Checkliste mit Empfehlungen für sicheres Arbeiten unterwegs

Von unserem Gastautor Markus Kahmen, Regional Director CE, Thycotic

[datensicherheit.de, 30.07.2018] Enstprechend einer aktuellen Umfrage von SAP Concur, hat mehr als jeder zweite Deutsche schon mal während seines Urlaubs gearbeitet. Neben dem Beantworten geschäftlicher E-Mails stehen dabei vor allem Telefonkonferenzen und das Erledigen administrativer Aufgaben auf der Ferienagenda. Immerhin können dank Diensthandy, Firmenlaptop, Clouddiensten und Webkonferenzen auch Hotelzimmer, Bahnhof, Strandbar oder Café zum potenziellen Arbeitsplatz werden. Für die Sicherheit der sensiblen Unternehmensdaten bedeutet das Holiday Office jedoch eine große Herausforderung, denn der Diebstahl oder Verlust von Geräten, aber auch ungeschützte WLAN-Netzwerke sind eine allgegenwärtige Bedrohung.

Bild: Thycotic

Datensicherheit: Sechs  Tipps für das sichere Arbeiten im Urlaub

Werden Firmengeräte auch im Urlaub und auf Reisen genutzt, sollten Mitarbeiter unbedingt folgende Empfehlungen berücksichtigen, um Datenverlust, Hackerangriffen und Spionage keine Chance zu geben.

1. Login-Daten niemals auf dem Gerät speichern
   Gerade in der Urlaubszeit häufen sich Verluste und Diebstahl mobiler Endgeräte wie Handys, Laptops oder Tablet-PCs, wobei nur rund 20 Prozent der verschwundenen Geräte auch wieder auftauchen. Sind Firmengeräte betroffen ist das umso ärgerlich, denn schlimmer als der materielle Verlust des Gerätes, ist dann in der Regel der Verlust der sensiblen Unternehmensdaten. Sind diese erst einmal in die falschen Hände geraten, kann dies ungeahnte Schäden nach sich ziehen. Neben klassischen Sicherheitsmaßnahmen wie dem Einrichten von Gerätepasswörtern, Bildschirmsperren und vollständigen Backups sollten Mitarbeiter vor Reiseantritt deshalb dafür sorgen, dass keine sensiblen Passwörter oder Logins für interne Geschäftsanwendungen auf den Geräten gespeichert sind, was Dieben schnell und unkompliziert Zugriff zu sensiblen Unternehmensdaten verschaffen kann.
2. Sicherheitsupdates installieren
   Vor Reiseantritt ist es zudem unerlässlich, dafür zu sorgen, dass sowohl das Betriebssystem als auch sämtliche Anwendungen sicherheitstechnisch auf dem neuesten Stand sind. Indem alle zur Verfügung stehenden Updates installiert und bekannte Sicherheitslücken und Schwachstellen so behoben wurden, lassen sich Hackerangriffe und Manipulationen eindämmen.
3. Vorsicht vor öffentlichem WLAN
   Gerade auf Reisen sind öffentliche WLAN-Hotspots besonders attraktiv, da sie unkompliziert und kostenlos Internetzugang ermöglichen. Hiervon profitieren jedoch nicht nur die Nutzer, sondern vor allem auch Betrüger. Denn da keine Authentifizierung erforderlich ist, um eine Verbindung zum Netzwerk herzustellen, erhalten Cyberkriminelle nahezu uneingeschränkten Zugriff auf ungesicherte Geräte. Indem sie sich zwischen das Gerät und den Zugriffspunkt schalten, haben sie die Möglichkeiten, sensible Informationen wie Passwörter oder Zugangsdaten auszulesen oder zu manipulieren. Generell sollten Mitarbeiter im Urlaub ungeschützte WLAN-Netzwerke deshalb strikt meiden.
4. Kritische Logins nur über VPN
   Ist ein ungesicherterer WLAN-Hotspot die einzige Option, sollen vertrauliche Informationen übermittelt oder Passwörter geändert werden, empfiehlt sich reisenden Mitarbeitern die Einwahl über eine virtuelle private Netzwerkverbindung (VPN). Diese verschlüsselt die Internetverbindung und sämtliche übertragenen Informationen in Echtzeit und verhindert so das schnelle Auslesen von Daten. Hundertprozentige Sicherheit kann auch VPN nicht bieten, doch eine Entschlüsselung ist hier sehr aufwendig und dürfte vor allem Gelegenheitshacker abhalten.
5. Kein Zugriff Dritter auf Firmengeräte
   Firmengeräte aber auch private Laptops und Tablets, auf denen sensible geschäftliche Unterlagen gespeichert sind, sollten nur bedingt und unter strenger Überwachung von unbefugten Personen oder Familienangehörigen genutzt werden. Vor allem Kinder und andere unerfahrene Nutzer stellen dabei ein nicht zu verachtendes Sicherheitsrisiko dar. So kann der Download eines scheinbar harmlosen Online-Spiels oder das Anklicken von Phishing-Links zu Malware-Infektion führen, die unter Umständen auf das gesamte Firmennetzwerk übergreifen und weitreichende Schäden verursachen.
6. Spezielle Reisegeräte einrichten
   Je weniger sensible Daten oder kritische Unternehmensanwendungen auf Reisen gehen, desto geringer ist die Gefahr, dass diese in falsche Hände geraten. Wenn möglich sollten Mitarbeiter, die auch im Urlaub einige geschäftliche Dinge erledigen möchten, daher spezielle Reiselaptops oder -Tablets einrichten, auf denen nur die nötigsten – und vor allem keine geschäftskritischen – Unterlagen gespeichert sind. So lassen sich im Falle eines Diebstahls oder Cyberangriffs weitreichende Schäden vermeiden.

