Drei praktische Schritte zur Vermeidung von Datenverlusten durch Mitarbeiter

Drei praktische Schritte zur Vermeidung von Datenverlusten durch Mitarbeiter … 3. Teil

Nun zum letzten Beitrag zum Thema „Drei praktische Schritte zur Vermeidung von Datenverlusten durch Mitarbeiter“. Noch einmal zur Erinnerung: Im 1. Teil ging es um die Einführung von Richtlinien, in Teil 2 um die Schulung und Aufklärung der Mitarbeiter. Im 3. Teil heißt das Thema:

Machen Sie sich eine technische Lösung zunutze

Ach, wenn es nur so einfach wäre … Wenn es um Sicherheit geht, gibt es unzählige Lösungen, die Schutz vor unzähligen Risiken bieten. Egal, welche fünf Lösungen ich empfehle, irgendwer wird mir widersprechen. Trotzdem will ich es versuchen:

  • Antivirus-Programme: In letzter Zeit wurde viel darüber diskutiert, ob die Ära der Antivirus-Lösungen zu Ende ist. Die Antwort: Nein. Zwar gibt es andere Technologien, die ihre Wirkung verstärken, doch Antivirus-Programme spielen noch immer eine wichtige Rolle – und sie sind relativ kostengünstig. Achten Sie jedoch darauf, dass diese nicht nur im Netzwerk (E-Mail und Internet), sondern auch auf den Endgeräten installiert sind. Sorgen Sie dafür, dass sie immer aktuell sind.
  • Verschlüsselung auf Laptops, Firewalls, Spam-Filter, Schutzmaßnahmen für E-Mail & Internet – diese Aspekte sind hoffentlich bereits erfüllt. Falls nicht, sollten Sie unbedingt darüber nachdenken. Neben Antivirus-Programmen sind dies die besten Möglichkeiten, Ihr Unternehmen vor Hackern und Cyberangriffen schützen wollen.
  • Stellen Sie eine Lösung zum Schutz vor Datenverlust (DLP) bereit. Letztendlich sind vertrauliche Informationen Teil Ihres Unternehmens und verdienen den bestmöglichen Schutz. Mit Hilfe einer DLP-Lösung verhindern Sie, dass Hacker von außen an Ihre Daten gelangen und Ihre Daten von internen Benutzern an die falschen Empfänger gesendet oder von internen Personen mutwillig gestohlen werden. Sie ist das letzte Bollwerk Ihrer Verteidigungslinie. Noch empfehlenswerter sind verbesserte DLP-Lösungen der nächsten Generation, wie Adaptive Redaction, bei denen Herausforderungen wie das Aufhalten und Blockieren in herkömmlichen DLP-Lösungen entfallen. Zudem sollten Sie sicherstellen, dass diese Technologien an allen Ein- und Austrittspunkten greifen, denn sowohl Bösewichte als auch Unschuldslämmer werden (bewusst oder unbewusst) Ihre Schwachstellen ausnutzen.
  • Erwägen Sie die Anschaffung eines SIEM (Security Incident Event Management)-Systems. Es gibt sie zwar schon seit einer Weile, doch inzwischen sind sie mehr nicht nur für große Konzerne erhältlich, sondern auch für kleinere und mittlere Unternehmen. Solche Systeme können ganz schlicht beginnen und dann komplexer werden, sobald sich das Unternehmen besser damit auskennt.
  • Zu guter Letzt sollten Sie sich mit den neuesten Technologien befassen. Damit sind Sandboxes, Positivlisten und Netzwerkanalysen gemeint. Sie sind als Teil einer Komplettlösung zu betrachten – nicht als Komplettlösung selbst.
Drei praktische Schritte zur Vermeidung von Datenverlusten durch Mitarbeiter

Drei praktische Schritte zur Vermeidung von Datenverlusten durch Mitarbeiter … 2. Teil

Nr. 2. Schulen Sie Ihre Mitarbeiter

Schulung und Aufklärung sind wahrscheinlich die kosteneffizienteste Sicherheitslösung. (Sie sind jedoch keineswegs ein Zaubermittel, d. h., Richtlinien und entsprechende Technologien sind weiterhin erforderlich.) Verlassen Sie sich bei Schulungen zum Thema Sicherheit nicht ausschließlich auf E-Learning. Dies gilt als Übung zum Ankreuzen und bequemer Ausweg für Sicherheitsrichtlinien, die auf Technologien und Bedrohungen basieren, die mindestens 5-10 Jahre veraltet sind. Empfohlenes Vorgehen:

