Aktives Risikomanagement als Basis für Informationsintegrität im Mittelstand

Gesetzliche Regelungen zum Schutz der Unternehmensdaten

19.11.2006 | Autor / Redakteur: Olaf Lindner, Director Symantec Security Services / Achim Karpf

Der Schutz von Unternehmensdaten ist längst von der Kür zur Pflicht avanciert – Informationen gelten als Wettbewerbsfaktor Nummer Eins. Unternehmen müssen heute in der Lage sein, alle relevanten Informationen sowohl sicher als auch für den autorisierten Zugriff verfügbar zu machen. Doch was auf den ersten Blick recht einfach und selbstverständlich erscheint, ist bei näherer Betrachtung eine der dringendsten Herausforderungen an die IT eines Unternehmens: Nämlich dafür zu sorgen, dass die richtigen Informationen zur richtigen Zeit am richtigen Platz verfügbar sind und dabei gleichzeitig vor Missbrauch, Diebstahl und Verfälschung geschützt sind. Ein aktives Risikomanagement ist dazu unerlässlich, bringt jedoch eine ganze Reihe von relevanten Faktoren mit sich, die es zu beachten gilt.

So existiert eine Vielzahl von gesetzlichen Regelungen und Anforderungskatalogen über den Umgang mit Unternehmensdaten sowie ihre Sicherheit und Sicherung. Die Umsetzung dieser Regelungen wird in den meisten Unternehmen zu einem erhöhten IT-Aufwand führen. Die zentrale Frage dabei ist, ob und inwieweit die verschiedenen gesetzlichen Bestimmungen direkten Handlungsbedarf für die IT nach sich ziehen. Reicht ein einmal eingeführtes Sicherheitskonzept aus, um die gesetzlichen Anforderungen nach Kontrolle und Transparenz auf Dauer zu erfüllen? Welche weiteren Bestimmungen außer der nationalen Gesetzgebung gibt es, die für deutsche Unternehmen relevant sein könnten?

Es sind nicht mehr nur nationale Gesetze, die bei deutschen Unternehmen zur Anwendung kommen. Längst geben EU-Richtlinien die Richtung vor, die – zwar zeitverzögert, aber dennoch zuverlässig – in nationale Gesetze umgemünzt werden. Die EU-Datenschutzrichtlinie für elektronische Kommunikation beispielsweise, verkürzend auch die Anti-Spam-Richtlinie genannt, enthält grundlegende Bestimmungen, die die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU – einschließlich des Internets und mobiler Dienste – gewährleisten sollen.

Insbesondere Unternehmen, zu deren Geschäftstätigkeit das Verwalten von Kundendaten gehört, sind von der EU-Richtlinie betroffen. Hier wird Datenschutz als eine Sonderform des Verbraucherschutzes begriffen. Tatsächlich erwarten immer mehr Kunden, dass ihre persönlichen Daten sorgsam behandelt werden. Bestimmungen zum Datenschutz sollten daher nicht als lästiges Übel angesehen werden, sondern als Ansporn für Unternehmen, Vertraulichkeit als Wettbewerbsvorteil zu nutzen.

Kleine und mittelständische Unternehmen im Visier professioneller Hacker

Vor allem kleine und mittelständische Unternehmen sind immer größeren Sicherheitsrisiken ausgesetzt und stehen dem aktuellen Symantec Internet Security Threat Report (ISTR) zufolge im Visier professioneller Hacker. Diese wenden sich demnach von spektakulären Offensiven gegen große Netzwerke ab und wählen statt dessen immer häufiger kleinere, womöglich schlechter geschützte Angriffsziele, um dabei mitunter sogar missliebige Konkurrenten auszuschalten oder um Schutzgelder zu fordern.

Die Ergebnisse zeigen, dass BotNets und im Zusammenhang damit die Zunahme an Distributed-Denial-of-Service-Angriffen (DDoS-Attacken) weiterhin ein Sicherheitsproblem darstellen. Ein BotNet ist ein Verbund von mehreren tausend Rechnern, die durch spezielle Schadprogramme, so genannte Bots, von Hackern ferngesteuert werden – ohne Wissen des PC-Nutzers. Sie können eine Flut von Anfragen auf Server auslösen und sie so sehr überlasten, dass diese zusammenbrechen, zum Beispiel Webseiten nicht mehr erreichbar sind. Das bedeutet eine direkte Geschäftsschädigung für Unternehmen, die das Internet zum Beispiel als Vertriebskanal nutzen.

Hinzu kommt, dass es gerade in mittelständischen Unternehmen leider oftmals noch am Bewusstsein für die eventuellen Folgen von Internet-Attacken fehlt. Häufig herrscht die Meinung vor, dass ein effektiver Schutz kostenintensiv und kompliziert in der Umsetzung ist. Die eigenen IT-Administratoren verfügen oftmals nicht über ein ausreichendes Sicherheits-Know-how. Eigene Sicherheitsspezialisten – wie in Konzernen üblich – rechnen sich erst ab einer bestimmten Unternehmensgröße.

Doch im Grunde genommen müssen sich kleine und mittelständische Unternehmen genauso schützen wie Konzerne – nur meistens mit sehr viel geringerem Budget. Entsprechend hoch ist der Automatisierungsgrad, der durch effektive Sicherheits- und Sicherungslösungen erreicht werden muss.

Denn neben den gesetzlichen Auflagen zum Umgang mit unternehmenskritischen Informationen sind Datenverluste mit hohen finanziellen Einbußen verbunden, wenn zum Beispiel Firmengeheimnisse ausgespäht werden, Arbeitszeit verloren geht, Ausfallzeiten die Geschäfte auf Eis legen oder eine fehler¬hafte Auftragsbearbeitung die Kunden verunsichert. Nicht zu unterschätzen ist zudem der Imageverlust bei Kunden oder Geschäftspartnern, die eigene sensible Daten in den falschen Händen glauben.

Schutz vor Missbrauch, Diebstahl und Manipulation

Um den Anforderungen im Bereich IT-Sicherheit kosteneffizient entsprechen zu können, sollten kleine und mittlere Unternehmen genauso wie globale Konzerne ihre Sicherheitssysteme von Grund auf richtig konzipieren. Bei der Planung, Umsetzung und Kontrolle der Sicherheitsinfrastrukturen kann Expertenhilfe eine lohnende Investition sein. Nur durch eine übergreifende Sicherheitsstrategie in Kombination mit genau aufeinander abgestimmten Firewalls, Virenschutz- und Intrusion Detection-Systemen auf sämtlichen Netzwerkebenen kann der maximale Schutz aller Daten vor Missbrauch, Diebstahl und Manipulation bei minimalem Personal- und Zeitaufwand garantiert werden.

Eine Firewall sorgt dafür, dass kein unliebsamer Besuch Zutritt ins Netzwerk erhält. Ein leistungsstarkes Virenschutz-System hält schadhaften Code fern. Aufgrund neuer Viren ist die regelmäßige Aktualisierung der Virensignaturen unerlässlich. Entsprechend empfiehlt sich der Einsatz einer Lösung, die eine Funktion zur automatischen Aktualisierung der Virendefinitionen, wie zum Beispiel die Symantec LiveUpdate Funktion, hat. Zu empfehlen ist auch ein Spam-Filter, gegebenenfalls mit Anti-Phishing-Funktion. Er blockt die Werbeflut, die das elektronische Postfach verstopft und wertvolle Zeit raubt. Außerdem lassen sich Werbebanner und störende Pop-up-Fenster während der Internetrecherche unterbinden. Wichtig bei einem Spam-Filter ist, dass er nicht aus Versehen geschäftsrelevante E-Mails blockt. Zu guter Letzt erkennt ein so genanntes Intrusion Detection System (IDS) verdächtige oder riskante Verbindungen und nicht autorisierte Zugriffe.

Neben dem Einsatz aktueller technischer Schutzmaßnahmen müssen auch Sicherheitslücken regelmäßig geschlossen werden. Hersteller stellen dafür in der Regel Patches bereit, die immer auf dem neuesten Stand sein sollten.

Die größte Gefahr im Umgang mit dem Internet stellt jedoch der Faktor Mensch dar. Schulungsprogramme, die Mitarbeitern Schritt für Schritt die Wichtigkeit der IT-Sicherheit erläutern, helfen dabei, dass jeder im Unternehmen zur Datensicherheit beiträgt.

Das Formulieren einer Richtlinie zur Datensicherheit im Unternehmen schärft zum einen das Bewusstsein und gibt zum anderen wichtige Hinweise zum korrekten Umgang mit Internet, E-Mail-Verkehr, vertraulichen Geschäftsinformationen und Passwörtern.

Sämtliche Sicherheitsmaßnahmen sollten um eine Betriebsvereinbarung zur Internetnutzung ergänzt werden. Diese regelt zum Beispiel die Filterung, Aufzeichnung und Einsichtnahme von Protokolldaten, definiert die Rechte und Pflichten der Belegschaft und dient auch dem Schutz des Unternehmens und seiner Mitarbeiter vor Gesetzesverstößen. Schließlich ist der Internetzugang ein Geschäftsinstrument, das Unternehmen mit einem erheblichen finanziellen Aufwand bereitstellen und das in der Regel ausschließlich zur beruflichen Nutzung vorgesehen ist.

Garantierte Verfügbarkeit mit Continuous Data Protection (CDP)

Neben der Sicherheit von Daten spielt ihre Sicherung eine mindestens genauso wichtige Rolle. Nicht nur durch den stetig ansteigenden E-Mail-Verkehr steigen die Datenvolumina in Unternehmen unaufhaltsam an, auch die Zeitfenster für die Durchführung von Backups werden zunehmend kleiner, um die Geschäftstätigkeit nicht negativ zu beeinflussen. Hinzu kommt, dass aber auch die Verwaltung von Backups und die Wiederherstellung von Daten nach Systemabstürzen immer komplexer und zeitintensiver werden. Entsprechend hoch sind auch die Anforderungen an die Speichersysteme. Kaum ein Unternehmen wird in Zukunft mehr bereit sein, aufgrund von unzureichenden Speicher- und Sicherungssystemen Abstriche bei der Verfügbarkeit der Daten zu machen, vielmehr erwarten sie eine zuverlässige Sicherung sowie einen jederzeit schnellen Zugriff auf alle relevanten Daten und Informationen. Dabei mag es für ein Unternehmen unter Umständen ausreichend sein, wenn es Daten wieder herstellen kann, die am Vortag gesichert wurden. Für bestimmte Branchen – in denen beispielsweise die Rechnungsstellung in Echtzeit rund um die Uhr läuft – kann allerdings schon der Verlust von Daten, die innerhalb einer Stunde erstellt oder geändert wurden, zu hohen Umsatzeinbußen führen.

Mit der kontinuierlichen Sicherung von Daten, auch Continuous Data Protection (CDP) genannt, wird ein neuer Ansatz verfolgt, bei dem die digitalen Informationen nicht zu fest vorgegebenen Zeiten vollständig oder teilweise gesichert werden, sondern laufend und automatisiert nach jeder Änderung in einer Datei. Damit verschwinden die „klassischen“ Backup-Fenster, die in der Vergangenheit Geschäftsabläufe mitunter beeinträchtig haben. Darüber hinaus wird das Risiko eines Datenverlustes durch die Sicherung in Echtzeit massiv verringert.

