Suchen

DLP- und Compliance-Grundlagen, Teil 2 DLP-Richtlinien – damit Informationen bleiben, wo sie hingehören

| Autor / Redakteur: Ursula Zeppenfeld / Stephan Augsten

Der schnelle Zugriff auf Informationen erlaubt zeitnahes Handeln und hohe Flexibilität. Auf der anderen Seite müssen IT-Verantwortliche dabei für ausreichende Sicherheit sorgen. Hier helfen organisatorische Strukturen und Technologien, die die Risiken für Datenlecks minimieren.

Firmen zum Thema

Unterschätzte Gefahr: Die Hauptursachen für Datenverluste liegen meist im Inneren.
Unterschätzte Gefahr: Die Hauptursachen für Datenverluste liegen meist im Inneren.
( Archiv: Vogel Business Media )

IT-Verantwortliche richten ihr Augenmerk in Sachen Bedrohungsschutz seit langem vornehmlich auf Viren, Würmer und Co. und schirmen sich vor allen Dingen gegen die Angreifer von außen ab. Der wirksame Schutz von Daten aber erfordert mehr, als das Netzwerk abzusichern oder Server und Clients nach Viren abzusuchen.

Immerhin geht ein Großteil der Risiken nicht von externen Angreifern aus, sondern von internen Schwachstellen und einer Vielzahl von Fehlern, die meist ohne böse Absicht passieren. Das hat unlängst das englische Beratungs- und Analystenhaus Quocirca festgestellt. Demnach zählen zu den Hauptursachen von Datenverlust das Versehen von Mitarbeitern, eine mangelhafte Ablauforganisation oder Fehler seitens des Managements.

Sicherheitsrichtlinien erstellen

Wer ein Regelwerk zur Datensicherheit etablieren möchte, muss das Rad nicht neu erfinden. Er kann bewährte Standards nutzen. 7001-a-626958/' class='inf-text__link inf-text__keyword'>ISO 27001 beispielsweise bietet ein ausgefeiltes Security-Management-System, an dem sich Newcomer in Sachen Security Policy orientieren können. Weitere Regelwerke bieten COBIT (Control Objectives for Information and related Technology) und AICPAs SAS 70 (American Institute of Certified Public Accountants/Statement on Auditing Standards).

Richtlinien differenzieren

Unabhängig davon, auf welchen dieser Standards ein Unternehmen aufbauen möchte, sind zum Erstellen einer Richtlinie folgende Kriterien relevant: Nutzer, Inhalte und Speicherorte inklusive Netzwerkkommunikation sind die Dimensionen, entlang derer die Richtlinien zu formulieren sind.

Allgemeine Regeln wie etwa „Personenbezogene Daten dürfen nicht versendet werden“ sind nicht sinnvoll. Dem Mitarbeiter der Personalabteilung beispielsweise sollte es erlaubt sein, personenbezogene Daten an die Sozialversicherungsträger zu versenden. Die Informationen auf einen USB-Stick oder eine CD zu kopieren will man ihm aber wahrscheinlich nicht gestatten. Und auf einem Desktop des Marketing-Teams haben personenbezogene Daten der Kollegen von vornherein nichts zu suchen.

Allerdings dürfen sich die Richtlinien nicht in der Prävention erschöpfen. Ebenso müssen sie Handlungsanweisungen für den Fall beinhalten, dass trotz aller Präventionsmaßnahmen Daten verloren gehen. So sollten die Richtlinien beispielsweise festlegen, wer bei Datenverlust zu informieren ist, in welchen Fällen die Behörden einzuschalten oder in welcher Form eventuell kompromittierte Personen zu entschädigen sind.

Seite 2: Richtlinien implementieren und Einhaltung kontrollieren

(ID:2048841)