Daten­ver­lust – was nun?

1. Oktober 2015
Kun­den­da­ten sind ein Ver­mö­gen wert. Buch­hal­tungs­da­ten, Kon­struk­ti­ons­pläne, Fir­men­soft­ware und Algo­rith­men sowie steu­er­recht­lich zu archi­vie­rende Unter­la­gen sind uner­setz­lich. Erst mit dem Ver­lust sol­cher Daten wis­sen Geschäfts­lei­tung und Mit­ar­bei­ter zu schät­zen, was Sie in der IT-Abtei­lung alles leis­ten: Sie hal­ten ihre Schutz­pro­gramme auf dem Lau­fen­den, fah­ren regel­mä­ßig red­un­dante Back­ups, schüt­zen ihre Rech­ner mit Pass­wör­tern. Was aber machen Sie gegen einen klas­si­schen Fest­plat­ten­crash, wenn die Daten noch nicht gesi­chert sind?

Data Loss Pre­ven­tion (DLP) ist seit Jah­ren ein Thema in der IT-Abtei­lung; der Bedarf an Prä­ven­tion wächst mit dem zuneh­men­den Ein­satz mobi­ler End­ge­räte und unvor­sich­ti­ger Mit­ar­bei­ter. Immer­hin 50 Pro­zent aller Daten­ver­luste ent­ste­hen laut Quo­circa Insight Report durch Ver­se­hen des Per­so­nals. 40 Pro­zent der von den Markt­for­schern unter­such­ten Fälle las­sen sich auf Feh­ler in der Ablauf­or­ga­ni­sa­tion zurück­füh­ren. Ledig­lich drei Pro­zent ent­ste­hen durch externe Bedro­hun­gen. Ganz oben auf der Liste der häu­figs­ten Gründe für Daten­ver­lust von CHIP steht der leere Akku. Zwar geben Lap­tops und Co. War­nun­gen ab, bevor sie sich ver­ab­schie­den. Wenn die lau­fende Anwen­dung nicht been­det, die Datei noch nicht gespei­chert wurde, hilft mit etwas Glück noch eine Temp-Datei, die bei der letz­ten auto­ma­ti­schen Spei­che­rung ange­legt wurde. Kri­tisch wird es aber, wenn durch Blitz, Feuer oder Was­ser die End­ge­räte oder gar der Ser­ver­raum zer­stört wur­den. Dann hilft nur noch der Profi für die phy­si­sche Daten­ret­tung. Wie aber kön­nen Sie sich gegen die zwei häu­figs­ten Gründe für Daten­ver­lust wappnen?

Data Loss Pre­ven­tion fängt beim Mit­ar­bei­ter an und setzt auf Verschlüsselung

Das Bewusst­sein für sen­si­ble Daten ist bei den Mit­ar­bei­tern bis hoch zur Geschäfts­lei­tungs­ebene meist unter­schied­lich aus­ge­prägt. Erlas­sen Sie daher zunächst eine Sicher­heits­richt­li­nie für den Umgang mit den wert­vol­len Fir­men­da­ten. Da Papier aber bekannt­lich gedul­dig ist, soll­ten Sie als IT-Lei­ter regel­mä­ßig Schu­lun­gen anbie­ten oder vor­schrei­ben. Außer als Sicher­heits­schu­lung kön­nen Sie sol­che Semi­nare auch als Soft­ware­schu­lung ver­pa­cken. Denn neben den Regeln bil­det die Ver­schlüs­se­lung Ihrer Daten und der damit ver­bun­de­nen Kom­mu­ni­ka­tion die zweite Säule der DLP. Und Ver­schlüs­se­lung ist für die meis­ten Nut­zer kryp­tisch. Zwar läuft moderne Ver­schlüs­se­lung für den Nut­zer prak­tisch unbe­merkt im Hin­ter­grund ab. Die Ver­mitt­lung von Basis­wis­sen über Kryp­to­gra­fie-Pro­gramme und wie man sie ein­setzt, ist aber gut geeig­net, die Sen­si­bi­li­tät im Unter­neh­men für Daten­si­cher­heit zu stei­gern. Zumal Mit­ar­bei­ter auch gerne eigene Geräte nut­zen, wenn sie bei­spiels­weise im Home­of­fice arbei­ten oder eigene unge­schützte End­ge­räte für Fir­men­zwe­cke einsetzen.

