Drohende Gefahren sind beispielsweise Daten, die nicht ausschreitend geschützt werden, was die Existenz ganzer Unternehmen bedrohen kann. Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) am Horizont kann das noch viel eher passieren - Strafen von bis zu 20 Millionen Euro sprechen eine klare Sprache. Und all das, obwohl gute Tools nur ein paar Klicks weit entfernt sind.
Daten-GAU vorprogrammiert
Die oben genannten Beispiele mögen zunächst drastisch klingen. Aber angesichts der wachsenden Bedeutung von Daten, können fehlende oder unausgereifte Schutzmechanismen schwerwiegende Konsequenzen haben. Denn Daten sind heute nicht mehr nur reine Informationen. Vielmehr entscheiden sie über das Wohl und Wehe von Unternehmen.
Derweil vergeht kaum eine Woche, ohne dass über Fälle von Datenlecks berichtet wird - und dabei handelt es sich nur um die wirklich großen Ereignisse. Über die täglichen Hacks und Sicherheitslücken, die häufig kleine und mittelständische Unternehmen betreffen, erfährt selbst der interessierteste Leser nichts. Dabei ereigneten sich allein 2016 laut des Jahresberichts des Identity Theft Ressource Centers rund 1.100 Datenlecks weltweit.
Nicht nur angesichts der Werte, die Daten heutzutage zugrunde liegen - Facebook und Google wissen sehr wohl um ihren Wert - ist der sorglose Umgang mit ihnen verwunderlich. Berücksichtigt man besonders die bereits heute in vielen Firmen vorhandenen, aber nicht genutzten Datensicherheitslösungen, ist Aufklärung dringend geboten.
Lesetipp: eBook zum Thema DSGVO
Ein pominentes Beispiel ist die Verschlüsselungslösung. Die Software ist seit den Ultimate- und Enterprise-Versionen von Windows Vista sowie Windows 7 integraler Bestandteil dieser Betriebssysteme. Auch Windows 10 verfügt in der Pro-, Enterprise- sowie der Education-Version über das Datensicherheits-Tool - trotzdem wird es flächendeckend nicht eingesetzt.
Kostenlos und automatisch verfügbar
Die Situation ist alles andere als selten: Im November 2017 hatte Windows 10 einen Marktanteil von rund 32 Prozent; nur Windows 7 lag mit etwa 43 Prozent noch darüber. Demnach sind allein diese beiden Betriebssysteme bereits in drei Vierteln aller Rechner zu finden - und somit verfügen derzeit sehr viele Unternehmen schon über die darin kostenlos integrierte Version der nativen Verschlüsselungslösung BitLocker.
Zudem ist heute schon absehbar, dass das Tool in den kommenden Jahren noch einmal auf deutlich mehr Unternehmensrechnern zur Verfügung stehen wird: So prognostizieren die Analysten von Gartner, dass bis Ende 2017 rund 85 Prozent der Firmen zumindest mit dem Rollout auf Windows 10 begonnen haben werden.
Noch ein Stück weiter gehen die Experten von Dimensional Research und Ivanti. Ihnen zufolge dürfte die Quote der Firmen, die mit der Umstellung begonnen haben, sogar bei 91 Prozent liegen. Damit würden die allermeisten Unternehmen Anfang 2018 über die Möglichkeit verfügen, die leicht bedienbaren und umfangreichen Funktionen von BitLocker ungehindert zu nutzen.
Datensicherheit nach dem Sankt-Florian-Prinzip?
2015 wurde mit dem IT-Sicherheitsgesetz in Deutschland bereits eine Rechtslage geschaffen, die deutlich höhere Anforderungen an den Schutz von IT-Infrastrukturen stellt. Auch fordert das Gesetz mehr Transparenz bei der Kommunikation im Falle von Hacker-Angriffen und Datenlecks. Unter diesen Umständen hätten private sowie öffentliche Organisationen eigentlich ihre Sicherheitsmaßnahmen bereits anpassen müssen - geschehen ist allerdings nur wenig.
Zu viele Verantwortliche handelten bisher eher nach dem Sankt-Florian-Prinzip: "Verschon' mein Haus / Zünd' and're an!" Doch spätestens mit der anstehenden Datenschutz-Grundverordnung (DSGVO) muss ein Umdenken stattfinden. Denn die weitreichenden Vorgaben zum Datenschutz und zur Datensicherheit und die zu erwartenden Strafen bei Nichtbefolgung sind absolut ernst zu nehmen. Andernfalls riskieren Geschäftsführer, CEOs und IT-Fachleute, dass eigentlich gesunde Unternehmen ins Straucheln geraten. Daher sollten native Sicherheitslösungen wie BitLocker keineswegs außeracht gelassen werden.
