DLP- und Compliance-Grundlagen, Teil 2 DLP-Richtlinien – damit Informationen bleiben, wo sie hingehören

Autor / Redakteur: Ursula Zeppenfeld / Stephan Augsten

Der schnelle Zugriff auf Informationen erlaubt zeitnahes Handeln und hohe Flexibilität. Auf der anderen Seite müssen IT-Verantwortliche dabei für ausreichende Sicherheit sorgen. Hier helfen organisatorische Strukturen und Technologien, die die Risiken für Datenlecks minimieren.

Firmen zum Thema

Unterschätzte Gefahr: Die Hauptursachen für Datenverluste liegen meist im Inneren.
Unterschätzte Gefahr: Die Hauptursachen für Datenverluste liegen meist im Inneren.
( Archiv: Vogel Business Media )

IT-Verantwortliche richten ihr Augenmerk in Sachen Bedrohungsschutz seit langem vornehmlich auf Viren, Würmer und Co. und schirmen sich vor allen Dingen gegen die Angreifer von außen ab. Der wirksame Schutz von Daten aber erfordert mehr, als das Netzwerk abzusichern oder Server und Clients nach Viren abzusuchen.

Immerhin geht ein Großteil der Risiken nicht von externen Angreifern aus, sondern von internen Schwachstellen und einer Vielzahl von Fehlern, die meist ohne böse Absicht passieren. Das hat unlängst das englische Beratungs- und Analystenhaus Quocirca festgestellt. Demnach zählen zu den Hauptursachen von Datenverlust das Versehen von Mitarbeitern, eine mangelhafte Ablauforganisation oder Fehler seitens des Managements.

Sicherheitsrichtlinien erstellen

Wer ein Regelwerk zur Datensicherheit etablieren möchte, muss das Rad nicht neu erfinden. Er kann bewährte Standards nutzen. ISO 27001 beispielsweise bietet ein ausgefeiltes Security-Management-System, an dem sich Newcomer in Sachen Security Policy orientieren können. Weitere Regelwerke bieten COBIT (Control Objectives for Information and related Technology) und AICPAs SAS 70 (American Institute of Certified Public Accountants/Statement on Auditing Standards).

Richtlinien differenzieren

Unabhängig davon, auf welchen dieser Standards ein Unternehmen aufbauen möchte, sind zum Erstellen einer Richtlinie folgende Kriterien relevant: Nutzer, Inhalte und Speicherorte inklusive Netzwerkkommunikation sind die Dimensionen, entlang derer die Richtlinien zu formulieren sind.

Allgemeine Regeln wie etwa „Personenbezogene Daten dürfen nicht versendet werden“ sind nicht sinnvoll. Dem Mitarbeiter der Personalabteilung beispielsweise sollte es erlaubt sein, personenbezogene Daten an die Sozialversicherungsträger zu versenden. Die Informationen auf einen USB-Stick oder eine CD zu kopieren will man ihm aber wahrscheinlich nicht gestatten. Und auf einem Desktop des Marketing-Teams haben personenbezogene Daten der Kollegen von vornherein nichts zu suchen.

Allerdings dürfen sich die Richtlinien nicht in der Prävention erschöpfen. Ebenso müssen sie Handlungsanweisungen für den Fall beinhalten, dass trotz aller Präventionsmaßnahmen Daten verloren gehen. So sollten die Richtlinien beispielsweise festlegen, wer bei Datenverlust zu informieren ist, in welchen Fällen die Behörden einzuschalten oder in welcher Form eventuell kompromittierte Personen zu entschädigen sind.

Seite 2: Richtlinien implementieren und Einhaltung kontrollieren

Richtlinien implementieren und deren Einhaltung kontrollieren

Die Richtlinien zu erstellen aber reicht nicht aus. Man muss sie implementieren und ihre Einhaltung überprüfen. Dazu sollten Nutzer regelmäßige Schulungen und Informationen erhalten. Nicht nur das: Idealerweise wird das Know-how der Anwender um eine Technologie ergänzt, die die Einhaltung der Richtlinien kontinuierlich und automatisch überprüft.

Legen beispielsweise die Richtlinien fest, dass Kundendaten nicht per E-Mail versendet werden dürfen, sollte das System automatisch erkennen, wenn ein Nutzer dies trotzdem probiert. Und mehr noch: Das System sollte den Versuch stoppen und die Sicherheitsverantwortlichen darüber informieren.

Zudem kann die Technologie dazu beitragen, die Mitarbeiter zu sensibilisieren, etwa mithilfe einer automatischen Benachrichtigung. Denn der Satz „Sie versuchen gerade, vertrauliche Daten zu versenden“ kann einen unbeabsichtigten Fehler verhindern. Die Nachricht „Sie versuchen gerade, eine veraltete Version dieser Datei zu versenden“ ermöglicht sogar eine automatische Qualitätskontrolle.

Verantwortlichkeiten klar definieren

Nicht zuletzt sollten Unternehmen dafür sorgen, dass die Verantwortlichkeiten bei der Datenverlust-Prävention eindeutig geregelt sind. Denn nur wenn klar ist, wer im Worst Case die Konsequenzen trägt, wird es gelingen, eine wirksame Sicherheitspolitik zu implementieren und kontinuierlich zu aktualisieren.

Dies ist eine Aufgabe, bei der Unternehmen permanent gefordert sind: Ob neue organisatorische Prozesse im Unternehmen oder neue Technologien – jede Innovation muss daraufhin überprüft werden, ob sie den Sicherheitsregeln entspricht.

Fazit

Natürlich kann auch die beste Sicherheitsrichtlinie samt entsprechender Technologie nicht verhindern, dass Daten gestohlen werden. In jedem Fall aber werden sie dazu beitragen, das Sicherheitsniveau im Unternehmen deutlich zu erhöhen. Denn wenn klare Regelungen existieren und kontinuierlich kommuniziert werden, gehen die Mitarbeiter mit sensiblen Daten verantwortungsvoller um – und das Risiko versehentlicher Datenverluste geht zurück.

(ID:2048841)