Natürlich sind nicht nur die reisenden Mitarbeiter selbst, sondern auch die Unternehmen in der Pflicht, für größtmögliche IT-Sicherheit und Datenschutz zu sorgen. So sollten zum Beispiel grundsätzlich Sicherheitslösungen im Einsatz sein, die den Security-Verantwortlichen einen Überblick geben, welcher Nutzer sich wo und über welches Gerät Zugriff auf sensible Daten oder Geschäftsanwendungen verschafft, und zudem Benutzeraktivitäten auf Basis von individuellen Verhaltensmustern analysieren, so dass verdächtige und potenziell unautorisierte Zugriffe automatisch gemeldet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 26.07.2018
Incident Response Policy Template: Kostenlos Notfallpläne erstellen

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal

datensicherheit.de, 06.07.2017
Mobile Sicherheit: Verbraucher gerade im Urlaub zu sorglos

datensicherheit.de, 20.07.2017
BITKOM gibt Sicherheitshinweise zur Handy-Nutzung im Sommerurlaub

Datenverlust kann erheblich Konsequenzen nach sich ziehen

Von unserem Gastautor Andrew Ladouceur, Clearswift

[datensicherheit.de, 16.06.2014] Jeden Tag gehen sensible Unternehmensdaten verloren. Das ist eine Tatsache. Die Datentypen in Unternehmen sind dabei vielfältig – angefangen bei Finanz- und Personaldaten, M&A-Informationen,  privaten Kundendaten, Sozialversicherungsnummern, über Vertriebsprognosen und Informationen aus Forschung und Entwicklung, bis hin zu Kreditkartennummern und kompletten Marketingstrategien.

Betrachtet man diese Liste, wird schnell deutlich, dass bereits der Verlust weniger Gigabyte für Unternehmen erhebliche Konsequenzen nach sich ziehen kann. Die schwerwiegendsten sind Rufschädigung und negatives Markenimage, Kundenverlust, finanzielle Belastungen durch Gerichtsverfahren und der Verstoß gegen Compliance-Vorschriften. Ein zusätzliches Risiko stellt der Gebrauch mobiler und persönlicher Geräte am Arbeitsplatz im Rahmen von BYOD-Initiativen und der Speicherung von Daten in der Cloud dar. Das Analystenhaus Gartner schätzt daher, dass der Markt für Data Loss Prevention (DLP) in diesem Jahr eine Größenordnung von rund 500 Millionen Euro erreichen wird.

Die Vorteile von DLP:

• DLP unterstützt Organisationen bei der Entwicklung, Schulung und Umsetzung effektiver Geschäftspraktiken im Bereich Zugriff, Handhabung und Übertragung sensibler Daten.
• DLP ermöglicht das Reporting und den Workflow zur Unterstützung von Identity und Access Management (IAM), Initiativen zur Einhaltung der gesetzlichen Vorschriften, Schutz von geistigem Eigentum und Management von Datenschutzrichtlinien. Nahezu alle Unternehmen haben mit diesen Bereichen zu kämpfen.
• DLP unterstützt die Organisationen bei der Entwicklung, Schulung und Umsetzung effektiver Geschäftspraktiken zur Handhabung und Übertragung sensibler Daten.
• DLP hilft bei der dynamischen Anwendung von Richtlinien auf Grundlage der Einstufung von Inhalten in Echtzeit und vermindert Risiken durch effektive Früherkennung.

DLP-Lösungen strategisch auswählen

Viele Unternehmen haben diese Vorteile erkannt, halten jedoch DLP-Initiativen für schwierig und  kostspielig. Traditionelle DLP-Lösungen sind in der Tat dafür bekannt, dass die Umsetzung aufwendig ist und im Durchschnitt drei Jahre dauert. Pragmatische Unternehmen integrieren DLP und nutzen die Technologie als einen von mehreren Bausteinen für die Informationssicherheit. Erfolgreiche Unternehmen verfolgen dabei einen mehrstufigen Ansatz:

Schritt 1 – Festlegen der Ebenen

Unternehmen müssen sich im Klaren darüber sein, dass DLP allein nicht alle Probleme bei der Datensicherheit löst und alle Risiken beseitigt. DLP ist lediglich ein Bestandteil eines größeren Sets von Informationssicherheits-Tools.

Schritt 2 – Lokalisieren der Daten

Viele Daten werden bewegt, ohne dass Unternehmen es wissen. Doch um Unternehmensdaten zu schützen, müssen Unternehmen wissen, wo sie abgelegt sind oder wie sie übertragen werden. Unternehmen sollten folgende Fragen leicht beantworten können: wie viele Daten befinden sich in ihrem Netzwerk, wie viele dieser Daten befinden sich in Langzeitspeichern, wie viel ist archiviert? Doch nur ein Bruchteil der Unternehmen kann verlässliche Aussagen zu seinen Datenbibliotheken treffen. Mit Hilfe eines Data-Discovery-Projekts lassen sich alle Daten im Netzwerk ausfindig machen. Es kann jedoch Monate dauern bis die Hauptspeicherorte der Daten lokalisiert, dargestellt und dokumentiert sind.

Schritt 3 – Klassifizieren der Daten

Nicht alle Daten sind gleich. Daher ist ein Projekt erforderlich, um die Daten zu klassifizieren, und zu verstehen, was geschützt werden muss und warum. Dabei sind die Risiken für den Datenschutz und generelle Gefahrenpotentiale aufzulisten, die aus einem Datenverlust resultieren können. Der erste Schritt zum Thema DLP ist dabei die Definition der wertvollen und sensiblen Daten. Eine wichtige Frage ist, wie viele der Daten der Geheimhaltung unterliegen. Noch wertvoller sind geistiges Eigentum und Betriebsgeheimnisse.

Schritt 4 – Aufsetzen einer DLP-Strategie

Organisationen brauchen eine formale DLP-Strategie, die ihren speziellen geschäftlichen und technischen Bedürfnissen und Anforderungen genügt. Am Anfang stehen die übergeordneten Ziele und erst später die jeweiligen Anforderungen. Wichtig ist ferner eine langfristige Ausrichtung, denn bei DLP handelt es sich nicht um Plug-and-Play-Technologie. Vom Anfang bis zur vollständigen Umsetzung und Optimierung sind Zeit und Nachdruck erforderlich. Unternehmen machen oft den Fehler, ihr Datenchaos durch DLP managen lassen zu wollen. Damit DLP wirklich funktioniert, sollten aber viele kleine Schritte erfolgen und die Strategie gut durchdacht sein.

Schritt 5 – Auswählen der DLP-Lösung, Erprobung und Einsatz

Sobald die Anforderungen dokumentiert sind, wird ein Pilotprojekt zur Erprobung mehrerer DLP-Produkte aufgesetzt. Hierbei wird ein Produkt unter verschiedenen Bedingungen getestet. Dazu nutzen Organisationen spezifische und objektive Metriken, um sicherzustellen, dass die Kontrollen getestet werden und präzise Ergebnisse geliefert werden.

Neue Adaptive-Redaction-Technologie

Der Trend geht hin zu einer technologischen Innovation, dem so-genannten Adaptive Redaction. Diese erweitert die traditionellen Data Loss Prevention (DLP)-Richtlinien durch das Zulassen der automatischen Entfernung sensibler und vertraulicher Informationen aus E-Mails und der webbasierten Kommunikation. Dabei wird der Inhalt gescannt und es werden sowohl „sichtbare“ als auch „unsichtbare“ Daten, die gegen die Richtlinien verstoßen, automatisch erkannt und entfernt. Die redigierten E-Mails bzw. die Anhänge werden dann ohne „Stopp und Block“ an den beabsichtigten Empfänger gesendet. Die Änderungen, die dabei stattfinden, basieren auf Richtlinien, die wiederum von den Personen abhängen, die die Informationen versenden oder erhalten. Dadurch wird der Prozess „adaptiv“.

Die Adaptive-Redaction-Funktionalität erweitert hierzu die Pattern-Analyse, die bereits in der DLP-Funktionalität zum Einsatz kommt. Eine Content Inspection Engine gewährleistet dann, dass die gesamten Informationen, die elektronisch per E-Mail oder über das Web in und aus dem Unternehmen fließen, einer tiefgreifenden Content-Analyse unterzogen werden.

Folgende Adaptive-Redaction-Optionen stehen zur Verfügung:

• Datenredaktion (Data Redaction) – Automatische Entfernung sensibler Informationen aus Webseiten, E-Mails und Dokumenten sowie Ersetzen sensibler Daten, z.B. Kreditkartennummern, durch “*”-Symbole. Damit können unberechtigte Dritte diese Daten nicht einsehen, und die Business Compliance wird sichergestellt. Dies ermöglicht Unternehmen auch den Austausch von Informationen, ohne dabei gegen gesetzliche Vorgaben zu verstoßen (z.B. PCI DSS).
• Dokumentenbereinigung (Sanitization) – Automatische Erkennung und Entfernung „unsichtbarer“ sensibler Daten aus Dokumenten, z.B. eingebettete Metadaten oder die Änderungshistorie. Damit erfüllen öffentliche Institutionen die ICO-Richtlinien zu „versteckten“ Daten.
• Strukturelle Bereinigung (Structural Sanitization) – Automatische Entfernung aktiver Inhalte aus Dateien und Webseiten. Die automatische Erkennung und Entfernung aktiver Inhalte verbessert den Schutz vor Malware im Netzwerk.

Kontextsensitive DLP ist die Zukunft

Doch auch das geht im Grunde noch nicht weit genug, denn die Endgeräte müssen ebenfalls geschützt werden. Die Endgeräte sollten Fokus jeder Sicherheitsstrategie hin zur Information Governance sein, denn umfassende Transparenz geschäftskritischer Daten zu jeder Zeit gewährleistet die sichere Zusammenarbeit. Unternehmen und einzelne Nutzer brauchen zentrale Richtlinien zum Informationsmanagement über die Endgeräte hinweg – von Laptops und Computern bis hin zu Wechselmedien wie USB-Sticks. Kontextsensitive DLP-Lösungen sind darauf ausgelegt, sich den granularen Geschäftsanforderungen anzupassen, indem sie eine zentrale Verwaltung und Durchsetzung der Richtlinien für alle Zugangspunkte ermöglicht. Dadurch können Anwender die Komplexität sowie die administrativen IT-Ressourcen reduzieren. Unser kürzlich vorgestellter Critical Information Protection Management Server integriert sich beispielsweise mit einem durchgängigen Richtliniensatz und Umsetzung des Schutzes vor Datenverlusts in die Clearswift Secure  Exchange, Web und Email Gateways und verhindert so zuverlässig böswillige und ungewollte Sicherheitsverletzungen.

