Behörden und Unternehmen müssen mehr für die Datensicherheit tun. Das liegt spätestens seit den international bekannt gewordenen gravierenden Datenverlusten in Großbritannien auf der Hand.
So verschwanden bei einem für die britischen Behörden arbeitenden Privatunternehmen in den USA die Datenträger mit Namen, Adressen und Telefonnummern von mehr als drei Millionen Fahrschülern spurlos. Der staatlichen Gesundheitsbehörde (NHS) wiederum kam eine CD mit vertraulichen Angaben zu über 160.000 kranken Kindern abhanden.
Risiken für Datenverlust sind hoch
Dem Verband zufolge passieren solche Datenverluste, weil es keine wirksamen Maßnahmen und Methoden gibt, die die Informations-Sicherheit gewährleisten. Doch das kann sich heute niemand mehr erlauben. Besonders hoch sind Risiken, dass Daten verloren gehen oder gestohlen werden, wenn sie von Unternehmensanwendungen auf die Endgeräte wandern oder drahtlos, etwa über WLAN, übertragen werden.
Sind die Daten zudem auf einem Laptop beziehungsweise einem USB-Stick gespeichert, erhöht sich das Risiko zusätzlich. Darüber hinaus sind in den genannten Bereichen die Kontrollen in der Regel nicht besonders streng.
Den Datenzugriff genau regeln
Auch liegen Informationen heute in vielschichtigen Formen vor: vom Papierdokument über das persönliche Gespräch bis hin zu Unmengen an elektronischen Daten, die gespeichert, übermittelt und bearbeitet werden. Die Klassifizierung dieser Informationen muss systematisch und fortlaufend erfolgen.
Dazu sind verschiedene Maßnahmen durchzuführen beziehungsweise einzuführen. An erster Stelle steht die Sensibilisierung von Mitarbeitern und externen Dienstleistern, die Zugriff auf kritische Daten und Dokumente haben, für den richtigen Umgang mit vertraulichen Daten. Wichtig ist eine Sicherheitskultur, die die Balance findet zwischen Datenschutz und trotzdem Informations-Verteilung erlaubt, um daraus geschäftlichen Mehrwert zu generieren.
Ferner müssen die Bereiche in Firmen und Behörden identifiziert werden in denen Datenverluste möglich und wahrscheinlich sind. Das können bestimmte Abteilungen sein, aber auch Mitarbeiterrollen. Zugleich müssen Richtlinien, Standards und Verfahren eingeführt werden, um den Zugriff auf Daten und Informationen zu ordnen.
Oft gibt es zwar Regeln für den Datenzugriff, doch die Vergabe von Zugriffsrechten oder die Konfiguration operativer Systeme muss verbindlich festgelegt werden. Im Allgemeinen gilt: Je höher die Vertraulichkeit, desto rigider die Rechtevergabe.
Datenverluste aufspüren
Um Datenverlusten auf die Spur zu kommen oder diese von vornherein zu verhindern, sind wirksame Kontrollen und Sicherungs-Systeme erforderlich. Der Verband empfiehlt die Einführung umfassender Sicherheitslösungen, die das gesamte Unternehmen abdecken, von der Ebene der Infrastruktur bis hin zur Verschlüsselung von Notebooks und USB-Sticks.
Zudem sollten Firmen und Behörden auf Datenverluste oder Datendiebstähle vorbereitet sein. Notfallpläne können helfen, nach einem Angriff Daten rasch wiederherzustellen oder Systeme wieder hochzufahren.
Alle müssen an einem Strang ziehen
Die Sicherheitsmaßnahmen können jedoch nur dann erfolgreich umgesetzt werden, wenn sich nahezu alle Bereiche eines Unternehmens - vom Personalwesen und der Rechtsabteilung über die IT bis hin zum Top-Management - aktiv an dem Prozess beteiligen.
Zu diesen Ergebnissen kommt das ISF in seinem Sicherheitsbericht "Information Leakage". Der gemeinnützige und internationale Verband "Information Security Forum" wurde 1989 gegründet. Über 300 Unternehmen sind an ihm beteiligt.