Fachbeiträge

Ausgabe 8 / /2012

Fachbeitrag Social Media

Verschlüsselung ist kein Allheilmittel

Bei der sicheren Speicherung von vertraulichen Daten besteht bei vielen Unternehmen noch Handlungsbedarf. Eine Verschlüsselung der Daten, auf die viele Firmen setzen, ist nämlich keinesfalls ausreichend. Nur umfassende Maßnahmen von der Zugriffskontrolle über die Authentifikation bis zur Protokollierung der User-Aktivitäten gewährleisten eine hohe Sicherheit.

Inhaltsübersicht:

Sensible Informationen wie Finanz- oder Personaldaten, aber auch Forschungs- und Entwicklungsergebnisse bedürfen eines besonderen Schutzniveaus. Kein unberechtigter Anwender und auch kein IT-Administrator sollte Zugriff auf solche Informationen haben. Im Gegenteil: Der Nutzerkreis dieser brisanten Daten sollte auf bestimmte Personen eingeschränkt werden. In vielen IT-Umgebungen kommt es jedoch oft vor, dass gerade diese besonderen Daten in die Hände unberechtigter Dritter gelangen. Die Fälle von Datenpannen, Datenmissbrauch, Datenlecks und Industriespionage, die stark zunehmen, sprechen eine deutliche Sprache. Wie hoch die Gefahr tatsächlich ist, belegt auch eine Untersuchung des Softwareherstellers Cyber Ark, der auf Informationssicherheit spezialisiert ist: Demzufolge entwendet jeder zweite Mitarbeiter im Falle einer Kündigung vertrauliche Daten.

Viele Unternehmen treffen völlig unzureichende Sicherungsmaßnahmen. Das beginnt schon beim mangelhaften Schutz der unternehmenskritischen Daten. Oft werden die Daten zwar inzwischen klassifiziert, aber nur die wenigsten Organisationen lassen den vertraulichen und geheimen Informationen daraufhin entsprechende Sicherheitsmaßnahmen zukommen. Und wenn doch, handelt es sich dabei meist um Insellösungen, die einen hohen Administrationsaufwand nach sich ziehen.

Transparenz und Sicherheit

Oft fällt die erste Wahl auf eine Verschlüsselungslösung. Doch wer sich danach in absoluter Sicherheit wähnt, liegt weit daneben. Aus Kostengründen und vor allem aufgrund des hohen administrativen Aufwands solcher Lösungen wird die Verschlüsselung nur in den wenigsten Unternehmen flächendeckend eingesetzt. Meist bleibt es bei einer Festplattenverschlüsselung auf den mobilen Geräten. Und das bedeutet wiederum, dass die als vertraulich und geheim geltenden Daten auf den File-Servern oft vollkommen ungeschützt auch unberechtigten Mitarbeitern zur Verfügung stehen. Selbst wenn ein stringentes Rechte- und Rollenkonzept umgesetzt wird, haben beispielsweise die Administratoren weiterhin Zugang zu den Informationen. Um sie zu schützen, müssen zusätzliche Vorkehrungen getroffen werden, wie eine strikte Zugriffskontrolle, starke Authentifikation und eine revisionssichere Nachvollziehbarkeit der Datenverwendung. Gleichzeitig sollten die Daten aber auch auf einfachstem Wege von berechtigten Anwendern eingesehen und bearbeitet werden können. Diese Anforderungen widersprechen sich häufig. Deswegen sind also Lösungen gefragt, die neben einem sehr hohen Niveau an Sicherheit auch eine einfache und möglichst transparente Integrationsmöglichkeit in die bestehende IT-Umgebung bieten.