Verfahren von kontextsensitiver DLP:  

• Data-In-Motion (DIM – bewegliche Daten): Beispiel: Verschickt ein Nutzer per E-Mail eine Tabelle mit personenbezogenen Daten, verhindern die SECURE-Gateways die unbefugte Weitergabe und verringern das Risiko von Sicherheitsverletzungen oder Nichteinhaltung der Richtlinien.
• Data-In-Use (DIU – genutzte Daten): Beispiel: Kopiert ein berechtigter Mitarbeiter eine Tabelle mit personenbezogenen Daten auf einen USB-Stick, informiert der Critical Information Protection Management Server diese Person. Optional können die Daten vor dem Kopieren verschlüsselt werden. Zusätzlich kann festgelegt werden, dass vorgesetzte Personen über den Vorgang informiert werden.
• Data-At-Rest (DAR – ruhende Daten): Erstellt ein Mitarbeiter eine Tabelle mit personenbezogenen Daten auf einem Laptop, protokolliert der Critical Information Protection Management Server die Erstellung der Datei um bei Verstößen gegen die Richtlinien die nötigen  Schutzmaßnahmen einleiten zu können.

Inhaltssensitive DLP kann verschiedene Maßnahmen einleiten, wenn ein Verstoß gegen bestehende Richtlinien erkannt wird. Mögliche Aktivitäten beinhalten beispielsweise die adaptive Redaktion wichtiger Informationen, ein besseres Workflow-Management, wenn Inhalte durch übergeordnete Stellen verschoben werden, Verschlüsselung und Benachrichtigung zur Sensibilisierung der Mitarbeiter für einen sicheren Umgang mit Informationen und um sie auf neue Richtlinien hinzuweisen – dadurch stehen zusätzliche kontextbasierte Vorgehensweisen in DLP-Lösungen zur Verfügung.

Fazit

In unserer Zeit ist es ein Muss für eine digital versierte Belegschaft permanent online zu sein und in Echtzeit zu kommunizieren. Mitarbeiter wollen dabei mit jedem Endgerät an jedem Ort zusammenarbeiten können. Unternehmen müssen derartige Kommunikation und Zusammenarbeit über alle Kanäle hinweg erleichtern, aber gleichzeitig den Schutz von wichtigen Informationen und geistigen Eigentumsrechten angemessen gewährleisten. Moderne DLP-Lösungen gehen auf diesen Bedarf ein, indem sie einen sicheren Informationsaustausch und umfassend durchgängige Richtlinien über alle Kommunikationswege hinweg schafft. So können sich Unternehmen sicher sein, dass ihre Daten geschützt behandelt werden. Damit können sie nicht nur die Wahrscheinlichkeit von Sicherheitsverletzungen erheblich reduzieren, sondern haben darüber hinaus die Gewissheit, dass sie ihre eigenen Verpflichtungen zum Schutz sensibler Daten eingehalten haben.

© Clearswift

Andrew Ladouceur, Clearswift

Website: http://www.clearswift.de

[datensicherheit.de, 05.02.2014] Beta Systems Software AG, langjähriger Anbieter im Bereich „Data Center Infrastructure“ (DCI), gibt 4 Tipps für den Aufbau eines modernen und intelligenten Rechenzentrums. Unternehmensdaten bergen viele „Schätze“ wie Geschäfts- oder Operations-Informationen in den Rechenzentren. Um ihre Wettbewerbsfähigkeit und Reaktionsgeschwindigkeit weiter zu erhöhen, setzen Unternehmen zunehmend auf die effiziente unternehmensweite und plattformübergreifende Auswertung und Nutzung dieser Daten. Gleichzeitig führt das ungebremste Wachstum der Unternehmensdaten zu einem starken Zuwachs von Daten auf der Non-z/OS-Seite. Welche Technologien sind erforderlich, um diese „Schätze“ zu heben und einen „Return-on-Data“ zu erzielen? Der Berliner Softwareanbieter Beta Systems gibt 4 Empfehlungen, worauf Unternehmen beim Aufbau eines modernen und intelligenten Rechenzentrums achten müssen:

