Der jüngst durch gestohlene Kundendaten der Liechtensteiner LTG-Bank ins Rollen gebrachte Steuerskandal heizte die Diskussion um das Thema Datenverlust und Informationssicherheit kräftig an. Dabei handelt es sich hier nur um die Spitze des Eisberges. Denn Datendiebstahl und Informationsverlust sind längst keine Ausnahmen in Unternehmen. Das Berliner Beratungsunternehmen it-function will Entscheider und Mitarbeiter in Firmen für die Brisanz des Themas Informationssicherheit und Rechtevergabe sensibilisieren und so den Weg ebenen für eine durchgängige Informationssicherheit. Business Technology sprach mit it-function Geschäftsführer Andreas Hepfner.
Herr Hepfner, wie ist es Ihrer Meinung nach um das Thema der Datensicherheit in Unternehmen bestellt?
Andreas Hepfner: Unserer Einschätzung nach ist das Gros der verursachten Schäden in Unternehmen nicht etwa ein Ergebnis von Angriffen von Außen (Trojaner, Würmer etc.). Vielmehr entstehen die größten Risiken durch internen Datenmissbrauch oder aufgrund eines unachtsamen Umgangs mit elektronischen Daten in den Unternehmen. So ist es vielfach ein leichteres, unternehmenskritische Daten zu kopieren, auszudrucken oder etwa per E-Mail zu versenden.
Das heißt im Umkehrschluss, dass viele Entscheider und IT-Verantwortliche sich der Risiken noch immer nicht bewusst sind. Vielfach werden die Verantwortlichen erst dann aufgeschreckt, wenn der Schaden bekannt wird. Da bildet der Liechtensteiner Steuerskandal keine Ausnahme. Und was noch viel entscheidender ist sind die dadurch entstehenden Schäden, in finanzieller Hinsicht als auch durch Imageverluste.
Da zeigt sich doch ein eindeutiger Handlungsbedarf rund um die Informationssicherheit. Was sollte man also tun?
Hepfner: In der Geschäftswelt ist heute unumstritten, dass die regelmäßige Aktualisierung der IT-Umgebung mitentscheidend ist für den unternehmerischen Erfolg. Für eine umfassende und durchgängige Sicherheitsstrategie gilt das allerdings noch nicht. Dabei sollten Informationen als Vermögenswert angesehen und entsprechend geschützt werden. Hoffen hilft hier wenig. Ein Grund dafür ist, dass Informationstransfer, um einen neutralen Begriff für die Übermittlung von Daten an Unbefugte zu verwenden, allzu leicht ist.
Dem ungewollten Datenabfluss vorzubeugen ist eine der dringlichsten Aufgaben für Unternehmen. Nur mit einer klaren Security-Policy lassen sich geschäftsschädigende Risiken minimieren. Der Knackpunkt ist, Daten als Unternehmenswert anzuerkennen und entsprechend zu schützen. Für uns stellt sich deshalb vor allem die Frage, wie wir Unternehmen für die Notwendigkeit von Informationssicherheit sensibilisieren können.
Wie soll das konkret geschehen und welche technischen Möglichkeiten gibt es?
Hepfner: Viele glauben durch Nichtsichtbarkeit oder „Read-only“-Flags im Fileshare oder in ihrem Dokumentenmanagement-System an einen ausreichenden Schutz. Dabei wird aber oftmals übersehen, dass diese Regeln durch Kopieren einfach aufgehoben werden können und der Nutzer dann vollen Zugriff auf die Dokumente erhält. Um dies zu verhindern, bieten Unternehmen mittlerweile sehr ausgereifte Technologien an. Sei es Information Rights Management (IRM) von EMC oder das Digital Rights Management (DRM) von Microsoft, um nur zwei zu nennen. Die Lösungen dienen generell der Verwaltung digitaler Rechte und zielen darauf, Daten- und Dokumente dauerhaft vor unautorisierter Nutzung zu schützen und digitale Rechte für den unternehmensweiten Dokumentenaustausch zu verwalten. Diese Rechtevergabe-Lösungen sind flexibel, zuverlässig und sie bieten zudem neue Möglichkeiten, Dokumente und geistiges Eigentum vor unberechtigtem Zugriff zu schützen.
Selbst wenn einer Person ein elektronisches Dokument vorliegt, kann diese es nicht zwangsläufig betrachten, editieren, Inhalte kopieren oder weiterleiten. Die Lösung liegt in einer automatisierten Rechtevergabe, durch die sich Dokumente gezielt dem gewünschten Personenkreis zuordnen lassen. Ausgestattet mit verschiedenen Lese-, Zugriffs- und Bearbeitungsrechten ist ein Zugriff damit unterschiedlich administrierbar sowie lokal oder weltweit anwendbar. Mit diesen elektronischen Vergabeverfahren ergeben sich für Unternehmen sehr einfache und zugleich effektive Sicherheitsmechanismen im gesamten Dokumentenmanagement-Prozess.
Sind aus Ihrer Perspektive bestimmte Bereiche und Branchen besonders stark betroffen?
Hepfner: Der Bedarf an internen Schutzmechanismen ist groß und zwar branchenübergreifend. Sei es bei Banken und Versicherungen mit ihren sensiblen Kundendaten, der Pharmaindustrie mit kostspieligen Arzneimittelforschungen oder der Automobilbranche, die seit Jahren verstärkt auf ausländische Produktionsstandorte setzt und dadurch Gefahr läuft, dass Produktinformationen unwissentlich in falsche Hände gelangen. Hinzu kommt, dass sich aufgrund interner Stellenwechsel, Beförderungen oder Entlassungen regelmäßig Zugriffsrechte ändern. Diese Komplexität managen Rechtevergabe-Lösungen flexibel und zuverlässig und sie bieten zudem neue Möglichkeiten, Dokumente und geistiges Eigentum vor unberechtigtem Zugriff zu schützen.
Herr Hepfner, wir bedanken uns für das Gespräch
