Datensicherheit in 15 Schritten

Weit mehr als Null und Eins: Daten bilden heute einen Unternehmenswert. Um ihren Schutz zu gewährleisten, müssen Unternehmen den Umgang mit ihren digitalen Informationen neu justieren. Das verändert auch die Rolle des S&R-Chefs (Security and Risk).

Die Analysten von Forrester Research raten in ihrem Papier "Top 15 trends S&R pros should watch" zunächst zu folgenden vier Maßnahmen:

Daten gehören in den Mittelpunkt: Weil Unternehmen ihre Daten immer besser vor Hackern und organisierten Banden schützen müssen, rücken die Daten selbst in den Mittelpunkt. Es geht also nicht mehr um den Blick auf das Netzwerk oder auf die Geräte oder auf die Nutzer. Unternehmen brauchen eine Daten-zentrierte Kultur.

Analytics als Sicherheitsinstrument: Viel wird über die Möglichkeiten gesprochen, mit Analytics das Kundenverhalten vorherzusagen oder neue Geschäftsfelder zu entdecken. Forrester betont, dass Analytics auch helfen sollen, Risiken vorherzusehen und Sicherheitsschwachstellen aufzudecken.

Platz 10: Schlechtes Image ohne Bilder
Eine Schauspielerin wollte mit dem MAC Disk Utility Programm Daten von einer externen USB-Festplatte löschen. Dabei wählte sie versehentlich die falsche Festplatte aus – und löschte ihr gesamtes Portfolio. Model-Mappe, aktuelle Aufnahmen: alles weg. Die Schauspielerin kam jedoch mit dem Schrecken davon, denn Kroll Ontrack konnte im Labor die Daten komplett wiederherstellen.

Platz 9: Virtuelle Systeme treffen die Realität
Mehr Performance für das virtuelle Server-System, das war das Ziel eines IT-Administrators. Er teilte deshalb die Partitionen C und D des virtuellen Servers auf zwei unterschiedliche Systeme auf. Da ihm der Speicherplatz ausging, musste er jedoch in großer Eile die beiden Partitionen C und D auf dem gleichen System konsolidieren. Was er nicht wusste und in der Hektik auch nicht nachkontrollierte: Auf dem Zielsystem war diese Benennung bereits vergeben. So überschrieb er einen ganzen Satz wichtiger Daten.

Platz 8: Die Kraft der Magnete
Ein Notebook wurde auf einem Tisch abgelegt – soweit nichts Besonderes, hätte der Tisch nicht in der Nähe einiger Seltenerd-Magneten gestanden. Die Magneten kamen in Kontakt mit dem Notebook. Als der Besitzer seinen Rechner anschalten wollte, bootete er nicht komplett und gab klickende Geräusche von sich. Im Labor stellte Kroll Ontrack fest, dass die Festplatten beschädigt waren. Mit Hilfe proprietärer Technologien konnten die Ingenieure den Schaden jedoch überwinden und die Daten retten.

Platz 7: Unglück zum Monatsende
Wenn der Monatsabschluss fertig werden muss, schiebt in vielen Unternehmen die Buchhaltung Überstunden und hält sich dabei mit Kaffee wach. Dass das jedoch zum Problem für die Daten werden könnte, hätte bislang niemand gedacht. In einem Unternehmen saßen die Buchhalter wie üblich noch spät abends am Monatsabschluss. Als sie die Arbeit kurz für eine Kaffeepause unterbrachen, fiel der Strom aus, was auch den Finanz-Server betraf. Glücklicherweise waren die Computer der Finanzabteilung per UPS weiter mit Strom versorgt. Die Kaffeemaschine, die auf Hochbetrieb lief, verbrauchte jedoch so viel Strom von der UPS-Batterie, dass der Server zusammenbrach. Die Daten des Monatsabschlusses waren damit weg.

Platz 6: Deal unter Wasser gesetzt
Zwei Geschäftsleute trafen sich auf ein Bier in einer Kneipe, um einen geplanten Abschluss zu besprechen. Als die Bedienung die Gläser brachte, kippte eines davon versehentlich um und setzte das Notebook mit den Business-Plänen unter Wasser. Ein Küchentuch war schnell zur Hand, aber zur Rettung des Notebooks und der wichtigen Daten war die Rettungstechnik von Kroll Ontrack nötig.

