Die auf vertrauliche Dokumente gestempelte Warnung "Streng geheim", war Jahrzehnte lang etwas für Spionagethriller. Die Sicherung solcher Dokumente war für gewöhnlich relativ einfach: Sie wurden unter Verschluss gehalten, verborgen vor neugierigen Blicken. Doch elektronische Dateien wie Word-Dokumente, PDFs, Tabellenkalkulationen und Präsentationen sind nicht so einfach zu sichern.
Heutzutage sind sie der Lebensnerv der meisten Unternehmen und werden ohne weiteres mit Kollegen, Partnern und Kunden geteilt. Check Points neuestem Security Report zufolge werden im Durchschnitt alle 49 Sekunden sensible Daten aus dem Unternehmen gesendet. Des Weiteren verwenden 85 Prozent der Unternehmen Dropbox für die gemeinsame Nutzung von Dokumenten. Fest steht aber: Sobald ein Dokument ein Unternehmensnetzwerk verlässt, gibt es normalerweise keinen Überblick oder keine Kontrolle mehr darüber, wie es geteilt wird oder wer Zugriff darauf hat.
Auf diesem Wege werden allerdings die Inhalte der Dokumente, vor allem aber auch die Unternehmen selbst in Gefahr gebracht. Ein Paradebeispiel hierfür ist der jüngste Sony Pictures-Hack, bei dem Cyber-Kriminelle eine Fülle an persönlichen Informationen über Angestellte sowie private Korrespondenz über mehrere sehr bekannte Dritte stahlen und veröffentlichten.
Dokumente richtig schützen
Ob vertrauliche Informationen des Unternehmens, Mitarbeiterdaten oder anderes sensibles Material - Hauptproblem ist, dass die Sicherung der Inhalte von Geschäftsdokumenten für die Mitarbeiter, die sie erstellen, normalerweise keine Priorität hat. Hingegen wird angenommen, dass die Dokumente innerhalb der Sicherheitsinfrastruktur des Unternehmensnetzwerks sicher bleiben und dass kein unabsichtlicher Versand an unautorisierte Personen erfolgt oder die Dokumente mit diesen geteilt werden. Jedoch hat sich in den letzten zehn Jahren wiederholt gezeigt, dass ungeschützte Dokumente infolge zufälliger oder böswilliger Aktivitäten in die falschen Hände fallen. Unternehmen können sich somit nicht immer auf ihre Netzwerksicherheit oder auf die auf den Notebooks und Mobilgeräten der Mitarbeiter installierte Sicherheitssoftware verlassen, um Dokumente zu sichern.
Es stellt sich daher die Frage, wie diese Dateien mit einem modernen, durchsetzbaren und verfolgbaren Äquivalent eines "Streng geheim"-Hinweises gesichert werden können, der dafür sorgt, dass nur autorisierten Personen die Sichtung und Nutzung der Dokumente erlaubt ist.
Traditionell wurden Dokumente mithilfe einer Lösung eines OEM- oder Aftermarket-Anbieters passwortgeschützt: Sobald ein Dokument gesperrt ist, kann es nur durch Eingabe eines Passworts oder durch die Verwendung der gleichen Entschlüsselungssoftware, die auch der Absender gebraucht, entsperrt werden. Das Problem bei dieser Methode ist, dass Passwörter verloren gehen, vergessen oder kompromittiert werden. Einfacher Passwortschutz bietet somit nicht mehr die Schutzebene, die Unternehmen in der heutigen Zeit benötigen.
Digitales Rechte-Management ist unabdingbar
Erforderlich ist ein Datenschutz, der über die grundlegende Datenverschlüsselung hinausgeht. Dies kann durch Hinzufügen von geschäftsorientiertem, digitalem Rechtemanagement erreicht werden. Unternehmen ermöglicht dieser Ansatz, individuell festzulegen, wie sie ihre Dokumente sichern. Die Sicherheit sollte bereits bei der Erstellung eines neuen Dokuments eingerichtet und stets aufrechterhalten werden. Dies garantiert die kontinuierliche Umsetzung der Unternehmensrichtlinien, wobei vollständig protokolliert und geprüft wird, wer auf das Dokument zugegriffen hat und mit wem es geteilt wurde.
