Viel häufiger als durch Naturkatastrophen oder Unfälle verlieren Unternehmen und Behörden Daten durch Hackerangriffe, Spionage, Viren und – besonders häufig – durch menschliches Fehlverhalten. Vor allem Daten, die zwischen Organisationen ausgetauscht werden, sind gefährdet, weil sie während und nach dem Transport nicht ausreichend geschützt sind.

Nur 15 Prozent der Datenverluste von Unternehmen sind auf Naturkatastrophen zurückzuführen. Das ist das Ergebnis der Studie „Data Protection Survey: Data Vulnerability“, die Speicherspezialist Quantum im Juli 2012 veröffentlichte. Sehr viel häufiger gaben die 500 Befragten aus USA, Europa und dem asiatisch-pazifischen Raum als Ursache Virus-Attacken (50 %), Betriebssystemfehler (48 %), verlorene, beziehungsweise gestohlene Endgeräte (29 %) oder Hackerangriffe (27 %) sowie das versehentliche Löschen von Daten (26 %) an.

Informationen fließen am ehesten illegal ab, wenn sie die geschützte Infrastruktur verlassen. (Bild: iStock/MBPHOTO, INC.)

Informationen fließen am ehesten illegal ab, wenn sie die geschützte Infrastruktur verlassen.
(Bild: iStock/MBPHOTO, INC.)

Dabei hielten 67 Prozent ihre Daten „irgendwie“ bis „sehr“ gefährdet. Als Auswirkungen befürchten die meisten Betriebsverzögerungen oder -unterbrechungen sowie Umsatzverluste.

Verlorene Daten und ihre Wiederherstellung sind dabei die eine Sache, absichtlich gestohlene beziehungsweise ausspionierte Daten eine ganz andere. Befürchten Unternehmen bei Datenverlusten Betriebsstörungen oder gar Unterbrechungen, müssen Sie im Fall von Datendiebstahl oder Manipulation damit rechnen, dass Konkurrenten oder aber ausländische Geheimdienste ihre vertraulichen Daten kennen und Betriebsgeheimnisse wie Konstruktionspläne neuer Produkte, Rezepturen neuer Medikamente oder Übernahmepläne gegen sie einsetzen.

Dabei sind keineswegs nur Unternehmen betroffen. Auch Behörden, Polizei, Zoll oder Armee können Ziele sein. So wurde im vergangenen Jahr bekannt, wie sich ein Lobbyist der Pharmaindustrie jahrelang Daten aus dem Bundesgesundheitsministerium über einen „Maulwurf“ besorgte, der beim IT-Dienstleister des Ministeriums arbeitete. Viele Staaten sind sich der Gefahr durchaus bewusst und steuern gegen.

Allerdings haben weder Wissenschaft, Politik oder Wirtschaft mit dem Ausmaß gerechnet, mit dem US-amerikanische und britische Geheimdienste Telefon- und Internetmetadaten global sammeln. Ihre Programme PRISM, Tempora und zuletzt XKeyscore haben für weltweite Aufregung gesorgt. Bekannt gemacht hat diese Programme der freie Mitarbeiter der National Security Agency (NSA), Edward Snowden.

Die Snowden-Affäre verdeutlicht mehrere Sicherheitsprobleme:

  • Die Daten von Unternehmen können, besonders wenn sie in den Clouds amerikanischer Anbieter gespeichert und verarbeitet werden, durchaus von US-Geheimdiensten eingesehen werden.
  • Auch andere Geheimdienste betreiben offenbar Datenausspähung im großen Stil, wie zum Beispiel das Glasfaserabhörprogramm Tempora des britischen Geheimdienstes Government Communications Headquarters (GCHQ) beweist.
  • Daten und Informationen, die den gesicherten Perimeter des Unternehmens verlassen sind besonders gefährdet.
  • Das sogenannte Safe Harbour Abkommen zwischen den USA und der EU reicht nicht aus, um die Personen bezogenen Daten von EU-Bürgern und -Unternehmen zu schützen, da sich die Geheimdienste offenbar nicht an dieses ausgehandelte 7-Punkte-Programm halten.

Dabei sollten sich Unternehmen allerdings bewusst sein, dass von westlichen Geheimdiensten nur ein vergleichsweise geringes Risiko ausgeht. Insgesamt sind laut der repräsentativen Studie „Industriespionage 2012“ von Corporate Trust die eigenen Mitarbeiter die häufigste Ursache für Datenverluste und Informationsabfluss, gefolgt von konkurrierenden Unternehmen, Kunden oder Lieferanten. Erst danach folgen ausländische Nachrichtendienste, Hacker, Berater und organisierte Kriminelle.

