Hoher Schaden durch Datendiebstahl

Informationen als Unternehmenswerte verstehen


News

Manch Betrachter fühlt sich bei den nicht abreißenden Meldungen über gestohlene Unternehmensdaten unweigerlich an die US-Filmkomödie "Und täglich grüßt das Murmeltier" erinnert. Der kleine Unterschied scheint lediglich darin zu bestehen, dass die Hauptprotagonisten der Déjà-vu-Komik nicht Bill Murray und Andie MacDowell sind. An ihre Stelle treten vielmehr Banken, Kreditkartenfirmen, Telekommunikationsunternehmen, das Militär oder Studentenportale. Und hier hört der Spaß auf. Denn keine Branche bleibt verschont, kein Bereich ist vor Datendiebstahl sicher.

Die durchschnittlichen Gesamtkosten eines Datendiebstahls lagen im Jahr 2008 bei rund 6,6 Millionen Dollar pro Vorfall. Zu diesem Ergebnis kommt eine Studie der PGP Corporation. Die Zahl verdeutlicht den Schaden, der durch Datendiebstahl entstehen kann. Tendenz steigend. Eines ist allen Fällen gemeinsam: Sie haben deutlich gezeigt, welches Ausmaß Datenverlust in Organisationen annehmen kann, wenn der sorglose Umgang mit wichtigen Informationen in den Organisationen Einzug hält. Doch welche Maßnahmen können Unternehmen gegen den unerlaubten Datenabfluss treffen? Die Lösung liegt in einer durchgängigen IT-Sicherheitsstrategie; verstanden als unternehmensweite Herausforderung.

Effizientes Sicherheitsmanagement tut Not

Dirk Thieslack, Geschäftsführer des Dokumenten-Management-Spezialisten it-functionAus Sicht vieler Unternehmen ist vor allem das mangelnde Bewusstsein für einen konsequenten Informationsschutz vor Angriffen von außen und innen problematisch. Dirk Thieslack (Foto), Geschäftsführer des Dokumenten-Management-Unternehmens it-function, erfährt diese Tatsache in vielen Beratungsgesprächen immer wieder: "Aus technologischer Sicht haben viele Unternehmen das Thema IT-Sicherheit in den Griff bekommen. Es gibt eine Vielzahl effizienter und praxiserprobter Sicherheitsprodukte unterschiedlicher Hersteller, die auf die spezifischen Sicherheitsbedürfnisse von Unternehmen ausgerichtet sind." Doch Dirk Thieslack ergänzt: "Aber für eine klare und zukunftsfähige IT-Sicherheitsstrategie im Unternehmen braucht es ein konsequentes Umdenken innerhalb von Organisationen. Denn nur dann können die bestehenden Lösungen auch greifen."

In der Praxis zeigt sich immer wieder, dass das Thema Datensicherheit in seiner Komplexität von den wenigsten Unternehmen tatsächlich begriffen wird. Oder nicht zu verstehen ist. Denn die Anforderungen ändern sich permanent. Und das nicht nur bei externen Bedrohungen durch neue Viren, Trojaner und Würmer, sondern vor allem bei internen Möglichkeiten des Datenmissbrauchs. "Gerade deshalb sollte in allen Unternehmenshierarchien das Bewusstsein für die Bedeutung des Schutzes von Informationen geschärft werden", erklärt Dirk Thieslack.

Aufklären und umdenken im Sinne der Informationssicherheit

Der Schutz von Informationen gehört als strategische Maßnahme und im Sinne des unternehmerischen Gesamterfolgs in der jeweiligen Organisation fest verankert. Denn Informationen stellen Vermögenswerte dar, die von Patenten oder Produktentwicklungen bis hin zu Kundendaten die wahren Schätze der meisten Organisationen bilden. Somit sollten Unternehmen Aufklärungsarbeit über die Folgen von Daten- und Informationsverlusten leisten. Vor allem intern schlummert ein großes Gefahrenpotenzial. Hier sind vielfach externe Spezialisten gefragt, die über den Sinn und Zweck von entsprechenden Lösungen aufklären. Wichtig sei nach Dirk Thieslack eine individuelle Beratung, damit jeder Mitarbeiter den Sicherheitsgedanken verinnerliche und verfolge. Im Klartext: Eine klare und zukunftsfähige IT-Sicherheitsstrategie im Unternehmen braucht neben der jeweiligen Technologie ein konsequentes Umdenken innerhalb von Organisationen. Denn nur so können derartige Lösungen greifen.

Entscheidend für den Einsatz einer Lösung ist die Ist-Situation sowie die jeweilige Branchenanforderung beim Kunden. In jeder Branche gilt es, abhängig von der Unternehmensstruktur, ein individualisiertes Sicherheitskonzept zu entwickeln und in die Gesamtprozesse zu integrieren. Und Dirk Thieslack weiß um die Bandbreite der Anforderungen: "Banken und Versicherungen müssen bestimmte gesetzliche Vorgaben erfüllen und sensible Kundendaten wirksam schützen. Bei der Pharmaindustrie wiederum bestehen aufgrund kostenintensiver Arzneimittelforschungen und patentrechtlich relevanter Aspekte spezielle Anforderungen. Und die Automobilbranche, die seit Jahren verstärkt auf ausländische Produktionsstandorte setzt, muss sich vor Produktpiraterie schützen."

