“Deutsche Firmen brauchen neue Sicherheitsfunktionen”

Sibylle Gaßner,

In China ist staatliche Wirtschaftsspionage gewissermaßen systemimmanent, sagt das Bundesamt für Verfassungsschutz in seinem jüngsten Bericht. silicon.de hat mit Burton-Analyst Randall Gamby gesprochen, wie sich deutsche Unternehmen schützen können.

silicon.de: Welche Sicherheitsvorkehrungen müssen im Bereich der IT-Infrastruktur getroffen werden, damit Unternehmen auf der sicheren Seite sind?

Gamby: Die Art und Weise, wie Daten geschützt werden, muss verpflichtend durchgesetzt werden. Die Mindestanforderungen sind:

  • Den Wert und den benötigten Schutz für alle Informationen festlegen, die über Unternehmensgrenzen hinweg ausgetauscht werden. Dementsprechend müssen Prozesse und Technologien implementiert werden, die die notwendigen Schutzmechanismen durchsetzen.
  • Die Entwicklung von Prozessen und Maßnahmen rund um die Neueinrichtung von Zugängen und für ständige Zugangskontrollen.
  • Die Isolation von Daten, so dass der ausländische Partner nur auf die Daten zugreifen kann, die er benötigt.
  • Die Verschlüsselung vertraulicher Informationen vor, während und nach der Übertragung.
  • Die Bereitstellung von Sicherheitsservices, die vor Ort den Fernzugriff auf Daten limitieren und die chinesischen Systeme in Bezug auf Datenverlust und –veröffentlichung überwachen.
  • Die Bereitstellung webbasierter oder anderer kontrollierter Zugriffsmethoden auf kritischen Daten über deutsche Systeme – anstatt die Daten auf lokale chinesische Systeme zu übertragen.

silicon.de: Gibt es darüber hinaus Möglichkeiten, um ein Unternehmen und dessen internes Wissen zu schützen? Und inwieweit hilft strikte Verschlüsselung?

Gamby: Deutsche Firmen müssen unternehmensintern neue Sicherheitsfunktionen schaffen (zum Beispiel durch einen regionalen Security Officer oder Sicherheits-Beauftragte vor Ort). In Zusammenarbeit mit chinesischen Managern muss dann ein Sicherheitsmechanismus etabliert werden, um zu garantieren, dass sensible Daten geschützt sind. Zudem brauche die Firmen eine Einschätzung zur Datenverlust-Prävention. Dazu gehört:

  • Policies, Prozesse und verbindliche Standards, um den Datenbesitz des Unternehmens zu schützen.
  • Data Leakage Protection, in Bezug auf:
  • archivierte Daten (durch Verschlüsselung und verfeinerte Autorisierungs-Kontrollen)
  • Datenübertragung (durch Filter und Inhalts-bezogene Policies)
  • Daten in Gebrauch (durch Endpoint- und Virtualisierungs-Kontrollen), um ihren Diskretionsstatus zu verbessern.

Verschlüsselungstechnologien können Daten vor unerlaubten Zugriff schützen, schützen aber nicht vor Diebstahl durch autorisierte Nutzer.