Diese kontinuierliche Datensicherung bringt vor allem auch bei Angriffen durch Schadprogramme auf IT-Systeme erhebliche Vorteile. Im Falle eines Angriffs, beispielsweise durch einen gerade erst in Umlauf gebrachten neuen Virus oder Trojaner, auf den die IT-Sicherheitssysteme noch nicht vorbereitet sind, kann es oft einige Zeit dauern, bis die Infizierung überhaupt registriert wird und entsprechende Gegenmaßnahmen eingeleitet werden können. Dank der kontinuierlichen Sicherung der Daten sowie deren Rücksicherung über zuvor erstellte regelmäßige Abbildungen des Systems, so genannte Snapshots, ist es möglich, die zuletzt gespeicherte, „saubere“ Version der angegriffenen Datei wiederherzustellen.

Gerade für äußerst geschäftskritische Daten scheint eine kontinuierliche Datensicherung unerlässlich. Da jede Änderung des Datensatzes sofort gesichert wird, ist der Verlust von Informationen bei einem Systemabsturz minimal. Allerdings stellt Continuous Data Protection nur einen Teil einer umfassenden Backup-Strategie dar. Unternehmen tun gut daran, ihre Daten zusätzlich nach wie vor zu Auslagerungszwecken auch auf Bändern abzusichern. Letztlich ist dies auch eine Kostenfrage, sind Festplattenspeicher doch teurer als Speicherbänder. So empfehlen sich aufgrund der schrumpfenden Backup-Fenster teurere Disk-Technologien, die dafür aber eine schnelle Speicherung und Wiederherstellung der Daten gewährleisten. Für die Langzeitarchivierung sowie für das Disaster Recovery sollten Daten zusätzlich auch noch auf kostengünstigere und auslagerungsfähige Bänder gespeichert werden.

Eine integrierte CDP-Lösung – wie beispielsweise Symantec BackupExec 10d – sichert die Daten kontinuierlich auf Festplatte. In einem zweiten Schritt können diese dann zur vollständigen Sicherung auf Bänder abgespeichert und an einem separaten Ort gelagert werden. So werden Daten umfassend gesichert und können in Extremfällen von unterschiedlichen Medien wieder hergestellt werden. Mitarbeiter haben über Symantec BackupExec 10d die Möglichkeit, die gewünschte Version einer gesicherten Datei über einen bedienerfreundlichen Webbrowser selbst zu suchen und schnellstmöglich wiederherzustellen – was sowohl den IT-Administratoren als auch den Anwendern viel Zeit und auch Nerven erspart.

Fazit

Sicherheit und Sicherung von Daten und Informationen: Was auf den ersten Blick recht einfach und selbstverständlich erscheint, ist bei näherer Betrachtung alles andere als trivial – nicht zuletzt auch deshalb, weil sich beide Faktoren gegenseitig direkt beeinflussen. Informationssicherheit ohne Verfügbarkeit ist kontraproduktiv, denn was nutzen relevante Informationen, wenn sie nicht zur Verfügung stehen?

Verfügbarkeit ohne Sicherheit hingegen ist geschäftsschädigend, da Daten und Informationen, die den falschen Personen zugänglich sind oder manipuliert wurden, unzuverlässig und wertlos sind.

Ziel ist es, innerhalb eines Unternehmens IT-Infrastrukturen zu schaffen, die sich flexibel und automatisch unterschiedlichen Risikosituationen und Geschäftsanforderungen anpassen. Derartige widerstandsfähige Infrastrukturen sind geeignet, Bedrohungen und Engpässe frühzeitig zu erkennen und Geschäftsunterbrechungen zu vermeiden. Zugleich verhelfen sie Unternehmen, ihre IT-Systeme optimal auszunutzen und verbessern somit ihre Effizienz. Die Einführung und Umsetzung eines umfassenden Risikomanagements ist dazu unerlässlich – dabei kann externe Unterstützung durch ein auf IT-Sicherheit spezialisiertes Beratungsunternehmen bei der Planung, Umsetzung und Kontrolle der entsprechenden Infrastrukturen gerade für mittelständische Unternehmen eine lohnende Investition sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000945 / Risk Management)