  • Verbreiten Sie regelmäßig (etwa vierteljährlich) ein Rundschreiben zum Thema Sicherheit – entweder per E-Mail oder als Anschlag. Verlassen Sie sich nicht darauf, dass Ihre Mitarbeiter auf einen Link klicken. Veröffentlichen Sie ihn auf einer Website, aber sorgen Sie auch dafür, dass er sichtbar im Posteingang landet. Falls Sie sich fragen, was in solch einem Rundschreiben behandelt werden sollte, hier ein paar Vorschläge:
  • Sprechen Sie spezielle Fälle aus der Presse an (es gibt jede Menge), was sie für das betroffene Unternehmen bedeutet haben und was Ihr Unternehmen derzeit unternimmt (oder künftig unternehmen sollte), um das Risiko zu mindern. Oftmals haben Mitarbeiter hervorragende Ideen zur Eindämmung von Sicherheitsrisiken. Sie müssen sie nur fragen! (Und machen Sie bitte nicht den Feuermelder zum Brandstifter!)
  • Erläutern Sie die Risiken und Konsequenzen eines laxen Sicherheitsansatzes. Warum ist ein verloren gegangener Laptop nicht nur für den Mitarbeiter, sondern für das Unternehmen ein Problem? Warum kann eine falsch adressierte E-Mail den Ruf schädigen?
  • Wenn Sie planen, neue Technologien einzuführen, ermöglichen Sie vorab einen Dialog. Erklären Sie, welche Risiken eingedämmt werden sollen, und wie. Sicherheitsmaßnahmen gehen meist zulasten der Mitarbeiter, was weitere Probleme nach sich zieht. Durch ein offenes Gespräch und die Einbeziehung der Mitarbeiter können Sie Fragen klären, bevor sie zu Problemen werden.
  • Sprechen Sie die Mitarbeiter direkt an. „Behandeln Sie die Daten anderer so, wie Sie Ihre eigenen Daten geschützt sehen möchten.“ Machen Sie Pressemeldungen zu schlechtem Vorgehen ausfindig, und stellen Sie ihnen Ihre erfolgreichen Methoden gegenüber.
Drei praktische Schritte zur Vermeidung von Datenverlusten durch Mitarbeiter

Drei praktische Schritte zur Vermeidung von Datenverlusten durch Mitarbeiter … 1. Teil

Der Artikel „Drei praktische Schritte zur Vermeidung von Datenverlusten durch Mitarbeiter“ enthält mehrere nützliche Tipps:

  • Führen Sie Richtlinien ein
  • Schulen Sie Ihre Mitarbeiter
  • Machen Sie sich eine technische Lösung zunutze

Vielleicht ist er jedoch zu abgehoben und nicht informativ genug, um von praktischem Nutzen zu sein. Besonders der zweite Tipp „Schulen Sie Ihre Mitarbeiter“ ist vage und leicht veraltet, denn:

  • Viele Informationen machen sich Sorgen über die Folgen der [geplanten] neuen Datenschutz-Grundverordnung (DSGVO), nach der künftig Bußgelder in Höhe von 100 Millionen Euro oder bis zu fünf Prozent des weltweiten Jahresumsatzes verhängt werden können.
  • Das Marktforschungsunternehmen Gartner stellte zudem fest, dass sich GRC nicht länger nur auf grundlegende Lösungen wie Unternehmensplattformen und technische GRC-Plattformen bezieht, da der Schwerpunkt heute eher auf zweckentwickelten Anwendungen liegt, die sich leicht in die GRC-Systeme von record1 integrieren lassen.
  • Unternehmen, die unbedingt eine BYOD/COPE-Strategie umsetzen wollen, müssen sicherstellen, dass die Erlaubnis, eigene Geräte zu verwenden, nicht auf solche begrenzt ist, bei denen sichergestellt ist, dass alle Vorschriften und Sicherheitsvoraussetzungen erfüllt werden. Dies muss geschehen, bevor etwaige Folgen von GRC evaluiert werden.

Nachfolgend wird die erste der drei Ebenen erläutert, die Sie schon jetzt umsetzen können. Jede Ebene ist in fünf einfache Schritte unterteilt.

Gartner's Hype Cycle for Governance, Risk and Compliance Technologies 2014

1. Führen Sie Richtlinien ein

Richtlinien? Wie bei fast allem, was mit Sicherheit zu tun hat, reicht eine Richtlinie leider nicht aus. Ein Allheilmittel gibt es nicht. Hier ein paar Vorschläge, die über die in Ihrem Unternehmen hoffentlich bereits umgesetzten Richtlinien hinausgehen:

Acceptable Usage Policy (AUP) – 1. Teil: Hierin sollten Dinge wie die Nutzung von Internet und E-Mail abgedeckt werden. Mittlerweile sind jedoch auch Aspekte wie soziale Medien und Anwendungen für die Zusammenarbeit über die Cloud zu berücksichtigen.

Acceptable Usage Policy (AUP) – 2. Teil: Dieser Teil befasst sich mit der Nutzung und Weitergabe von Daten. Er bezieht sich auf vertrauliche und private Informationen (wie Personalakten), sensible Daten (wie Kundendaten) und urheberrechtlich geschützte Inhalte (Produktentwürfe usw.). Sie alle lassen sich unter dem Begriff „kritische Informationen“ zusammenfassen, doch es ist nützlich, die einzelnen Kategorien zu unterscheiden

Gerätenutzung: Welche Geräte dürfen genutzt werden, um unternehmenskritische Informationen aufzurufen? Wo dürfen sie eingesetzt werden, und wie? Beispiel: Dürfen sie in einem Internetcafé genutzt werden? Was geschieht mit Firmendaten auf privaten Geräten, wenn der Mitarbeiter das Unternehmen verlässt?

Richtlinie für potenzielle Sicherheitsverstöße: Was geschieht, wenn ein Mitarbeiter glaubt, Opfer eines Phishing-Angriffs zu sein, und an wen kann er sich wenden? Was tun bei einem versehentlich entstandenen Datenleck? Was tun bei einem mutwilligen Angriff?

Schutzsoftware und zugehörige Updates: Dieser Punkt gilt insbesondere für private Geräte, betrifft jedoch auch betriebliche. Grundsätzlich gilt: Wenn ein Update vorliegt, muss dieses installiert werden. Antivirus-Software darf nicht deaktiviert werden, Virendefinitionen und andere Sicherheitswendungen müssen aktuell gehalten werden.