Der finanzielle Schaden durch Datenverlust bewegt sich auf Rekordniveau. Analysten beziffern die Kosten pro verlorenen Datensatz im internationalen Durchschnitt auf 157 Euro, sogar 224 Euro bei sensiblen Daten. Im Durchschnitt seien im vergangenen Jahr in großen Unternehmen 5,3 Millionen Euro Schaden entstanden, so Ernst & Young. Aus Sicht der Wirtschaftsprüfer und Berater ein alarmierender Befund: „Das Schlimme ist: Viele Datenverluste werden noch nicht einmal bemerkt“, sagt Olaf Riedel, Partner bei Ernst & Young. „Eine wirkungsvolle Prävention gelingt also nur durch die Entwicklung einer perfekt abgestimmten Strategie und der Installation vielschichtiger Kontrollen.“ In einer Studie gibt Ernst & Young den Anwendern eine Liste mit zehn Tipps an die Hand, die beim Schutz vor diesem sich verschärfenden Problem helfen.
In der IT-Landschaft entstehen ständig neue Risiken durch die steigende Zahl der Übertragungsmethoden, Speichermöglichkeiten auf kleinstem Raum und die Unübersichtlichkeit der Verteilung. „Bereits in zehn Jahren wird es 44 Mal so viele digitale Informationen geben wie heute, nämlich 35 Zettabyte, also 35 Billionen Gigabyte“, schätzt Riedel. Mit steigender Zahl der Informationen werde es dann auch zu wesentlich mehr Datenverlusten kommen, deren Auswirkungen auf die Wirtschaft heute noch nicht überschaubar seien. „Verhindern können Unternehmen den Verlust ihrer wertvollen Daten nur, wenn die Prävention zum klaren Geschäftsziel wird“, so der Analyst weiter.
Ein ganzheitlicher Präventionsansatz muss nach Einschätzung von Ernst & Young auf vier Säulen ruhen: Datenkontrolle, Datenschutzüberwachung, Support der Informationssicherheitsprozesse und technologischer Unterstützung des Datenschutzprogramms. Auf dieser Basis haben die Berater ihre zehn konkreten Empfehlungen für die Unternehmen aufgestellt.
1. Eigene Daten identifizieren und klassifizieren: Ein Dateninventar, das ein Klassifikationsraster mit den spezifischen Daten in der IT-Infrastruktur und im Austausch mit Dritten verknüpft, helfe bei der Aufstellung eines Data Loss Prevention Programs (DLP), so Ernst & Young.
2. View-Only-Zugänge kritisch bewerten: Viele Zugriffsrechte sind ursprünglich so eingerichtet worden, dass nur ein kleiner Mitarbeiterkreis die für sie relevanten Daten betrachten und lesen konnte – in der Annahme, dass damit eine dauerhafte Sicherheitskontrolle eingezogen sei. Ernst & Young weist aber darauf hin, dass Data Warehousing und der Bedarf nach unternehmensweitem Reporting diese Maßnahme in der Praxis oft ausgehöhlt habe. Eine umfassende Überprüfung scheint also geboten. Zentrale Fragestellung: Welcher Mitarbeiter benötigt wirklich Zugang zu welchen sensiblen Daten?
Monitoring für Access-Management
3. Einen Lebenszyklus für Datenmanagement implementieren: Vorbeugen soll dies einem nach Einschätzung der Analysten zentralem Problem. Schon an ihrem Entstehungsort würden Daten oft unsauber definiert, klassifiziert und gespeichert. Wenn es schon so losgeht, wird die Problemlösung zu einem späteren Zeitpunkt unnötig komplex – von Folgeproblemen etwa im Compliance-Bereich ganz zu schweigen.
4. Keine unautorisierten Geräte im Netzwerk erlauben: An dieser Stelle klingt Ernst & Young knallhart. Private Endgeräte untergraben mit hoher Wahrscheinlichkeit die Schutzmechanismen und Endpoint-Sicherheitskontrollen im Unternehmen.
5. Das Kopieren sensibler Daten auf bewegliche Medien verbieten: Die Endpoints sollten so konfiguriert sein, dass ein Beschreiben von entfernbaren Speichergeräten unmöglich ist. Alternativ sollte eine content-bewusste DLP-Lösung verhindern, dass sensible Daten von diesen Quellen - etwa USB-Sticks - gezogen werden können. Mobile Endgeräte benötigen laut Ernst & Young in jedem Fall eine Verschlüsselungslösung. Bei Geräteverlust sollte eine Fern-Datenlöschung möglich sein.
6. Messungen im Bereich Autorisierung und Zugangskontrollen verbessern: Zugangskontrollen und Usage-Triggers sollten verschärft werden, rät Ernst & Young. Die Benutzer-Rollen und Zugänge im Identitäts- und Zugangsmanagement sollten überprüft und so eng wie möglich definiert werden. Außerdem sollte ein Monitoring vorhanden sein, das ungewöhnliche und verdächtige Vorgänge schnell offen legt.
7. Data Usage und Data Flows verstehen lernen: Die Analysten raten zur Implementierung von Tools, mit denen sich Data Traffic Flows beobachten lassen. Files Access Monitoring und netzwerkbasierte DLP-Tools seien ebenfalls hilfreich.
Implementierung in Phasen
8. Einen risikobasierten Ansatz wählen: Nicht alles Daten sind gleich wichtig. Deshalb sollten das DLP-Programm so angelegt sein, dass die kritischen und sensiblen Daten geschützt sind – nicht unbedingt alle. Die Implementierung von DLP sollte deshalb am besten in Phasen erfolgen: umfassender Schutz für die wichtigsten Daten zuerst. Das erlaubt laut Ernst & Young zum einen den Test, ob die Tools wirklich funktionieren. Zum anderen verschafft es Zeit, um interne Skills, Regelwerke und Kapazitäten zur Datenanalyse aufzubauen.
9. Strategien aktualisieren und Bewusstsein schaffen: Tools alleine verhindern keinen Datenverlust. Deshalb sollten Richtlinien für die Mitarbeiter erarbeitet werden. Die Sensibilisierung der Belegschaft für Risiken ist insgesamt unerlässlich.
10. Compliance-Audits: Vertrauen ist gut. Aber besser noch ist es zu testen, wie wirksam die getroffenen Maßnahmen sind. „Erwägen Sie, Social Engineering und Phishing-Test durchzuführen, um Klarheit über den Grad des Problembewusstseins der Mitarbeiter zu gewinnen“, rät Ernst & Young.
Der Ratgeber „Data Loss Prevention“ ist bei Ernst & Young erhältlich.