Vier von zehn CISOs (Chief Information Security Officers) haben keinen klaren Überblick, über welche Datenbestände sie verfügen und wo diese Informationen liegen. Lediglich 28 Prozent werden regelmäßig selbst aktiv, um die vorhandenen Daten im Unternehmen zu kategorisieren und zu bewerten. Das sind nur zwei der beunruhigenden Erkenntnisse, welche die Sicherheitsberater von IRM in ihrem „Risky Business 2016 Report“ gewonnen haben. Ausführlich berichtete im vergangenen Juli die SecurityWeek über die Untersuchung.
Foto: optimarc - shutterstock.com
Sinn und Zweck der Verschlüsselung bezweifelt niemand. Viele Menschen erkennen allerdings nicht, wann sie im eigenen Wirkungsbereich Daten verschlüsseln müssen. In vielen Unternehmen ist sogar der Glaube verbreitet, dass gar keine Daten existieren, die sehr sensibel und vertraulich sind. An eine Verschlüsselung dieser Informationen denken IT-Entscheider konsequenterweise nicht.
Systematisches Suchen und Sortieren
In den allermeisten Fällen liegen IT-Verantwortliche mit dieser Haltung schlichtweg falsch. Jedes Unternehmen hat wertvolle Daten und die vorhandenen Informationen müssen systematisch auf den Prüfstand. In den meisten Fällen finden Firmen dabei viel mehr schützenswerte Daten als gedacht. Wenn sich sensible und vertrauliche Daten einer bestimmten Kategorie zuordnen lassen, dann folgen daraus Entscheidungsgrundlagen für die Verschlüsselung. Bei den infrage kommenden Daten lohnt es sich, vor allem die folgenden Arten näher zu betrachten.
Personaldaten im Fokus
Jede Firma – abgesehen von der Einpersonen-Firma – hat Angestellte, wodurch viele sensible Daten anfallen, die vertraulich zu behandeln sind. Das betrifft persönliche und finanzielle Informationen, Verträge, Stundenzettel, Krankmeldungen und so weiter. Vor allem Hacker interessieren sich für Personendaten, weil sich mit ihnen auf verschiedenen kriminellen Wegen möglicherweise Geld verdienen lässt.
Es ergeben sich jedoch Situationen, in denen Personendaten gezielt das Unternehmen verlassen müssen. Das geschieht beispielsweise, wenn eine Firma einen Arbeitsvertrag mit einer externen Anwaltskanzlei besprechen will oder an Lohnbüros und Steuerberater übermittelt. Diese Übermittlung vertraulicher, personenbezogener Informationen muss vor Unbefugten besonders gut geschützt sein.
Auch intern sollten Unterlagen wie Lohnabrechnungen immer verschlüsselt versendet werden. Firmen, die Abrechnungen, Stundenzettel und Krankmeldungen per E-Mail über das HR-Informationssystem versenden, sind hier nicht automatisch auf der sicheren Seite. Beim Versand aus der Applikation heraus müssen die Daten korrekt verschlüsselt werden.
Lesetipp: Ratgeber Verschlüsselung: So schützen Sie Ihre Daten
Das eigene Geschäft basiert oft auf sensiblen Daten
Kundeninformationen, Lieferantenverträge, Angebote und Ausschreibungen sind nur einige Beispiele für Geschäftsdaten, die jedes Unternehmen in irgendeiner Form besitzt. Diese Datenkategorie deckt ein weites Feld ab, zu dem nur Befugte Zugang haben dürfen. Doch was nützt der beste Zugangsschutz zum besonders gesperrten Serverbereich, wenn die Daten anschließend im Klartext per E-Mail quer durchs Internet wandern?
Es braucht nicht allzu viel Fantasie, um sich mögliche Schadenszenarien auszumalen. Es empfiehlt sich, auch Geschäftsanwendungen zu überprüfen. Denn automatisierte Reports und Berichte per E-Mail, wie sie von CRM-Systemen generiert werden, sollten nicht ungeschützt transportiert werden.
Rechtlich relevante Informationen
Die dritte schützenswerte Datenart lässt sich mit „rechtlich relevante Informationen“ beschreiben. Viele Firmen sind nach einer Überprüfung überrascht, über welch große und umfassende Datenbestände sie eigentlich verfügen. Zu verschlüsseln sind zum Beispiel strategische Absprachen zu Fusionen und Übernahmen. Selbst wenn der Vorstand per Mail nur intern über Standortfragen diskutiert, die Teile der Belegschaft betreffen, ist Verschlüsselung dringend anzuraten. Natürlich gehört die Kommunikation mit Rechtsanwälten und Patentämtern ebenso in diese Kategorie.
Antwort auf die Schlüsselfrage
Immer mehr gesetzliche Vorschriften – wie das Bundesdatenschutzgesetz – schreiben Verschlüsselung für gewisse Daten bereits zwingend vor. Die Anforderungen können sich bald auf viele weitere Rechtsräume ausdehnen, bis hin zur generellen Verschlüsselungspflicht, die sich möglicherweise aus EU-Regeln wie GDPR oder speziellen Branchenvorschriften ableiten lässt.