Wichtig bei der Einführung einer unternehmensweiten Sicherheitsstrategie ist eine gut geplante und durchgängige Standardisierung der IT-Prozesse. Nur so reift eine Sicherheitskultur, die einen wirksamen Schutz von Unternehmensinformationen sichert. Das heißt auch, dass Mitarbeiter im Umgang mit Sicherheitslösungen keine Behinderung in ihrem alltäglichen Arbeitsablauf erfahren dürfen. Als wichtiges Element bei der Einführung und Etablierung einer Sicherheitslösung ist die Vermittlung des Mehrwertes und der klare Nutzen für die Arbeitsgemeinschaft in einem Unternehmen. Beispielsweise lassen sich die Vorteile eines elektronischen Versands personalisierter Dokumente mithilfe einer IRM-Technologie (Erklärung zu IRM siehe unten) leicht verdeutlichen. Neben der flexiblen und sicheren Versandmöglichkeit wichtiger Dokumenten per E-Mail, spielt das Thema sinkender Kosten eine wesentliche Rolle. Dirk Thieslack: "Allein die Tatsache, wie viele Papierdokumente bei einzelnen Vertragsentwürfen noch immer geschickt, kopiert oder ausgedruckt werden, verdeutlicht das Einsparpotenzial." Und er ergänzt: "In Summe laufen hier bei einzelnen Vertragsgestaltungen oder wichtigen Dokumentationen schnell riesige Papier-, Versand- und Abwicklungskosten auf. Dabei sind die Folgekosten aufgrund gestohlener Informationen noch nicht berücksichtigt."


Was ist ein Information-Rights-Management(IRM)-System?

Um eine praxistaugliche Lösung Sicherheitslösung in Unternehmen zu etablieren, sehen Experten die Verbindung eines Enterprise Content Management (ECM)-Systems, das für effizientes Datenmanagement sorgt, und einer Information-Rights-Management(IRM)-Lösung, die Unternehmensdokumente schützt. Dabei beginnt ein IRM im Sicherheitskonzept dort, wo der Zugriffsschutz im ECM aufhört. 

Im Kern geht es beim IRM darum, dass Mitarbeiter in den unternehmens- und organisationsinternen Systemen unterschiedliche Rollen und Zugriffsberechtigungen auf digitale Dokumente besitzen. Die digitalen Zugriffsrechte bieten den Vorteil, dass Unternehmen mit der Administration und eindeutigen Rechtvergabe einen Schutz von unternehmensrelevanten Informationen sicherstellen. Selbst wenn einer unautorisierten Person ein elektronisches Dokument vorliegt, schützt eine IRM-Lösung vor Missbrauch. Denn Inhalte lassen sich weder betrachten, noch editieren, kopieren oder drucken. Der Nutzer hat damit genau die Rechte am Dokument, die im ECM für ihn hinterlegt sind. Bei einem "Read-Only" kann der User das Dokument nur lesen und ein bearbeiten oder ausdrucken ist nicht möglich. Beim Entzug der Leserechte lässt sich die Datei auch nicht mehr öffnen – auch wenn sie zum Beispiel auf der Festplatte gespeichert ist. Die dahinter stehende Lösung liegt in einer automatisierten Rechtevergabe. Mit dem Verfahren lassen sich Dokumente gleichzeitig Einzelpersonen eindeutig zuweisen, unterschiedliche Benutzergruppen bis hin zu ganzen Abteilungen berücksichtigen. Ausgestattet mit verschiedenen Lese-, Zugriffs- und Bearbeitungsrechten ist ein Zugriff somit unterschiedlich administrierbar. Lokal oder weltweit. Denkbare Einsätze der IRM-Technologie ergeben sich durch den kostensparenden Versand wichtiger Dokumente per E-Mail, seien es zum Beispiel Frachtpapiere, Vertragswerke, Produktionsdaten oder sensible Kundeninformationen.


[Bildquelle: iStockPhoto]

Kommentare zu diesem Beitrag

oekoek /12.11.2009 22:49
Früher waren Unternehmen von einer kapital- und rohstoffintensiven Produktion geprägt, heute spielen Dienstleistungen und Daten die größere Rolle. Früher wurden Rohstoffe und Fertigerzeugnisse gestohlen, heute Daten. Das ist zunächst nichts was man nicht erwarten sollte. Daten sind Güter oder Unternehmenswerte (s.o.).

Datenschutz ist wichtig und jedes Unternehmen sollte prüfen ob über die gesamte Wertschöpfungskette die Datensicherheit gewährleistet ist. Ob nun jeder ein IRM braucht bei dem im ECM seine Rechte für das CRM hinterlegt werden... na ja? Für F&E-Abteilungen und sont hochsensible Bereiche ist das sinnvoll. Im täglichen Leben und dort wo die Daten zuletzt gestohlen wurden (von Vertriebsmitarbeitern an der Kundenfront wurden Daten gestohlen die sie für den Kern ihrer täglichen Arbeit benötigen) stelle ich mir sowas nur hinderlich vor.

Das erinnert mich ein wenig an die Absicherung von heimischen Netzwerken: Die führt dazu dass man selbst Stunden pro Jahr damit verbringt seinen Rechner nach einem Absturz des Systems oder einen Gastrechner anzumelden. Der Nutzer behindert sich selbst und schafft sich sinnlose und zeitraubende Mehrarbeit, den Hacker stört es dagegen nur wenig...
stillup /16.11.2009 07:01
der staat hat es uns doch vorgemacht, wie man informationen klaut (siehe steuersünder-dvd). was erwartet man nun von den mitarbeitern? der skandal beginnt doch dort, wo der staat uns vorlebt, dass es legitim ist informationen zu klauen und anschliessend auch noch zu geld zu machen ... also eigentlich ist die entwicklung nicht besonders erstaunlich ;-(
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.