Verschlüsselung sensibler Daten wird verschlafen
Im Grunde genommen geht es darum, ein Sicherheitskonzept für diese fünf Prozent an geschäftskritischen Informationen zu entwickeln und die Mitarbeiter zu sensibilisieren - "damit sie nicht im Sportverein darüber reden". Rechner, auf denen diese Informationen verarbeitet würden, müssen Karden zufolge verschlüsselt sein. "Gerade bei Einbruchdiebstählen stellen wir fest, dass 50 Prozent der Rechner in KMUs und fast 90 Prozent der USB-Sticks nicht verschlüsselt sind." Seine Devise ist simpel und daher effektiv: "Gesichert aufbewahren, gesichert kommunizieren." Damit sei schon eine Menge für die Sicherheit getan, und das Konzept ließe sich relativ schnell umsetzen. Schutz vor Spionage sei schließlich nichts anderes als Schutz vor einem Einbruchdiebstahl, sagt der Verfassungsschützer: "Man muss versuchen, den Täter möglichst lange vor der Tür zu halten."
Grundschutz - der Mindeststandard
Gartners Security-Analyst Carsten Casper empfiehlt kleinen und mittleren Unternehmen, sich auf drei Schritte zu konzentrieren, um zumindest einen Anfang zum Schutz ihrer geschäftskritischen Informationen zu machen.
-
Klassifizieren: Unternehmen müssen die Spreu vom Weizen trennen und festlegen, über welche Arten von Daten und Informationen sie verfügen. Schließlich sind Schutzmaßnahmen teuer, und es lohnt sich nicht, sie auf alle Formen von Informationen anzuwenden. In einem ersten Schritt gilt es, den Verantwortlichen und die Art der Klassifizierung zu definieren. Anschließend werden die Daten und Informationen aufgrund ihrer Vertrauenswürdigkeit in verschiedene Klassen eingeteilt. Hier machen Unternehmen häufig den Fehler, sehr detaillierte Schemen aus vier bis sechs Stufen zu erstellen. Drei Sicherheitsklassen reichen nach Ansicht von Gartner-Analyst Casper meist aus: öffentlich, intern und vertraulich.
-
Verschlüsseln: Die Kryptografie spielt eine wesentliche Rolle, da man die weltweit kursierenden Informationen aus dem Unternehmen nicht konsequent schützen kann. Da man sich zudem nicht nur auf die Zugriffskontrollen des Betriebssystems verlassen sollte, rät Casper, Informationen nach Möglichkeit zu verschlüsseln. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder.
-
Datenlecks abdichten: Das Thema Data Leakage Protection beziehungsweise Data Loss Prevention (DLP) ist ein Wachstumsbereich der Sicherheitsbranche, der allerdings in Deutschland noch in den Kinderschuhen steckt. Mit den Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. Zudem sind die Lösungen eher für den Einsatz in größeren Unternehmen konzipiert.
- Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen. - Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen. - Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters. - Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten. - Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder. - Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. - IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen. - Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar. - Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden. - Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen. - Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte. - Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte. - Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen. - Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen. - Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters. - Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten. - Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder. - Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. - IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen. - Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar. - Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden. - Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen. - Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte. - Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte. - Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen. - Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen. - Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters. - Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten. - Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder. - Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. - IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen. - Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar. - Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden. - Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen. - Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte. - Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte.