Schlagwort-Archiv mittelstand

Daniel Döring VonDaniel Döring

IT-Sicherheit in der Cloud – Personenbezogene Daten lokal sichern – IT-MITTELSTAND – IT-Business im Mittelstand

Mit etablierten Verfahren können mittelständische Unternehmen bereits das eine oder andere Sicherheitsproblem von Cloud Computing entschärfen.


IT-Sicherheit in der Cloud – Personenbezogene Daten lokal sichern – IT-MITTELSTAND – IT-Business im Mittelstand

IT-Sicherheit in der Cloud – Personenbezogene Daten lokal sichern – IT-MITTELSTAND – IT-Business im Mittelstand

Wer sich für den Weg in die „Cloud-Welt“ entscheidet, sollte Schutzmaßnahmen beachten.

In der Cloud-Computing-Debatte scheinen zwei Sichtweisen verbreitet zu sein: Auf der einen Seite die Befürworter, die vor allem die Vorteile einer ausgelagerten IT in die Wolke betonen. Auf der anderen Seite die Skeptiker, die Sicherheit nur innerhalb des eigenen Serverraums garantiert sehen. In letzter Zeit bekommt gerade diese Fraktion Zuspruch: In Zeiten der globalen Überwachung sei nicht einmal im eigenen Land auf die Integrität der Cloud-Anbieter Verlass.

Beide Extreme sind mitunter überspitzt. Die Frage, ob die Cloud gut oder schlecht ist, muss je nach Einzelfall entschieden werden. Sie hängt vor allem davon ab, wie viel Sicherheit das Unternehmen tatsächlich benötigt. Häufig ist ein besonderer Schutz überflüssig. Ein Beispiel aus dem Marketing: Um Texte und Grafiken mit Agenturen auszutauschen, ist die Cloud das ideale Medium. Wird ein Zugriff gehackt und eine Werbebroschüre steht frei im Internet, hält sich der Schaden in Grenzen. Dass sich daraus keine allgemeine Abgrenzung in sichere und unsichere Firmenbereiche vornehmen lässt, versteht sich von selbst: Denn gerät die gesamte Marketingplanung in falsche Hände, kann dies zu gravierenden Problemen führen.

Leider sind die wenigsten Daten in Unternehmen derart unproblematisch, dass sie ohne Gefahr in die Cloud gelegt werden könnten. Personenbezogene Daten sind ein gutes Beispiel: Hier sind Firmen gut beraten, auch bei einem vermeintlich hohen Sicherheitsniveau eine lokale Sicherung der Wolke vorzuziehen.

Vollständige Datenverschlüsselung

Als sichere Methode beim Speichern von Daten in der Cloud erweist sich eine vollständige Verschlüsselung. Und zwar eine solche, bei der der Schlüssel im Anwenderunternehmen verbleibt. Wenn dagegen US-amerikanische Cloud-Anbieter eine Verschlüsselung anbieten, ist dies nicht mehr als eine Marketing-Botschaft. Denn zum einen sollten die Daten durch die Verschlüsselung auch vor Mitarbeitern des Anbieters versteckt bleiben. Zum anderen möchten sich Unternehmen vom Zugriff etwa der NSA verschont wissen.

Datenschutzgefahr auch bei Bring Your Own Device

Neben Cloud Computing birgt auch die Strategie des „Bring Your Own Device“ (BYOD) für Anwender einiges an Gefahr: Wer ein hohes Sicherheitsniveau anstrebt, sollte sich jedoch davor hüten, das Thema in Einzelaspekte wie BYOD, die Cloud oder auch USB-Sticks zu zerlegen oder gar diese Herausforderungen nur nacheinander anzugehen. Ein verschlossener Zugangsweg – etwa über ein Verbot von BYOD – provoziert schließlich die Nutzung von etablierten Austauschverfahren wie USB-Sticks.

Hinsichtlich der IT-Strategie müssen daher sämtliche Datenwege abgesichert werden. Im Prinzip ist dies unkompliziert, wenn die richtigen Tools benutzt werden und ein Regelsatz bereits etabliert ist. Schließlich ist es nicht schwer, Unternehmensvorschriften auf die Cloud zu übertragen, die für USB-Sticks bereits seit langem gelten. Um nichts anderes handelt es sich schließlich bei dem dezentralen Speicher in der Wolke.