Dies kann mithilfe eines Slim-Client für Dokumentensicherheit erfolgen, der auf PCs und Mobilgeräten verwendet werden und als Plug-in für beliebte Unternehmensprogramme wie Microsoft Office und Adobe Acrobat dienen kann. Bei der Erstellung eines Dokuments mit diesen Programmen verwendet der Autor das Sicherheits-Plug-in, um die Nutzer oder Gruppen zu bestimmen, die es sehen und bearbeiten können. Außerdem legt er fest, wie das Dokument verteilt werden kann - beispielsweise durch Ausdruck oder durch Verhinderung der Weiterleitung an andere. Dokumente sowie Daten, die auf nicht vertrauenswürdigen Geräten oder Cloud-Diensten gespeichert sind, werden dadurch gesichert. Zudem wird gewährleistet, dass die Daten hoch verschlüsselt bleiben und stets nur namentlich genannten Empfängern zugänglich sind, die vom Autor des Dokuments festgelegt sind.
Versucht ein Nutzer, ein geschütztes Dokument ohne den geeigneten Client auf seinem Gerät zu öffnen, wird ihm ein einseitiger Dokumenten-"Umschlag" angezeigt, der ihm mitteilt, das Dokument sei geschützt. Im Anschluss führt er ihn zum Download des entsprechenden Clients, um das geschützte Dokument sehen oder bearbeiten zu können. Der Client-Plugin fängt Dokumentenaktivitäten ab und bestimmt, welche Funktionen erlaubt sind oder blockiert werden, und zwar auf Basis der dem Nutzer gewährten Genehmigungen wie Lesen, Bearbeiten, Sichern, Drucken, screengrab oder Kopieren/Einfügen. Im Umkehrschluss bedeutet dies: Verlässt ein Nutzer das Unternehmen, wird ihm sein Zugriff auf die geschützten Dokumente entzogen.
Die Fähigkeit, granulare Zugriffskontrolle und Rechtemanagement darauf anzuwenden, wie und von welchem Nutzer Dokumente geteilt, gesichtet und bearbeitet werden können, ist eine starke Waffe im Sicherheitsarsenal eines Unternehmens. Die Fokussierung auf Management und Schutz der Nutzung von Geschäftsdaten und -dokumenten vereinfacht die Sicherheitsherausforderung - insbesondere angesichts des schnellen Wachstums im Bereich des mobilen und ortsunabhängigen Arbeitens.
Eigentlich spielt das Gerät, das für den Zugriff und die Verarbeitung des Dokuments verwendet wird, keine Rolle, solange die Person die entsprechenden Rechte hat. Mit dem dokumentenzentrierten Ansatz können Unternehmen ihre sensiblen Informationen vor neugierigen Augen Dritter schützen und damit der Bedeutung "Streng geheim" gerecht werden.
- Die besten Security-Appliances
In großen und komplexen Netzwerken mit hohem Datenaufkommen ist es sinnvoll, Sicherheitsfunktionen wie die Firewall oder den Virenschutz in eigene Appliances auszulagern. Wir stellen verschiedene dieser Sicherheitslösungen vor. - Check Point 1100
Für die Außenstelle hat Central Point die UTM-Appliances der 1100er-Serie im Programm. Das Einstiegsmodell mit 10 GBit-Ethernet-Ports liefert eine Threat-Prevention für Büros mit bis zu 50 Mitarbeitern und dient auch gleich als sicherer WLAN-Access-Point. Optional ist das Gerät auch mit integriertem ADSL-Model verfügbar. - Check Point 41000
Am entgegengesetzten Ende der Check-Point-Modellpalette liegen die Enterprise- und Carrier-Systeme. Das modulare 41000 Security System ist für einen Firewall-Durchsatz von bis zu 40 Gbps ausgelegt. Das System ist über sogenannte Software Blades erweiterbar. In der Grundversion stehen die folgenden Funktionen bereits bereit: Firewall, IPsec VPN, Identity Awareness, Advanced Networking sowie Acceleration & Clustering. - Cisco ASA5500
