Sicherheit im Unternehmen: Achillesferse Mitarbeiter
In den vergangenen drei Jahren sind gut zwei Drittel der deutschen Industrieunternehmen Opfer von Datendiebstahl, Spionage oder Sabotage geworden. Die Angriffe erfolgten in 65 Prozent der Fälle über Mitarbeiter. Thomas Deutschmann gibt im Gastbeitrag für silicon.de Tipps, wie sich solche Datenverluste vermeiden lassen.
Ransomware, Trojaner und Malware – häufig halten Unternehmen Hackerangriffe für das größte Sicherheitsrisiko. Eine aktuelle Studie des Branchenverbandes Bitkom scheint dies zu bestätigen: Demnach sind in den vergangenen drei Jahren 69 Prozent der deutschen Industrieunternehmen Opfer von Datendiebstahl, Spionage oder Sabotage geworden. Weitere internationale Studien kommen zu ähnlichen Ergebnissen. Doch in einem Großteil der Fälle sind es nicht Angreifer von außen, die Lücken im Firmennetzwerk ausnutzen.
Der Angriff auf die wertvollen Unternehmensdaten erfolgt in 65 Prozent der Fälle über aktuelle oder ehemalige Mitarbeiter. Sei es der Verlust eines Smartphones mitsamt Passwörtern und wichtigen E-Mail-Anhängen oder der bewusste Diebstahl von Unternehmensdaten – die Konsequenzen für das Unternehmen können fatal sein.
Das Risiko, das von den eigenen Mitarbeitern ausgeht, lässt sich nicht vollständig eliminieren, aber erheblich eindämmen. Doch Unternehmen sind nur selten genauso gut mit Mitteln und Tools gegen interne Angriffe ausgestattet wie gegen Attacken von außen. Die folgenden Tipps helfen bei der Entwicklung einer nachhaltigen internen Sicherheitsstrategie:
1. Differenzierte Zugriffsrechte einführen
Prinzipiell gilt: Vertrauliche Dokumente sollten stets in einer geschützten Umgebung abgelegt werden. E-Mail-Postfächer, Consumer-Filesharing-Dienste und selbst lokale Speichermedien sind potentiell unsicher und anfällig für Hacking-Angriffe oder menschliches Versagen.
Um sensible Daten effektiver zu schützen, müssen Mitarbeiter aus unterschiedlichen Abteilungen mit den passenden Zugriffsrechten ausgestattet werden. Damit wird das Sicherheitsziel des Need-to-know-Prinzips erfüllt: Werden Dokumente und Datensätze nicht unmittelbar für eine Aufgabe benötigt, erhält der jeweilige Mitarbeiter auch keinen Zugriff. Durch verschiedene Abstufungen lassen sich unternehmensintern sogenannte “Chinese Walls” hochziehen, die den Informationsaustausch zwischen unterschiedlichen Abteilungen verhindern. So kann der Umfang eines etwaigen Datenverlusts begrenzt werden.
2. Hochsichere Zweifach-Authentifizierung nutzen
Gerade wenn das Passwort geknackt wurde, ist die Zweifach-Authentifizierung Gold wert. Für den Zugriff auf das System muss der Anwender dann nämlich nicht nur sein Passwort eingeben, sondern erhält zusätzlich eine Tan per SMS oder scannt den QR-Code mit dem Handy, so dass er nur für eine Sitzung oder einen Tag Zugriff auf das System hat. Ein Angreifer müsste also nicht nur das Passwort kennen, sondern auch im Besitz des Mobiltelefons sein, um sich im System anzumelden.
3. Informationen abschirmen
Selbst ein durch und durch ausgeklügeltes System für Zugriffsrechte hilft nichts, wenn IT-Administratoren alles einsehen und nach Belieben unbemerkt herunterladen, ändern oder löschen können. Gleiches gilt für den Anbieter der Lösung. IT-Personal und -Dienstleister werden gerne vergessen, sollten aber beim Verteilen der Zugriffsrechte unbedingt berücksichtigt werden. Gerade der Anbieter darf niemals Zugriff auf die Dokumente erhalten, die mit seiner Lösung verwaltet werden, da sonst Datenschutzbestimmungen eventuell nicht erfüllt werden und Vertraulichkeit nicht gegeben ist.
4. Information Rights Management implementieren
Mit Information-Rights-Management-Technologien lassen sich sensible Dokumente kontrollieren und beispielsweise vor unerwünschtem Herunterladen oder Ausdrucken schützen. Dadurch behält man effektiv die Kontrolle über Dokumente, auch wenn Anwender zum Zugriff auf die Informationen berechtigt sind. Der Administrator kann dabei unternehmensweit gewisse Security-Policies für verschiedene Schutzklassen festlegen und so etwa interne, vertrauliche und streng vertrauliche Dokumente mit unterschiedlichen Schutzmechanismen versehen. Ein Beispiel: Streng vertrauliche Dokumente sollten den Datenraum auf keinen Fall verlassen und dürfen deshalb weder heruntergeladen, noch ausgedruckt werden.
5. Historie revisionssicher aufzeichnen
Um einen Datendiebstahl zu verhindern oder im Nachhinein aufzudecken, bietet es sich an, alle Vorgänge in einer revisionssicheren Historie aufzuzeichnen. Das ermöglicht einen durchgehend transparenten und nachvollziehbaren Informationsfluss. In Kombination mit Information Rights Management können gerade Innentäter schneller entlarvt werden, da der Zugriff im System protokolliert wurde.