Platz 5: Rauchen kann tödlich sein - für Daten
Ein neu eingestellter Wachmann tat seinen ersten Abenddienst in einem Lager für chemische Inhaltsstoffe. Sein Vorgesetzter hatte ihm zwar gesagt, dass Rauchen verboten sei, aber wer würde jetzt nach Arbeitsschluss schon mitbekommen, wenn er sich eine Zigarette gönnte? Kurz nach dem Anzünden der Zigarette ertönte der Feueralarm und das Sprinkler-System löste aus. Die gesamte elektronische Ausstattung des Lagers, darunter 44 Desktop-Computer und zwei Server, wurden unter Wasser gesetzt.

Platz 4: Nicht ganz sicher auf dem Safe
Der IT-Mitarbeiter eines Unternehmens war spät dran für ein wichtiges Meeting. Statt ein Tape-Medium im wasserdichten Safe zu verstauen, legte er es deshalb oben auf dem Safe ab und wollte es nach dem Meeting aufräumen. Nach weniger als einer Stunde jedoch wurde die Stadt von einem Erdbeben erschüttert. Das Tape fiel auf den Boden und wurde unter eindringendem Schlamm, Wasser und Sand begraben. Das Band sah danach fast hoffnungslos aus, mit Hilfe einer speziellen Tape-Recovery-Technologie konnten die Daten jedoch zu 100 Prozent gerettet werden. Der Inhalt stand dem Unternehmen innerhalb kurzer Zeit wieder zur Verfügung.

Platz 3: Zeitgeschichte, live dokumentiert
Mitten in den Unruhen dieses Frühjahrs in London dokumentierte ein freier Fotograf die Vorkommnisse mit seiner Kamera. Als die Menge auf ihn aufmerksam wurde und sah, dass er sie filmte, zerstörten sie die Kamera, damit es kein Beweismaterial gab. Nachdem die Kamera ihren Weg zu Kroll Ontrack gefunden hatte, konnten die Daten zu 100 Prozent gerettet werden. Das Filmmaterial wurde direkt der Polizei ausgehändigt.

Platz 2: Auf den Hund gekommen
Dass ein Backup wichtig ist, davon überzeugte ein Mann seine Freundin, die ihre gesamte Foto-Bibliothek bislang nur auf dem Notebook gespeichert hatte. Sie kopierte deshalb tausende Fotos aus ihrem Fotostudio auf eine externe Festplatte. Unglücklicherweise war diese Festplatte nach kurzer Zeit die einzige Kopie der Foto-Bibliothek. Nun kam ein weiterer unglücklicher Zufall ins Spiel: Das Paar bekam Besuch von einer Freundin und ging zur Tür, um sie in Empfang zu nehmen. Der Hund der Familie, erfreut über den Besuch, stürzte ebenfalls zur Tür. Da er jedoch unter dem Tisch gelegen hatte, auf dem die Festplatte lag, fiel diese vom Tisch. Die einzige Kopie der wertvollen Daten war damit ebenfalls beschädigt.

S&R-Chefs werden auch im Kunden-Management eine größere Rolle spielen: Der Verlust von Kundendaten kann sich massiv auf das Image eines Unternehmens und damit auf seinen Wert auswirken. Deswegen müssen S&R-Chefs mit dem Marketing zusammenarbeiten.

Neuer Blick aufs Risiko-Management

Risiko-Management integrieren: Genauso wenig wie ein Unternehmen Daten-Silos braucht, braucht es Risiko-Silos. Die Einteilung in operative Risiken, Informationsrisiken, Verfügbarkeit, Disaster Recovery und andere Bereiche ist für die tägliche Arbeit sinnvoll, Unternehmen müssen aber dennoch einen integrierten Blick auf das Risiko-Management entwickeln.

