Erst kürzlich sorgte ein Skandal um streng vertrauliche Patienten-Daten in Nordrhein-Westfalen für Schlagzeilen. Auf einem Flohmarkt-Laptop wurden die Krankenakten hunderter Psychiatrie-Patienten entdeckt. Damit solche und andere peinliche Geschichten nicht passieren, werden hier die wichtigsten Abwehrmaßnahmen vorgestellt.
Verschwundene Laptops
Alle 53 Sekunden wird ein Laptop gestohlen, wie die amerikanische Zeitung USA Today einmal ausrechnete. Wertvolle Informationen wie Geschäftsberichte, Personalunterlagen, Kundendaten oder Forschungsergebnisse gelangen so in die Hände der Diebe und von Schnüfflern. Eine Verschlüsselung der auf mobilen Geräten gespeicherten Daten verhindert den Zugriff auf Geheimnisse. Vertrauliche Inhalte sollten nie ungeschützt gespeichert werden.
Ein elektronischer Safe, der als virtuelles Laufwerk dargestellt wird, verschlüsselt und speichert alle Inhalte sicher und vertraulich. Er kann sowohl auf lokalen Festplatten und Netzwerkverzeichnissen, auf dem PDA, aber auch auf mobilen Medien wie USB- und Flash-Speicherkarten, CD-ROM und DVD erstellt werden.
Sicherheits-Wirrwarr beim Outsourcing
Die organisatorische Absicherung beim Outsourcing regelt vertraglich, wie mit sensiblen Daten umgegangen werden muss und welche Strafen im Schadensfall oder bei Vertrauensbruch anstehen. Besonders kritische Informationen wie Finanzdaten werden gar nicht erst ausgelagert. Dabei ist auch hier möglich, mit einer Verschlüsselungs-Software den technischen Schutz zu gewährleisten. Der Auftraggeber behält die Schlüsselhoheit und die Kontrolle über seine Daten. Durch die Rollenteilung von Netzwerk- und Sicherheits-Administrator haben Personen ohne Autorisierung keine Möglichkeit, sich Zugriff auf vertrauliche Daten zu verschaffen.
Sicherheitsfall E-Mail
Neben dem Viren- und Spam-Schutz müssen Daten- und Inhaltskontrolle ebenso zur Absicherung der elektronischen Kommunikation gehören wie die Verschlüsselung von E-Mails und ihren Anhängen. Ziel eines unternehmensweit gültigen Sicherheitskonzepts muss der integrierte Schutz von Endpunkt-Geräten und der Kommunikation sein.
Durch eine Verknüpfung grundlegender Anwenderinformationen wie Name, E-Mail-Adresse und Unternehmens-Zuordnung mit einem Zertifikat zur Identität, sind Geschäftsinteressen auch bei der E-Mail-Kommunikation abgesichert. Ein E-Mail-Gateway verschlüsselt Nachrichten und Anhänge, die über das E-Mail-System eines Unternehmens versandt und empfangen werden.
Datenverschlüsselung
Mit einer umfassenden Verschlüsselung sind Daten sicher, selbst wenn das Speichermedium entfernt wird oder verloren geht. Je nach Sicherheitsrichtlinie ist eine vollständige Verschlüsselung des Datenträgers oder die bewusste Mischung von Klartext und chiffrierten Dateien möglich.
Datenverschlüsselung mit einem zentral festgelegten Firmen- und Benutzerschlüssel ermöglicht, Daten zwar innerhalb des Unternehmens überall nutzen zu können, sie aber nicht auf einem unternehmensfremden Rechner einsehbar zu machen. Eine ideale Lösung besteht aus verschiedenen Modulen und erfüllt komplexe Aufgaben wie Verschlüsselung, Zugriffsschutz oder Sicherung von Backups.
Mitarbeiter als Gefahr für Datenklau
Nicht selten sitzt die Gefahr im eigenen Unternehmen in Form von Mitarbeitern. Verschlüsselungslösungen können auch intern einen effektiven Schutz von sensitiven Daten wie Forschungs- und Entwicklungsplänen, besonderen Angeboten oder Kundendaten gewährleisten. Sie garantieren, dass diese Informationen nur für berechtigte Personengruppen zugänglich sind. Doppelten Schutz bietet eine Mehrfach-Authentisierung durch eine Kombination aus sicheren Passwort und Smartcard.
Halbherzige Verschlüsselungslösungen
Nicht ausreichend gesicherte Verschlüsselungslösungen bedeuten eine Schwachstelle im ansonsten ausgeklügelten Sicherheits-System. Ein manipulations-resistentes Hardware Sicherheitsmodul (HSM) verhindert den Fremdzugriff auf Verschlüsselungs-Codes. Die Datensicherheit in einem Unternehmen hängt von der Unangreifbarkeit der Keys ab. Das HSM sorgt für eine sichere Generierung, Speicherung und Anwendung von kryptografischen Schlüsseln und Zertifikaten.
Utimaco führt seine Empfehlungen aus seinem "Sechs-Punkte-Plan gegen Datenmissbrauch" auf seine Erfahrungen als Hersteller von Datensicherheitslösungen zurück.