Insgesamt sehen die Autoren der Studie die Sicherheitsvorkehrungen der Unternehmen für nicht ausreichend an, um sich effektiv gegen Cyber-Spionage zu wehren. „Zwar schützen 90 Prozent der Unternehmen ihre Endgeräte und Netzwerke durch Passworte gegen Angriffe von außen, jedoch nur 18,9 Prozent verschlüsseln ihren E-Mail-Verkehr“, berichtet Christian Schaaf, Geschäftsführer Corporate Trust.

Informationen fließen am ehesten illegal ab, wenn sie die geschützte Infrastruktur des eigenen Unternehmens verlassen. Die zunehmende Nutzung mobiler Geräte und neue, digitale Formen der Zusammenarbeit über Unternehmens- und Landesgrenzen hinweg erhöhen die Menge der transportierten Daten enorm.

Der Verlust sensibler Informationen kann katastrophale Auswirkungen haben. (Bild: iStock/acilo-photography)

Der Verlust sensibler Informationen kann katastrophale Auswirkungen haben.
(Bild: iStock/acilo-photography)

Deshalb sind Schutzmechanismen wie das sogenannte Shielding, das zur Verfügung stellen sicherer Datenräume, die revisionssichere Protokollierung von Manipulationen, Kopieren und Downloaden von Daten und Dokumenten sowie leicht zu handhabende, sichere Zugangsberechtigungen so wichtig geworden wie der Schutz des eigenen Netzwerks. Der Münchener Anbieter Brainloop stellt zum Beispiel seinen Kunden auf einer webbasierten Plattform sichere Datenräume für den Austausch sensibler Informationen auf dedizierten Servern in sicherheitszertifizierten deutschen Rechenzentren zur Verfügung: „Die Brainloop-Plattform wurde in der Vergangenheit von Kunden häufig für spezielle Anwendungsszenarien wie in der Vorstands- und Aufsichtskommunikation oder im Rahmen von Firmenübernahmen oder One-Dilignence-Prüfungen eingesetzt. Heute sind Unternehmen deutlich sensibilisierter und bieten unsere Lösung auch als unternehmensweite Plattform zum Austausch von vertraulichen Informationen an“, beschreibt Bernhard Wöbker, CEO bei der Brainloop AG, die Entwicklung.

Wenn sensible Daten zwischen verschiedenen Personen über Unternehmens- und Landesgrenzen hinweg ausgetauscht werden, müssen sie mit speziellen Verfahren bei Transport und Weiterverarbeitung geschützt werden. Ein solcher Informationsschutz beinhaltet unter anderem:

  • 2-Faktor-Authentifzierung z. B. über ein Benutzer-Passwort und eine SMS-Tan.
  • Verschlüsselung: vertrauliche Dokumente werden auf dem Server verschlüsselt abgelegt und jede Datenübertragung (Datei öffnen, Up- und Download, Versand per E-Mail) wird automatisch verschlüsselt.
  • Shielding: IT-Abteilung und IT-Provider dürfen keinen Zugriff auf die Daten erlangen. Das muss durch konsequente Trennung von Anwendungs- und Systemadministration sowie integrierte Freigabeprozesse mit Vier-Augen-Prinzip für sicherheitsrelevante Administrationsfunktionen sichergestellt sein.

Wenn Unternehmen und Behörden nicht nur die Infrastruktur schützen, sondern auch die Daten selbst absichern und die sensibelsten Informationen zusätzlich zum eigenen Rechenzentrum etwa auf Plattformen deutscher Anbieter speichern, reduzieren sie das Risiko von Datenverlusten mit katastrophalen Auswirkungen erheblich – gleichgültig ob diese absichtlich oder versehentlich herbeigeführt wurden.

Anschrift des Verfassers:

witte_webChristoph Witte
Amslerstraße 2 b, 80992 München
Tel.: 089 / 14325552
E-Mail: cwitte@wittcomm.de

 

Christoph Witte
Publizist, Sprecher und Berater

1995 – 2009: Chefredakteur und Herausgeber für die Computerwoche;  Aufbau einer der meist bekannten und respektierten Online-Plattformen für IT-Entscheider und IT-Professionals in Anwenderunternehmen; Aufbau der Event-Plattform der Computerwoche
2001: Mitbegründer des CIO Magazins
2001 – 2006: Herausgeber des CIO Magazins
2009: Gründung der Agentur ­Wittcomm (IT/Publishing/­Kommu­nikation); hierbei bündelte er seine vielfältigen Aktivitäten als Autor, Blogger, Microblogger (Twitter), Sprecher, PR- und Kommunikationsberater