ChannelPartner
Alternatives Drucklayout:
› reiner Text
Link: https://www.channelpartner.de/a/ab-in-die-cloud-und-weg,3044640

Der schwierige Umgang mit sensiblen Daten

Ab in die Cloud und weg

Datum:19.03.2015
Autor(en):Frank von Stetten
Vielen Arbeitnehmern sind die Unternehmensrichtlinien im Bezug auf Cloud-Dienste nicht bekannt. Um so wichtiger ist es, dieses Arbeitsumfeld so sicher wie möglich zu gestalten.

Wohin mit sensiblen Unternehmensdaten? Nicht alles darf in die Cloud. Und das sollte gegenüber den Mitarbeitern klar kommuniziert werden.
Foto: thinglass - Fotolia.com

Jeder fünfte Mitarbeiter nutzt nicht genehmigte Cloud-Dienste zur Übertragung sensibler Unternehmensdaten. Das ist ein Ergebnis der siebten jährlichen weltweiten Market-Pulse-Studie1 von SailPoint und dem Marktforschungsinstitut Vanson Bourne. Befragt wurden 1.000 Angestellte großer Unternehmen - unter anderem aus Großbritannien, den USA und Deutschland.

Unternehmensregeln für sensible Informationen sind meistens unbekannt

Eine mögliche Ursache für den lässigen Umgang mit sensiblen Informationen liefert die Studie gleich mit: Nur wenige Arbeitnehmer kennen die Unternehmensregeln, die den Zugriff auf geschäftskritische Unternehmensdaten - speziell über die Cloud - regeln.
Das ist bedenklich, denn aufgrund der Nutzung nicht genehmigter Cloud-Dienste verlieren Unternehmen die Kontrolle über ihre Daten - auch über ihre Kronjuwelen. Deshalb ist es wichtig, Management und Mitarbeiter in Bezug auf den Umgang mit geschäftskritischen Daten zu sensibilisieren.

Der Wert einer Information

Kein Unternehmen kann alle seine Informationen gleich gut schützen. Sie sollten deshalb auf die wirklich wertvollen Daten fokussieren. Der Wert einer Information hängt vom Schaden ab, der entsteht, wenn sie in falsche Hände gerät. Dem potenziellen Schaden entsprechend wird die Information einer Vertraulichkeitsklasse zugeordnet. Typische Vertraulichkeitsklassen sind:

  • Public (öffentlich)
    Eine Veröffentlichung hat keinen negativen Einfluss oder ist sogar gewollt.

  • Company Internal (intern) oder Company restricted
    Eine Veröffentlichung verursacht keinen oder nur einen geringen Schaden. Dies ist die Standardklasse.

  • Company Confidential (vertraulich)
    Die Veröffentlichung der Informationen kann großen Schaden verursachen.

  • Strictly Confidential (streng vertraulich)
    Die Veröffentlichung der Informationen kann sehr großen bis existenzgefährdenden Schaden verursachen.

Die Informationen der Vertraulichkeitsklassen "Confidential" und "Strictly Confidential" werden als "sensibel" bezeichnet. Für sie gelten besondere Schutzmaßnahmen. Beispielsweise dürfen sie nur verschlüsselt transportiert und sollten nur an zwingend erforderliche Nutzer verteilt werden. Insbesondere ist die Nutzung von nicht genehmigten Cloud Services in den meisten Unternehmen für sensible Informationen tabu.

[Hinweis auf Bildergalerie: Datenschutz und Datensicherheit] gal1

Vertraulichkeitsklassen bekannt machen

Damit Informationsklassifizierung im Unternehmen gelebt wird, muss die Belegschaft die Vertraulichkeitsklassen kennen. Leider ist dies oft nicht der Fall.
Die Veröffentlichung und Kenntnisnahme einer Sicherheitsrichtlinie mit Vertraulichkeitsklassen reicht nicht aus. Die Klassen werden nicht gelernt und verstanden, Informationen werden folglich nicht klassifiziert. Abhilfe schaffen klassische Security-Awareness-Maßnahmen wie Präsenztrainings oder Erklärvideos. Bewährt haben sich auch Workshops auf Abteilungsebene, in denen die Mitglieder einer Abteilung ihre täglich genutzten Informationen in die entsprechenden Klassen einteilen.

Doch auch der Lerneffekt solcher Trainings und Workshops hat eine relativ kurze Halbwertszeit, wenn die Informationsklassifizierung nicht nachhaltig unterstützt wird. Dafür gibt es mittlerweile verschiedene Tools zur Informationsklassifizierung am Markt. Manche automatisieren beispielsweise die Klassifizierung über die Verschlagwortung von Inhalten. Andere Lösungen fordern den Mitarbeiter bei der Erstellung eines Dokuments auf, dieses entsprechend zu klassifizieren. Meist sind auch bestimmte Restriktionen integriert: beispielsweise automatisierte E-Mail-Verschlüsselung beim Versand vertraulicher Informationen.

Entscheidend ist, den Nutzen der Informationsklassifizierung sauber zu kommunizieren und die Klassifizierung im Alltag wirklich zu verankern. Die Praxis zeigt, dass man hierbei am Anfang nicht zu restriktiv agieren sollte. Denn wird das Thema Informationsklassifizierung bei Mitarbeitern als "unsinniger Mehraufwand" wahrgenommen, ist es extrem schwer, diese negative Einstellung wieder zu verändern. Und ohne aktive Mithilfe der Mitarbeiter und des Managements kann Informationsklassifizierung nicht erfolgreich sein. Weitere Informationen zur Informationsklassifizierung und sicheren Datenaustausch finden sich im IS-FOX Security Blog2. (bw)

Links im Artikel:

1 http://www.sailpoint.com/blog/2014/12/2014marketpulsesurvey/
2 https://www.is-fox.de/blog/category/Infoklassifizierung

Bildergalerien im Artikel:

gal1 Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.
Foto: Banksidebaby_Fotolia

Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?
Foto: Maria.P. - Fotolia.com

Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?

Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?
Foto: Fotolia, Hero

Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?
Foto: Fotolia, M. Homann

Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?
Foto: Fotolia, imageteam

Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?
Foto: Fotolia, D. Lyson

Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen?
Foto: Sashkin - Fotolia.com

Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?

Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Foto: Fotolia, Eisenhans

Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?
Foto: Fotolia / Sebastian Kaulitzki

Transaktionen im Internet
Liegen Verisign-Zertifikate vor?
Foto: ArTo/Fotolia

Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?
Foto: markusunger - Fotolia.com

Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?
Foto: Andrey Kuzmin - Fotolia.com

Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?
Foto: Liv Friis-Iarsen/Fotolia.com

Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?
Foto: L.Vynogradova_Fotolia

Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?
Foto: Bilderbox - Fotolia.com

Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?
Foto: askaja/Fotolia.com

Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?
Foto: Fotolia, Mapoli-Photo

Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?
Foto: F. Eckgold - Fotolia.com

Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?
Foto: Fotolia, BD-Photography

Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Foto: Heino Pattschull - Fotolia.com

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.