Vertrauliche Informationen besonders sichern

Erster Schritt bei der geschützten Verwahrung von Daten sollte die Trennung vertraulicher und geheimer Dateien vom Rest des Datenbestands sein. Diese werden separat gespeichert und verwaltet. Zugang zu diesem Datenbereich sollte nur ein definierter Personenkreis erhalten, und zwar über eine klar definierte Rollen- und Berechtigungsstruktur sowie eine eindeutige Identifikation des Anwenders, zum Beispiel über eine starke Authentifikation. Für besonders kritische Daten ist zudem eine Autorisierung mittels Vier-Augen-Prinzip zu erwägen. Ideal ist es, wenn der Zugriff auf jede einzelne Datei dabei auf die jeweils relevante Personengruppe beschränkt werden kann – mit einer individuellen Berechtigungsvergabe im Hinblick auf die Möglichkeit zum Lesen, Speichern oder Löschen von Daten. Den Benutzern werden dann nur die Dokumente angezeigt, für die entsprechende Berechtigungen vorhanden sind. Alle anderen Dokumente bleiben unsichtbar. Alle User-Aktivitäten wie Datei-Zugriffe oder Änderungen müssen protokolliert werden. Dadurch wird nicht nur die Sicherheit um ein Vielfaches erhöht, sondern gleichzeitig eine vollständige Nachvollziehbarkeit der Verwendung von sensiblen Daten durch berechtigte Anwender gewährleistet. Nicht zuletzt ist auch eine sogenannte "Separation of Duties" zwingend notwendig, das heißt eine strikte Trennung von Administrator und Anwender der eingesetzten Lösung. So kann der Administrator diese zwar verwalten, bekommt aber zu keiner Zeit vertrauliche Daten zu sehen.

Benutzerfreundlichkeit steht im Vordergrund

Die Lösung sollte problemlos in die vorhandene Unternehmensinfrastruktur integrierbar sein. Eine Anbindung an implementierte Benutzerverwaltungen und Verzeichnisdienste wie Active Directory, eDirectory oder LDAP, Backup-Systeme und Lösungen zur System-Überwachung ist unabdingbar. In vielen Unternehmen kommen beispielsweise bereits SIEM (Security Information Event Management)-Systeme zum Einsatz, die eine Echtzeit-Alarmierung ermöglichen. Deshalb sollte die Sicherheitslösung eine Übertragung der Audit-Logs an SIEM-Plattformen ermöglichen, damit bereits der Versuch eines Zugriffs auf geheime Daten unmittelbar gemeldet wird. Wichtig ist zudem, dass die Lösung eine Enterprise-Architektur aufweist: Das heißt, dass sie skalierbar und ausfallsicher ist und auch Zehntausende von Dokumenten-Zugriffen, -Uploads und -Transfers abwickeln und überwachen kann. In den meisten Unternehmen ist es für die Anwender hilfreich, wenn die Lösung im sogenannten „Look and Feel“ den Microsoft-Produkten angepasst und damit leicht zu bedienen ist. So kann der Benutzer die Sicherheitsplattform schnell und einfach ohne hohen Lern- oder Schulungsaufwand nutzen. Er greift wie gewohnt über Office und Windows auf Dateien zu und speichert diese in üblicher Weise, während sich die Lösung im Hintergrund automatisch um die Sicherheit kümmert.

Fazit

Jedes Unternehmen sollte sensible Daten in einem separaten Bereich speichern, der ein deutlich höheres Sicherheitsniveau als gängige File-Server-Lösungen bietet. Wichtig dabei ist ein integrierter Ansatz. Das heißt: Man sollte eine Lösung wählen, die aus mehreren Sicherheitsschichten besteht und damit einen gänzlich "einbruchsicheren" elektronischen Tresor im Netzwerk schafft – vergleichbar mit dem echten Tresor in einer Bank.

Diese Artikel könnten Sie auch interessieren

Unsere Empfehlungen

Beitrag

Future Workplace: Intelligente Unterstützung für smarte Wissensarbeiter

WISSENplus

Von Unternehmen fordert das Zeitalter der Digitalisierung angepasste Strukturen, neue Techniken und Methoden. Neben den Herausforderungen des Wettbewerbs und der damit verbundenen Anpassung der eigenen Produkte sowie Dienstleistungen müssen Arbeitgeber die Anforderungen und Interessen ihrer Mitarbeiter verstärkt in den Fokus nehmen. Um neue Arbeitskräfte anzuwerben, bedarf es in Zeiten des Fachkräfteman...

Beitrag

Zum Teamchef befördert - was nun?

WISSENplus

Eine Beförderung zur Führungskraft - das ist für die allermeisten Mitarbeiter ein Grund zur Freude. Zeigt es doch ganz unmittelbar die Wertschätzung des Unternehmens über das bisher Geleistete und das Vertrauen, auch in der neuen Führungsaufgabe eine gute Figur abzugeben. Doch wie so oft hat auch diese Medaille zwei Seiten. Denn gerade der Aufstieg aus dem Team heraus in die Teamleiterfunktion hinein ...