Abge­stufte Zugriffsberechtigungen

Klas­si­fi­zie­ren Sie Ihre Daten­be­stände nach Wer­tig­keit und ver­ge­ben Sie unter­schied­li­che Zugriffs­rechte. Kop­peln Sie diese an die zuläs­si­gen End­ge­räte. So kön­nen Sie vor­ge­ben, dass nur geschul­tes Per­so­nal Daten­än­de­run­gen auf Rech­nern vor­neh­men darf, die sich inner­halb des Fir­men­netz­werks befin­den. So kann der Außen­dienst nur Daten ein­se­hen, aber eben nicht ändern. Beson­ders wich­tig ist die Rech­te­ver­gabe für die Nut­zung sen­si­bler Daten auf mobi­len End­ge­rä­ten. Gene­rell ist es sinn­voll, die Nut­zung kri­ti­scher Daten­be­stände außer­halb des Fir­men­netz­werks für Lap­top, Tablet und Co. kom­plett aus­zu­schlie­ßen. Denn ein siche­res WLAN gibt es nicht. Dar­über hin­aus soll­ten Sie über eine Cloud-Lösung für mobile End­ge­räte nach­den­ken, um die Arbei­ten Ihrer Kol­le­gin­nen und Kol­le­gen regel­mä­ßig zu sichern. Selbst­ver­ständ­lich sollte die Cloud-Lösung stan­dard­mä­ßig mit einer Ver­schlüs­se­lung arbei­ten. Denn so ist der Ver­lust oder Dieb­stahl eines End­ge­rä­tes gut zu verschmerzen.

Prä­ven­tion gegen Spionage

Nicht zu unter­schät­zen sind unzu­frie­dene Mit­ar­bei­ter, die kurz vor ihrer Kün­di­gung die Kun­den­da­ten oder ver­wert­ba­res Fir­men­wis­sen über Tech­no­lo­gien, Soft­ware oder Algo­rith­men aus­spio­nie­ren und klauen. Je nach Wer­tig­keit der Fir­men­da­ten soll­ten Sie daher den Kreis der Zugangs­be­rech­tig­ten klein hal­ten. Und je sen­si­bler der Daten­be­reich ist, desto wich­ti­ger ist eine gründ­li­che Mit­ar­bei­ter­über­prü­fung. Jeder Geheim­nis­trä­ger sollte bereits mit dem Arbeits­ver­trag infor­miert wer­den, dass sein E‑Mail-Account über­prüft wer­den darf. Alle exter­nen Spei­cher­mög­lich­kei­ten an Arbeits­platz­rech­nern, auf denen sen­si­ble Daten bear­bei­tet wer­den, soll­ten Sie deak­ti­vie­ren. Schlie­ßen Sie auch alle USB-Ports und seri­el­len Schnitt­stel­len und bauen Sie die CD- bezie­hungs­weise DVD-Bren­ner aus. Glei­ches gilt für Scan-Funk­tio­nen an Dru­ckern: deak­ti­vie­ren. Jede Daten­be­ar­bei­tung soll­ten Sie mit Zeit und Nut­zer­na­men auto­ma­tisch doku­men­tie­ren. Wenn Sie ein zen­tra­les Zutritts­sys­tem für Ihre Büros und Dru­cker haben, soll­ten Sie jeden Druck­vor­gang mit Nut­zer­name, Datei­name, Zeit und Sei­ten­zahl regis­trie­ren. Sper­ren Sie dar­über hin­aus alle Web­mailer-Anwen­dun­gen wie web.de oder hotmail.com. Und so wert­voll Cloud-Dienste für den Außen­dienst auch sind: Bei Rech­nern zur Bear­bei­tung sen­si­bler Daten soll­ten diese abge­schal­tet sein. So stel­len Sie sicher, dass Ihre Daten auch geschützt sind vor unzu­frie­de­nen Mit­ar­bei­tern. Und wenn mal etwas pas­siert, haben Sie durch die Doku­men­ta­tion aller Nut­zungs­ar­ten auch gute Kar­ten für die Beweis­füh­rung vor Gericht.