Data Loss Prevention (DLP) ist seit Jahren ein Thema in der IT-Abteilung; der Bedarf an Prävention wächst mit dem zunehmenden Einsatz mobiler Endgeräte und unvorsichtiger Mitarbeiter. Immerhin 50 Prozent aller Datenverluste entstehen laut Quocirca Insight Report durch Versehen des Personals. 40 Prozent der von den Marktforschern untersuchten Fälle lassen sich auf Fehler in der Ablauforganisation zurückführen. Lediglich drei Prozent entstehen durch externe Bedrohungen. Ganz oben auf der Liste der häufigsten Gründe für Datenverlust von CHIP steht der leere Akku. Zwar geben Laptops und Co. Warnungen ab, bevor sie sich verabschieden. Wenn die laufende Anwendung nicht beendet, die Datei noch nicht gespeichert wurde, hilft mit etwas Glück noch eine Temp-Datei, die bei der letzten automatischen Speicherung angelegt wurde. Kritisch wird es aber, wenn durch Blitz, Feuer oder Wasser die Endgeräte oder gar der Serverraum zerstört wurden. Dann hilft nur noch der Profi für die physische Datenrettung. Wie aber können Sie sich gegen die zwei häufigsten Gründe für Datenverlust wappnen?
Data Loss Prevention fängt beim Mitarbeiter an und setzt auf Verschlüsselung
Das Bewusstsein für sensible Daten ist bei den Mitarbeitern bis hoch zur Geschäftsleitungsebene meist unterschiedlich ausgeprägt. Erlassen Sie daher zunächst eine Sicherheitsrichtlinie für den Umgang mit den wertvollen Firmendaten. Da Papier aber bekanntlich geduldig ist, sollten Sie als IT-Leiter regelmäßig Schulungen anbieten oder vorschreiben. Außer als Sicherheitsschulung können Sie solche Seminare auch als Softwareschulung verpacken. Denn neben den Regeln bildet die Verschlüsselung Ihrer Daten und der damit verbundenen Kommunikation die zweite Säule der DLP. Und Verschlüsselung ist für die meisten Nutzer kryptisch. Zwar läuft moderne Verschlüsselung für den Nutzer praktisch unbemerkt im Hintergrund ab. Die Vermittlung von Basiswissen über Kryptografie-Programme und wie man sie einsetzt, ist aber gut geeignet, die Sensibilität im Unternehmen für Datensicherheit zu steigern. Zumal Mitarbeiter auch gerne eigene Geräte nutzen, wenn sie beispielsweise im Homeoffice arbeiten oder eigene ungeschützte Endgeräte für Firmenzwecke einsetzen.
Abgestufte Zugriffsberechtigungen
Klassifizieren Sie Ihre Datenbestände nach Wertigkeit und vergeben Sie unterschiedliche Zugriffsrechte. Koppeln Sie diese an die zulässigen Endgeräte. So können Sie vorgeben, dass nur geschultes Personal Datenänderungen auf Rechnern vornehmen darf, die sich innerhalb des Firmennetzwerks befinden. So kann der Außendienst nur Daten einsehen, aber eben nicht ändern. Besonders wichtig ist die Rechtevergabe für die Nutzung sensibler Daten auf mobilen Endgeräten. Generell ist es sinnvoll, die Nutzung kritischer Datenbestände außerhalb des Firmennetzwerks für Laptop, Tablet und Co. komplett auszuschließen. Denn ein sicheres WLAN gibt es nicht. Darüber hinaus sollten Sie über eine Cloud-Lösung für mobile Endgeräte nachdenken, um die Arbeiten Ihrer Kolleginnen und Kollegen regelmäßig zu sichern. Selbstverständlich sollte die Cloud-Lösung standardmäßig mit einer Verschlüsselung arbeiten. Denn so ist der Verlust oder Diebstahl eines Endgerätes gut zu verschmerzen.
Prävention gegen Spionage
Nicht zu unterschätzen sind unzufriedene Mitarbeiter, die kurz vor ihrer Kündigung die Kundendaten oder verwertbares Firmenwissen über Technologien, Software oder Algorithmen ausspionieren und klauen. Je nach Wertigkeit der Firmendaten sollten Sie daher den Kreis der Zugangsberechtigten klein halten. Und je sensibler der Datenbereich ist, desto wichtiger ist eine gründliche Mitarbeiterüberprüfung. Jeder Geheimnisträger sollte bereits mit dem Arbeitsvertrag informiert werden, dass sein E‑Mail-Account überprüft werden darf. Alle externen Speichermöglichkeiten an Arbeitsplatzrechnern, auf denen sensible Daten bearbeitet werden, sollten Sie deaktivieren. Schließen Sie auch alle USB-Ports und seriellen Schnittstellen und bauen Sie die CD- beziehungsweise DVD-Brenner aus. Gleiches gilt für Scan-Funktionen an Druckern: deaktivieren. Jede Datenbearbeitung sollten Sie mit Zeit und Nutzernamen automatisch dokumentieren. Wenn Sie ein zentrales Zutrittssystem für Ihre Büros und Drucker haben, sollten Sie jeden Druckvorgang mit Nutzername, Dateiname, Zeit und Seitenzahl registrieren. Sperren Sie darüber hinaus alle Webmailer-Anwendungen wie web.de oder hotmail.com. Und so wertvoll Cloud-Dienste für den Außendienst auch sind: Bei Rechnern zur Bearbeitung sensibler Daten sollten diese abgeschaltet sein. So stellen Sie sicher, dass Ihre Daten auch geschützt sind vor unzufriedenen Mitarbeitern. Und wenn mal etwas passiert, haben Sie durch die Dokumentation aller Nutzungsarten auch gute Karten für die Beweisführung vor Gericht.