Event

Webconference | Wissen in Projekten: Projektwissen richtig dokumentieren, teilen, wiederfinden

05.12.2024

Mit wenigen Klicks neue Projektaufgaben anlegen, Entscheidungen und offene To-Dos nachvollziehbar abbilden und relevante Informationen und Beschlüsse als Projektwissen zusammenführen. Projekte scheitern noch zu oft an unzureichendem Wissensmanagement. Zudem bleibt Projektwissen oft Inselwissen. Projektwissen richtig zu dokumentieren und transparent zu kommunizieren fördert nicht nur die Effektivität der...

Mehr Infos & Anmeldung

Event

Webconference | Informationen intelligent verknüpfen, Prozesse automatisieren

24.10.2024

Strukturierte Abläufe, effiziente Prozesse und einheitliche Standards: Ein verlässliches Prozessmanagement ist essentiell, um die Zusammenarbeit von Kollegen zu organisieren. Neben Transparenz braucht es ein Verständnis über vor- und nachgelagerte Prozesse sowie ineinandergreifende Workflows ohne Mehraufwand für den einzelnen Anwender. Mittels Digitalisierung und Automatisierung der administrati...

Mehr Infos & Anmeldung

Beitrag

Wissensmanagement im Krankenhaus

WISSENplus

Die Ressource Wissen wird in Wirtschaftsunternehmen längst als ein strategischer Wettbewerbsfaktor begriffen und dementsprechend systematisch organisiert und gesteuert. Der öffentliche Sektor und auch die stark regulierten quasi-öffentlichen Unternehmen des Sozial- und Gesundheitswesens nutzen die Möglichkeiten von Wissensmanagement bisher nur wenig, obwohl Wissen eine zentrale Rolle bei der Erstellung ...

Event

Online-Seminar | Wirksamkeit und Erfolg von Wissensmanagement-Maßnahmen messen

04.07.2024

Die Erfolgsmessung in Wissensmanagement-Projekten ist von entscheidender Bedeutung, um sicherzustellen, dass die implementierten Maßnahmen die gewünschten Ziele erreichen und einen positiven Beitrag zur Organisation leisten. Doch Wissen in konkreten und messbaren Größen zu erfassen, zählt zu den größten Herausforderungen im Wissensmanagement - insbesondere vor dem Hintergrund, dass die positive...

Mehr Infos & Anmeldung

Event

Online-Seminar | Erfahrungswissen sichern: So geht's!

05.06.2024

Die Demografiespirale spitzt sich unaufhaltsam zu. Wir erleben derzeit die Anfänge einer nie da gewesenen Pensionierungswelle. Mit ihr verabschiedenen sich in den nächsten Jahren sukzessive hunderttausende erfahrene Mitarbeiter in den Ruhestand. Hinzukommt, dass auch jüngere Mitarbeiter zunehmend nur noch projektgebunden arbeiten wollen und häufiger das Unternehmen wechseln. In den Unt...

Mehr Infos & Anmeldung

Beitrag

So innovativ ist der Mittelstand – fünf Praxisbeispiele

WISSENplus

Innovationen sind die Basis für die Wettbewerbsfähigkeit. Die Geschwindigkeit, in der Unternehmen Neuerungen implementieren müssen, erhöht sich ständig. Viele der Produkte, die heute wie selbstverständlich eingesetzt werden, wie PCs, Tablets, Handys oder E-Mails, gab es vor wenigen Jahrzehnten noch nicht. Aber wie kommt man zu Innovationen? Und wie werden sie heute in mittelständischen Organisationen...

Das Magazin für Digitalisierung, Vernetzung & Collaboration

Fachbeiträge

Verschlüsselung ist kein Allheilmittel

Transparenz und Sicherheit

Vertrauliche Informationen besonders sichern

Benutzerfreundlichkeit steht im Vordergrund

Fazit

Beratungsexperte Digitalisierung:
Steinbeis-Beratungszentrum Wissensmanagement

Diese Artikel könnten Sie auch interessieren

Unsere Empfehlungen

Das Magazin für Digitalisierung, Vernetzung & Collaboration