institute zufolge hat sich die Zahl solcher Vorfälle in den letzten zwei Jahren verdoppelt (ein Anstieg von 44%)! Mehr als die Hälfte dieser Vorfälle wurde durch unverantwortliches Verhalten der Mitarbeiter verursacht, und 26% der Datenverluste waren auf absichtliches und vorsätzliches Verhalten seitens der Mitarbeiter zurückzuführen.

Wie verlieren Unternehmen ihre Daten?

Nach Angaben der US National Cyber Security Alliance schließen etwa 60% der kleinen Unternehmen innerhalb von sechs Monaten nach einem größeren Datenleck, und sogar 85% sind von einer Verletzung der Datensicherheit betroffen. Die Kosten solcher Vorfälle gehen oft in die Millionen oder in den zweistelligen Millionenbereich. Die Motivation der so genannten „böswilligen Insider“, Unternehmensdaten zu missbrauchen, kann dem Wunsch entspringen, dem Unternehmen zu schaden, Geld zu verdienen oder die eigene Karriere zu fördern. Auch Mitarbeiter können nachlässig sein und versehentlich Daten außerhalb des Unternehmens versenden. Die meisten internen Bedrohungen sind unbeabsichtigt und treten aus einer Vielzahl von Gründen auf, z. B. durch hybrides Arbeiten und die Verwendung eigener Geräte im Rahmen des beliebten Konzepts „Bring Your Own Device“, kurz BYOD. Die Mitarbeiter sind sich der Sicherheitsprozesse oft nicht bewusst, und die Netzwerkadministratoren haben nicht die richtigen Werkzeuge, um den Datenfluss zu überwachen und potenzielle Risiken zu erfassen.

Beispiele für interne Bedrohungen

• Krankenhaus in Gliwice – es ist dort zu einem Datenleck bei Patienten gekommen, die Abstriche für SARS-CoV2 machen ließen. Es sind unter anderem Vor-, Nachnamen und Personenkennzahlen nach außen gelangt. Experten haben keinen Zweifel daran, dass Patientendaten von Betrügern genutzt werden können, um z. B. unerwünschte Kredite aufzunehmen.
• Stadtverwaltung Wronki – die Daten wurden von einem Mitarbeiter des Büros vom Dienst-Computer kopiert. Dazu gehörten Namen, Wohnadressen und Personenkennzahlen sowie mit der Abrechnung von Einwohnern oder der Anmietung von kommunalen Räumlichkeiten zusammenhängende Dokumente.
• Coca-Cola – im Jahr 2018 stellte sich heraus, dass ein ausscheidender Mitarbeiter eine externe Festplatte mit gestohlenen Informationen von Coca-Cola besaß. Als der Fall bekannt wurde, schickte das Unternehmen Mitteilungen an rund 8.000 Personen, deren Daten kopiert worden waren. Der ehemalige Mitarbeiter nahm sie mit, als er das Unternehmen verließ.
• Trend Micro – bei dem Unternehmen kam es zu einem Datenleck durch einen Mitarbeiter, der Zugang zu einer Kundenbetreuungsdatenbank hatte, die Namen, E-Mail-Adressen und Nummern von Serviceanfragen enthielt. Ein unseriöser Mitarbeiter hatte sensible Daten an eine externe Partei verkauft.

Wie kann man sich vor Verlust von Daten innerhalb der Firma schützen?

Unabhängig davon, welche Art von Daten ein Unternehmen verarbeitet, gibt es mehrere universelle Möglichkeiten, sensible Informationen zu schützen.

• Führen Sie ein Audit durch und finden Sie alle Ihre sensiblen Daten heraus. Es ist gut zu wissen, mit welchen Daten Ihr Unternehmen arbeitet, wo die Daten aufbewahrt werden und wer Zugang zu diesen Daten hat und sie bearbeiten kann.
• Implementieren Sie Richtlinien, die festlegen, wie mit sensiblen Daten umgegangen werden soll, wer darauf zugreifen darf und zu welchem Zweck. Stellen Sie sicher, dass die Richtlinien leicht zu verstehen sind.
• Schulen Sie Ihre Mitarbeiter und erklären Sie ihnen die Bedeutung von Datensicherheit. Sie sollten sich darüber im Klaren sein, mit welchen Daten das Unternehmen arbeitet und welche Folgen eine unrechtmäßige Nutzung hat.
• Verschlüsseln Sie Ihre wichtigsten Daten und stellen Sie sicher, dass Ihre Daten auch bei Verlust oder Diebstahl der Hardware sicher bleiben.
• Überwachen Sie neue und ausscheidende Mitarbeiter – überprüfen Sie die Vergangenheit neuer Mitarbeiter. Schaffen Sie einen sicheren Austrittsprozess, um sicherzustellen, dass ausscheidende Mitarbeiter keine Daten mitnehmen. Wenn Sie einen Verdacht auf mögliche Verstöße haben, sollten Sie sie im Auge behalten und überwachen, zu welchen Daten der jeweilige Mitarbeiter Zugang hat und ob er diesen benötigt.
• Lassen Sie nur autorisierte Hardware zu – kontrollieren Sie, welche Datenträger an die Geräte des Unternehmens angeschlossen werden. In Verbindung mit einer geeigneten Dateiklassifizierung wird es dadurch schwieriger, sensible Daten nach außen zu kopieren.
• Websites zum Teilen von Dateien, soziale Medien und Instant Messaging – blockieren Sie den Datentransfer oder informieren Sie Ihre Mitarbeiter über riskante Vorgänge.
• E-Mail – schränken Sie den Versand von Daten an unbekannte externe E-Mail-Adressen ein und informieren Sie die Mitarbeiter über einen möglichen Verstoß.
• Internet, Cloud, O365 – schränken Sie die Datenübertragung auf inoffizielle Kanäle außerhalb des Unternehmens ein und informieren Sie die Mitarbeiter darüber.
• Drucker – Überprüfen Sie anhand von Kontextinformationen, welche Dokumente von Ihren Mitarbeitern gedruckt werden. Sie decken potenzielle Verletzungen der Datensicherheit auf und schränken das Drucken von Dokumenten mit sensiblen Daten ein.

Die oben genannten Schritte werden das Niveau der Datensicherheit in Ihrer Organisation definitiv erhöhen. Ohne die richtige Software, z. B. DLP-Lösungen, die im Hintergrund der gesamten Umgebung laufen, wird sich dies jedoch als schwierig herausstellen.