Ciscos Next-Generation-Firewalls der 5000er-Serie für Kleinunternehmen oder Filialen reichen vom Einstiegsmodell ASA 5505 mit einem Stateful-Inspection-Durchsatz von 150 Mbps bis hin zur ASA 5515-X, die 1,2 Gbps bewältigen kann. - Cisco ASA5585-X
Die Enterprise-Firewall ASA 5585-X von Cisco wird mit verschiedenen Service-Modulen kombiniert. In der hier abgebildeten Spitzenversion mit dem Security Services Processor-60 (SSP-60) liefert die Next-Generation-Firewall eine Stateful-Inspection-Firewall-Performance von bis zu 40 Gbps. - Dell SuperMassive 9800
Die SuperMassive 9800 ist das neue Spitzenmodell unter den Next-Generation-Firewalls der 9000er-Serie von Dell. Sie soll bis zu 20 Gbit/s Leistung bei der Deep-Packet-Inspection bringen. - Fortinet FortiGate 5000
Laut Fortinet ist die FortiGate 5144C die erste Firewall mit einem Durchsatz von mehr als einem Terabit pro Sekunde. Das FortiGate-5144C-Chassis bietet Platz für bis zu 14 Security-Blades, mit dem FortiController-5913C kann auch ein 100-GbE-Controller eingesetzt werden. - Fortinet FortiWiFi 60D
Die FortiWiFi-60D-Appliance gehört zur Connected-UTM-Serie von Fortinet. Das Gerät ist für den umfassenden Schutz kleinerer Firmen und Zweigstellen bestimmt und bietet neben sieben Gigabit-Ethernet-Ports auch einen WLAN-Access-Point, der 802.11n auf beiden Bändern unterstützt. - Netgear UTM25S
Die Geräte aus Netgears UMT-S-Serie sollen den bisherigen Router ersetzen und so für Kleinbetriebe, Zweigstellen und auch Privatanwender eine umfassende Sicherheitslösung darstellen. Das UMT25S bietet zwei GBit-WAN und vier GBit-LAN-Ports und unterstützt zudem den 802.11n-WLAN-Standard auf dem 2,4- und dem 5-GHz-Frequenzband. - McAfee M-4050
Die McAfee-Appliance M-4050 ist ein Intrusion Prevention System mit integrierter Network-Access-Control-Funktion. Damit soll die Appliance das Netzwerk nicht nur vor Angriffen von außen schützen, sondern auch die Verwendung nicht genehmigter Endgeräte im Firmennetzwerk unter Kontrolle halten. - McAfee N-450
Die McAfee-Appliance N-450 ist ein Bespiel für hochspezialisierte Security-Appliance: Sie ist eine reine Network-Access-Control-(NAC) Appliance die sicherstellen soll, dass nur bekannte und sichere Endgeräte Zugriff auf das Firmennetzwerk erhalten. Für Gäste und externe Dienstleister können auf Regeln basierende Zugriffsrechte definiert werden, die sie etwa auch ein spezielles Gast-Portal weiterleiten. - McAfee Next Generation Firewall
McAfee hat Entwicklung effektiver Next-Generation-Firewalls den finnischen Anbieter Stonesoft gekauft. Eines der Resultate aus dieser Übernahme sind die Firewall-Appliances der 3200-Serie. Mit einem Stateful-Inspection-Durchsatz von bis 30 Gbps sind sie für den Schutz größerer Netzwerke ausgelegt. - WatchGuard FireboxT10
Die Lösung Firebox T10 hat WatchGuard speziell für SOHO- (Small and Home Office), Einzelhandels- und Filialumgebungen entwickelt. Egal ob stand-alone betrieben oder von der Unternehmenszentrale aus gesteuert: Die Appliance bietet einen theoretischen Firewall-Durchsatz von 200 Mbps beziehungsweise eine 55 Mbps UTM-Performance und verfügt über drei 1-Gigabit-Ethernetports. Konfigurationswerkzeuge und WatchGuards RapidDeploy-Technologie helfen Netzwerkadministratoren, die Firebox T10 in kurzer Zeit per Fernzugriff in Betrieb zu nehmen. - WatchGuard Firebox M440
- Palo Alto Appliance PA-5060
Der Firewall-Durchsatz beträgt 20 Gbps.