Lesetipp: Infineon entwickelt Verschlüsselung, die auch Quantencomputer nicht knacken können
DSGVO-Compliance - nur ein paar Klicks entfernt
Mit der Eindeutigkeit von Rechtstexten ist es immer so eine Sache und die Datenschutz-Grundverordnung macht hier keine Ausnahme. Doch an einer Stelle überrascht die EU-Verordnung: In Artikel 32, Absatz 1, Punkt a werden die Pseudonymisierung sowie die Verschlüsselung ausdrücklich als "angemessenes Schutzniveau" bezeichnet.
Denn sind Daten verschlüsselt, gelten sie selbst bei einem Datenleck nicht als kompromittiert. Schließlich sind sie für den Datendieb wertlos. Angesichts des einfachen wie kostenlosen Zugangs zu BitLocker können so gerade kleine und mittlere Unternehmen (KMU) einen großen Schritt in Richtung DSGVO-Compliance tun. Bereits in der Standard-Einstellung erfolgt die Ende-zu-Ende-Verschlüsselung über BitLocker in sicheren 128 Bit - erweiterbar auf bis zu 256 Bit.
Unter Windows 10 bietet die Lösung zudem eine Zwei-Faktor-Authentifizierung für den Systemstart. Dieser erfolgt entweder mittels PIN oder eines Systemstartschlüssels in Form eines Wechseldatenträgers. Das sorgt für zusätzliche Sicherheit, insbesondere bei mobilen Geräten wie Laptops, die im schlimmsten Falle verloren gehen können.
Ist die Verschlüsselung von BitLocker aber erstmal aktiviert, sind die Daten auf der Festplatte vor dem Zugriff Unbefugter sicher geschützt. Und das denkbar einfach: Denn über die BitLocker-Verwaltung können Festplatten oder Datenträger mit wenigen Klicks einfach ausgewählt und verschlüsselt werden. Bei kleinen und mittleren Unternehmen ist das besonders einfach, wenn es sich nur um eine Handvoll Rechner handelt.
Komplexität mit intelligentem Key-Management begegnen
Steigt die Anzahl der Mitarbeiter und somit die Anzahl der zu verschlüsselnden Rechner, kann allerdings auch die einfache Handhabung von BitLocker zur echten Herausforderung werden. Immerhin wächst mit der Menge an Geräten - mehrere Windows-PCs mit zwei und mehr Festplattenpartitionen sowie unterschiedlichen Authentifizierungsleveln - auch die Anzahl an Passwörtern und Verschlüsselungs-Keys. Die Komplexität ist allerdings dank Management-Lösungen in den Griff zu bekommen. So ist es etwa möglich, die gesamte Verschlüsselungsumgebung von BitLocker über einen einzigen Endpoint zu steuern. Die sich daraus ergebenden Vorteile sind unter anderem:
Mehrere Benutzer lassen sich für ein System freischalten - bei gleich hohem Sicherheitsniveau.
Eine Multi-Faktor-Authentifizierung sichert die Freigabe noch vor dem eigentlichen Systemstart. Das schützt nicht nur die Daten, sondern das gesamte System vor unerlaubtem Zugriff.
Alle Verschlüsselungs-Keys können von einer zentralen Konsole aus verwaltet werden - so kommen Mitarbeiter erst gar nicht in Verlegenheit, sich mehrere Passwörter zu merken.
Da homogene IT-Landschaften heutzutage eher Seltenheitswert haben, ermöglichen die Lösungen einiger Hersteller sogar verschiedene Verschlüsselungs-Techniken gemeinsam zentral zu steuern. Dann gelingt es auch, das Key-Management über unterschiedliche Geräte sowie verschiedene Betriebssysteme hinweg zu verwalten.
Heterogene IT-Landschaften oder BYOD-Modelle (Bring Your Own Device) stellen somit kein Hindernis mehr da, um Verschlüsselung über alle unternehmensinternen IT-Instanzen zu etablieren. Damit gelingt es beispielsweise neben BitLocker von Windows auch FileVault 2 für Mac OS X ganz bequem von einer zentralen Konsole aus zu managen.
Auf der sicheren (Daten-)Seite
Ein Datenleck ist schneller geschehen als viele sich das vorstellen können. Dabei muss die Ursache dafür auch nicht unbedingt von Hackern ausgehen. Es reicht völlig aus, wenn einem Mitarbeiter der Firmenlaptop entwendet wird. In Anbetracht solcher Szenarien und der kurz bevorstehenden Datenschutz-Grundverordnung wäre es fahrlässig, native Verschlüsselungslösungen wie BitLocker einfach nicht zu nutzen. Dabei ist es egal, ob es sich um eine kleine fünf-Mann-Firma handelt oder ein Unternehmen mit mehreren hundert Mitarbeitern.
CIOs, COOs und andere Verantwortliche müssen demnach nicht erst das Rad neu erfinden. Mit den richtigen Lösungen gelingen Verschlüsselung und Verwaltung gleichermaßen leicht - und ein entscheidender Schritt hin zur DSGVO-konformen Unternehmens-IT ist dann ebenfalls gemacht. (rw)