1. Multi-Plattformfähigkeit für die Verbindung des Rechenzentrums mit dezentralen Welten nutzen
   Damit Unternehmen einen größtmöglichen Return-on-Investment aus ihrer IT ziehen, sollte die Multi-Plattformfähigkeit wichtiges Entscheidungskriterium bei der Wahl der Infrastruktursoftware sein. Diese sollte plattformübergreifend Informationen aus allen z/OS- und Non-z/OS-Quellen für die weitere Nutzung im Rechenzentrum aufbereiten und für Anwendungen und User aus allen Geschäftsbereichen öffnen.  XML- Daten können beispielweise mit Hilfe einer modernen Infrastrukturlösung im Intranet bereitgestellt und für Aufgaben wie Monitoring, Auditing Management und Accounting eingesetzt werden. Die Auswertung dezentraler wie auch zentraler Daten an einer Stelle im Rechenzentrum benötigt eine innovative Agententechnologie, die sich einheitlich für die Verarbeitung von Jobs, Dokumenten und Logs verwenden lässt.
2. Mit einem Single Point of Information Daten effizient auswerten und prüfen
   In einem täglich genutzten Produkt werden laufend Änderungen von Anwendern oder Administratoren durchgeführt. Je nach Aufgabenstellung und Zugriffsberechtigung können dabei auch grundlegende Einstellungen wie Scan-Definitionen, das Ein- oder Ausschalten von Systemkomponenten oder Batch-Prozesse modifiziert werden. Neben unkritischen arbeitsbezogenen Änderungen gibt es ein Spektrum an unerwünschten oder schädlichen Änderungen. Dieses reicht von temporären Änderungen, die nicht rückgängig gemacht werden, bis hin zu internem, unerlaubten Zugriff auf geschützte Daten oder böswillige Änderungen an Systemeinstellungen. Um diese begutachten zu können, müssen in einer Überwachungseinheit die durchgeführten Änderungen angezeigt werden. Voraussetzung für diese umfassende Aufgabe ist, dass alle Daten an einer Stelle plattformübergreifend zur Auswertung gebracht werden. Ermöglicht wird dies durch ein durchgängiges System, Daten zu sammeln und auszuwerten, zu dem auch ein integriertes Agentennetzwerk gehört.
3. Auf Lösungen mit hoher Usability setzen
   Bei der Auswahl ihrer Rechenzentrums-Infrastruktursoftware sollten Anwender auf höchstmögliche Standards hinsichtlich der Benutzerfreundlichkeit achten. Das Produkt sollte deutlich an dem Look-&-Feel moderner Web-Anwendungen orientiert sein und von seiner Usability vielfältige Funktionen wie private Favoriten (individueller Zugriff auf die am häufigsten benötigten Informationen), Kontext-Menüs oder Links auf Begleitdokumente in einer modernen Web-Oberfläche vereinen. Nicht zuletzt verringert sich dadurch auch der Schulungsbedarf der Mitarbeiter erheblich.
4. Lösung mit umfassender, integrierter Compliance-Funktionalität wählen
   Mit Gesetzen – wie z. B. dem geplanten IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) – will der Gesetzgeber sicherstellen, dass Unternehmen, die im Bereich der kritischen Infrastruktur (einer Volkswirtschaft) tätig sind wie Finanz- und Versicherungsinstitute, den nach dem Stand der Technik angemessenen Schutz ihrer IT-Systeme nachweisen. Nach Inkrafttreten der Rechtsverordnung müssen die Unternehmen mindestens alle zwei Jahre Sicherheitsaudits durch anerkannte Auditoren durchführen. Eine Aufstellung der Sicherheitsaudits einschließlich der aufgedeckten Sicherheitsmängel ist dem Bundesamt zu übermitteln.

Eine moderne Rechenzentrums-Software sollte daher bereits eine Vielzahl automatisierter Audit-Funktionen, unter anderem für häufig durchzuführende Prüfungen wie „Ungültige Anmeldeversuche“, Passwort-Einstellungen, Berechtigungen kritischer Systemressourcen etc. bieten. Mithilfe von Reports ist das Ergebnis jeder durchgeführten Prüfung auf einen Blick sichtbar. Diese Grundschutzprüfung sollte durch die Ergebnisse einer Eigenüberwachung der Infrastruktursoftware ergänzt werden. Zusammen ergibt dies für Unternehmen eine umfassende Sicht zum Status ihrer Compliance-Einhaltung. Weiterhin ist sinnvoll, dass die Software Daten für die Steuerprüfung von Daten, die dem Datenschutz unterliegen, trennt.