In einem so gestalteten Umfeld skizziert Forrester die Arbeit eines Risiko- und Sicherheitsverantwortlichen. Die Trends und Herausforderungen, die seine Arbeit beeinflussen, fassen die Analysten in 15 Punkten zusammen. Im Einzelnen sind das:

1. Wege der Erfolgsmessung überdenken: Vor einem Problem stehen S&R-Verantwortliche immer - das Ergebnis ihrer Arbeit lässt sich schwer messen. Üblicherweise konzentrieren sie sich beispielsweise auf Fragen nach der Zahl der Viren, die sie abfangen konnten, oder nach der Zahl der Patches.

Laut Forrester sollten sie sich vor allem um zwei Aspekte kümmern: Ist Malware ins Firmennetz hinein geraten - oder hinaus? Wer diese Fragen nicht beantworten kann, dem nützen die besten Security-Tools nichts. In Sachen Security-Tools erwarten die Analysten, dass zunehmend intelligentere Sicherheits-Software zur Marktreife gelangt.

2. File-Sharing und Collaboration nehmen zu: Die Diskussion um den Schutz geistigen Eigentums lässt Unternehmen genauer darauf achten, wie ihre Angestellten mit sensiblen Informationen umgehen. Im schlimmsten Fall - und der ist laut Forrester nicht selten - tragen sie solche Daten auf verschiedenen mobilen Geräten mit sich herum, auf die die IT-Abteilung keinen Zugriff hat. Da innerhalb der Unternehmen die abteilungs- und funktionsübergreifende Zusammenarbeit immer stärker verlangt wird, steigt auch das Risiko von Datenmissbrauch oder -verlust.

3. Datenverschlüsselung und das Management mobiler Geräte: Dieser Punkt resultiert aus verschiedenen Aspekten, etwa aus der wachsenden Beliebtheit von Laptop und Tablet gegenüber dem klassischen PC wie auch aus dem "Bring your own device"-Trend. Wichtig für S&R-Verantwortliche ist, dass immer mehr Daten auf mobilen Geräten liegen und über solche abgerufen werden. Sie müssen sich darum kümmern, diese Geräte und Daten zu verschlüsseln.

4. Traditionelle Antiviren-Lösungen können nicht gewinnen: Im Wettrennen Hacker gegen Sicherheits-Anbieter werden die Anbieter immer hinterher laufen. Es ist also nicht damit getan, stets die neuesten Versionen aufzuspielen.

Unbekannte Anwendungen entfernen

Um das Unternehmen zusätzlich zu schützen, sollten sich Security-Verantwortliche regelmäßig die Anwendungslandschaft ansehen. Alles, was nicht mehr gebraucht wird, und alles, was der Sicherheits-Chef nicht kennt, darf eliminiert werden. Ein Zusatznutzen besteht darin, dass das Netz entlastet wird.

5. Die Daten bekommen ein Gesicht: Die anschwellende Datenflut ist nur in den Griff zu kriegen, wenn S&R-Chefs die Daten klassifizieren. Ob das besser automatisiert geschieht oder manuell, da legt sich Forrester nicht fest.

6. Aus dem Umgang mit den Daten Schlüsse ziehen: Es ist möglich, aus der Art, wie ein Endanwender mit Daten umgeht, Profile zu erstellen. Weicht der Nutzer plötzlich von diesem Profil ab, kann das ein Hinweis auf Risiken sein. Forrester rät zu Tools, die diese Vorgänge monitoren und gegebenenfalls eingreifen.

7. Das Wissen über Bedrohungen wächst - die Handlungsfähigkeit nicht: Cyber-Kriminalität hat ihren Platz in den Medien gefunden, auch die Security-Anbieter berichten über neue Bedrohungen. Das heißt allerdings nicht unbedingt, dass Entscheider und Nutzer kompetenter werden im Umgang mit realen Gefahren.

Wer also für die Unternehmenssicherheit sorgen muss, kann eigentlich nur eines tun: fachlich versierte Mitarbeiter einstellen. Und darauf hoffen, dass Security-Anbieter immer bessere Tools offerieren.

Netzwerk- und Sicherheitschef müssen zusammenrücken

8. Netzwerk- und Sicherheits-Chefs müssen zusammenrücken: Bis heute operieren Netzwerk-Verantwortliche und Sicherheits-Chefs für sich. Forrester hält das für falsch - je früher Netzwerk und Security zusammenrücken, desto besser. Aufgabe der Security-Fachleute ist beispielsweise das Entwickeln einer Policy. Das Netzwerk-Team sorgt dann für deren Implementierung.

9. Die Menschen in den Mittelpunkt stellen: Dass die besten Sicherheitswerkzeuge scheitern, wenn die Nutzer sie nicht anwenden, ist bekannt. Forrester will aber weg von der rein negativen Sichtweise auf den Menschen. Es sei nicht damit getan, noch ein und noch ein Awareness-Training anzubieten. Vielmehr plädieren die Analysten für einen Kulturwandel, der jedem Mitarbeiter deutlich macht, wie wertvoll die Daten eines Unternehmens sind.

10. Es sind immer mehr Managed Security Services im Angebot: Das Konzept der Managed Services erreicht das Thema Sicherheit. Grund dafür ist der Mangel an erfahrenen Praktikern. Forrester sagt dem Teilmarkt Managed Security Services in diesem Jahr ein Wachstum von 30 Prozent voraus.

11. Die Kommunikation rund um Sicherheitsvorfälle drängt Firmen in die Offensive - oder Defensive: Endverbraucher, Lobbyisten, Politiker - immer mehr Interessenten verlangen von Unternehmen Aufklärung über Security-Vorfälle. Einige Unternehmen werden solche Fälle von sich aus aktiv kommunizieren, bevor geschickte Anwender es tun. Andere werden versuchen, die Dinge herunterzuspielen.

Die positive Seite von Compliance

Forrester stellt eines klar: Jedes Unternehmen muss sich an Regularien und Compliance-Vorgaben halten. Keine Firma aber ist vor Angriffen gefeit. Je sauberer ein Unternehmen gearbeitet hat, umso leichter der Gang an die Öffentlichkeit, wenn etwas passiert ist.

12. Nutzer-Authentisierung muss zum Nutzer passen: Forrester hält Maßnahmen zur Nutzer-Authentisierung für unabdingbar. Die Analysten warnen jedoch davor, den Anwender aus den Augen zu verlieren. S&R-Verantwortliche sollten wissen, wie und wo die Anwender arbeiten, welche Geräte sie nutzen und anderes mehr. Und: Tools zur Authentisierung müssen sich gut ins Back-end integrieren lassen.

13. Das Business hakt bei Social Media nach: Mit der Beliebtheit von Facebook steigt das Interesse der Geschäftsleitungen, aus Social Media Kapital zu schlagen. S&R-Chefs sollten sich daher mit den Fachbereichen Marketing und Kommunikation zusammensetzen. Als Sicherheitsverantwortliche müssen sie verstehen, wie ihr Unternehmen Social Media nutzen kann, um Risiken und Gefahren einschätzen zu können.

14. Anbieter versprechen bessere Risk-Management-Produkte: Dass Risiken nicht mehr schlicht abgewendet, sondern gemanagt werden, ruft Anbieter auf den Plan. Sie bringen Produkte mit immer mehr Business-Kontext auf den Markt. Forrester rät Entscheidern, genau hinzusehen.

Die Hausaufgaben in Sachen Risk Management

Bevor irgendein Risk Management Framework implementiert wird, sind erst einmal die Hausaufgaben zu erledigen. Das heißt: Rolle und Ziele des firmeneigenen Risiko-Verantwortlichen sind zu definieren, ebenso Definition und Kategorisierung der verschiedenen Risiken, Fragen der Erfolgsmessung und anderes.

15. Raus aus den Silos: So, wie Netzwerk- und Sicherheitschef besser zusammenarbeiten müssen (siehe Punkt 8), brechen Silo-Strukturen insgesamt auf, sagt Forrester. Das heißt: S&R-Chefs müssen sich zumindest soweit in alle Geschäftsprozesse einarbeiten, dass sie deren Gefahrenpotenzial identifizieren können.