Datenschutzverletzungen und Datenverlust sind einerseits unspektakulärer Alltag. So sind nach einer Erhebung des Ponemon Institute 85 Prozent aller Firmen in den USA betroffen. Andererseits nimmt dieses permanente Problem manchmal Aufsehen erregende Ausmaße an. Wie etwa im Fall des BP-Mitarbeiters, der auf einer Geschäftsreise sein Notebook verlor. Darauf gespeichert waren – unverschlüsselt – die Daten von 13.000 Ölpest-Klägern. Alle 50 Sekunden gehe auf einem amerikanischen Flughafen ein Laptop verloren, berichtet Security-Anbieter Sophos. Wöchentlich summiere sich das auf 12.000 Stück. Beispiele wie diese hat Sophos jetzt in einem Datensicherheits-Bericht zusammengestellt, in dem auch Handlungsempfehlungen für Anwender enthalten sind.
„Vollkommen neue Herausforderungen für die Datensicherheit sind durch die schnelle Verbreitung von Mobiltechnologien und Social Media und eine zunehmend von Endusern geprägte IT entstanden“, sagt Sascha Pfeiffer, Principal Security Consultant bei Sophos. Weitere Herausforderungen seien der Virtualisierungs- und Cloud-Computing-Boom. „Unternehmen können diesen Gefahren zum Beispiel mit Verschlüsselungs- und Data-Loss-Prevention-Lösungen begegnen“, so Pfeiffer.
Vor diesem Hintergrund rät Sophos Unternehmen nachdrücklich dazu, in Compliance zu investieren. Zwar koste das zunächst Geld. Jedoch sei das Nicht-Erfüllen von Compliance-Anforderungen noch viel teurer. Wiederum beruft sich der Anbieter auf eine Untersuchung des Ponemon Institute. Demnach zahle ein großer Konzern im Durchschnitt für fünf Millionen Euro jährlich für die Einhaltung diverser Vorschriften. Nicht-Compliance schlage demgegenüber mit 13,3 Millionen Euro zu Buche.
In Deutschland ist das Problem zudem virulenter als anderswo. Der Schaden durch einen verlorenen Datensatz koste hierzulande durchschnittlich 124 Euro. Das internationale Mittel liegt bei etwa 100 Euro. In Frankreich fallen lediglich 84 Euro an, in Großbritannien nur 69 Euro. Allein in den USA ist die Lage ungleich brenzliger – mit Durchschnittskosten von 143 Euro pro Vorfall.
„Die Kosten eines Datenlecks gehen weit über empfindliche Geldstrafen hinaus“, heißt es im Sophos-Bericht. „Wie zuletzt der Fall des gehackten Sony Playstation Networks gezeigt hat, wiegen Imageverluste und Umsatzausfälle noch schwerer.“ Wenn Unternehmen ihre Informationsrisiken hingegen richtig managen, erfüllten sie bereits einen Großteil der Compliance-Anforderungen. Dazu gibt Sophos sechs Tipps.
Unnütze Daten endgültig löschen
1. Daten identifizieren: Das Unternehmen definiert, welche Unternehmensdaten personenbezogen sind und daher besonderen Schutz verdienen. Ein aktuelles Inventar dieser Daten wird gepflegt. „Als Grundlage hierfür sollten alle Typen personenbezogener Daten dienen, zu deren Schutz Ihr Unternehmen gesetzlich verpflichtet ist“, heißt es in der Studie.
2. Zugriff kennen: Ein Unternehmen müsse wissen, mit welchen Geräten seine Mitarbeiter auf Daten zugreifen, so Sophos: „Ermitteln Sie, wer personenbezogene Daten sammelt, verarbeitet, speichert beziehungsweise auf sie zugreift. Legen Sie fest, wer für diese Vorgänge verantwortlich ist oder verantwortlich sein sollte.“
3. Physische Orte bestimmen: Unternehmen sollten die Speicherorte ihrer Daten und ihre mobilen Endpoints kennen. Und wissen, welche Partner Zugriff auf ihre Daten besitzen.
4. Nur wichtige Daten speichern: Es werden nur die Daten gespeichert, die tatsächlich notwendig sind. Unnötige Daten werden sicher und endgültig gelöscht.
5. Zugang limitieren: Es dürfen nur diejenigen auf sensible Daten zugreifen, die sie wirklich benötigen. „Gewähren Sie niemals Zugriff, wenn dieser über die Zwecke hinausgeht, für die Sie die Daten erhoben haben“, rät der Anbieter.
Erfolgsfaktor Schulungen
6. Schutzmaßnahmen installieren: Nach einer Risikoanalyse werden klare Richtlinien festgelegt, die in regelmäßigen Schulungen vermittelt werden. „Stellen Sie sicher, dass Sie die Vorgehensweise regelmäßig in Trainings und Aufklärungskampagnen unternehmensweit kommunizieren“, wendet sich Sophos an die Anwender.
Laut Sophos-Sicherheitsexpertin Rebecca Herold sind mit derartigen Maßnahmen zur Datensicherung bereits 85 bis 90 Prozent der Compliance-Vorschriften abgedeckt. „Das Kernstück der meisten Datenschutzrichtlinien ist die geeignete Bekämpfung von Risiken innerhalb des Unternehmens“, erläutert Herold. Die Vorschriften führten dann meist einige Besonderheiten auf, von denen die meisten in anerkannten Datenschutznormen wie der ISO/IEC 27001 und der ISO/IEC 27002 sowie in zahlreichen Dokumenten des National Institute of Standards and Technology (NIST) auftauchten. „Daher ist es sinnvoll, wenn Unternehmen zunächst ihre Datenschutzrisiken identifizieren und diese in Folge bekämpfen“, führt die Expertin weiter aus. „Das Compliance-Problem löst sich dann praktisch wie von selbst."
Der Report „Datensicherheit unter der Lupe“ kann auf der Sophos-Website kostenlos heruntergeladen werden.