Ebenso wichtig ist es, dass die Verschlüsselung ohne Benutzereingriff komfortabel erfolgt. Wenn die Mitarbeiter für die Cloud-Verschlüsselung kompliziertere Arbeitsschritte als beim Gebrauch eines USB-Sticks ausführen müssen, führt dies zu Unmut und den bekannten Umgehungsstrategien. Ist es dagegen möglich, weiterhin Daten auf der Dropbox abzulegen und diese automatisch im Hintergrund zu verschlüsseln, steigt die Akzeptanz und damit das Sicherheitsniveau.

Gerade in mittelständischen Unternehmen darf die IT nicht zu aufwendig und organisatorisch kompliziert zu implementieren sein. Das spricht gegen parallele, ausufernde Sicherheitskonzepte. Besser kann es sein, auf eine einzige Softwarelösung zu setzen, die eine verschlüsselte Datenkommunikation bietet. So gerät der Quellcode nicht in falsche Hände und Preisstrukturen bleiben vor Wettbewerbern geheim.


Was sind die wichtigsten Schutzmaßnahmen für Unternehmen?

  • Kontrolle: Firmen sollten stets definieren, welcher Nutzer welche Datenwege verwenden darf.
  • Audit: Eine genaue Protokollierung der Datenübertragung macht Verstöße gegen Gesetze und Bestimmungen nachweisbar. Doch dabei darf die Privatsphäre der Mitarbeiter nicht verletzt werden: Die richtige Sicherheitslösung bindet daher den Betriebsrat mit ein.
  • Filter: Filterfunktionen separieren kritische von unkritischen Datentypen. Datentypen, die im Unternehmen nichts verloren haben, werden auf diese Art zuverlässig blockiert.
  • Encrypt: Die Verschlüsselung ist ein elementarer Baustein in der Sicherheitsarchitektur. Dabei sollte auf den Einsatz moderner Verschlüsselungs-Tools geachtet werden, die nicht umgangen werden können, wie es etwa bei einer reinen Container-Verschlüsselung der Fall wäre.

IT-Sicherheit in der Cloud – Personenbezogene Daten lokal sichern – IT-MITTELSTAND – IT-Business im Mittelstand.

EgoSecure GmbH - Head of Professional Services

EgoSecure GmbH

Daniel Döring VonDaniel Döring

Vorsicht Datenklau: Spione nehmen Mittelstand ins Visier

Lübeck – Datendiebstahl kann teure Folgen haben – und Unternehmen sogar in die Insolvenz treiben. Experten raten deshalb gerade mittelständischen Firmen zur Wachsamkeit.

Dass die Lübecker Firma Collmann, die Spezialmaschinen für die Reifenindustrie herstellt, vor drei Wochen Insolvenzantrag stellen musste, lag nicht nur an erheblichen Umsatzrückgängen in Folge der Wirtschafts- und Finanzkrise. „Hinzu kamen Verhaltensweisen eines Mitarbeiters, der betriebliche Interna bewusst an ein Konkurrenzunternehmen weitergegeben hat“, erklärte der Insolvenzverwalter Stefan Denkhaus. Dem Unternehmen sei dadurch ein Schaden in Millionenhöhe entstanden, sagen Beobachter. Der Mitarbeiter sei mittlerweile fristlos entlassen worden, mit ausdrücklicher Zustimmung des Betriebsrates. Jetzt folgt ein Streit vor Gericht.

Während große Unternehmen das Problem Datenklau längst erkannt haben und entsprechend wirksame Gegenmaßnahmen ergreifen, sind es mehr und mehr kleinere Firmen, die davon betroffen sind. „Mittelständische Unternehmen sind zunehmend von Datenklau betroffen, wenn sie stark mit geistigem Eigentum wie etwa Konstruktionszeichnungen oder -plänen arbeiten“, sagt Frank M. Hülsberg von der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG. „Die Zahl der Fälle häuft sich. Das hat aber nicht unbedingt mit einer Zunahme der Kriminalität zu tun, sondern damit, dass es in Zeiten der Globalisierung einfacher geworden ist, Daten illegal abzugreifen. Zum Beispiel durch Hackerangriffe auf ungeschützte Netzwerke oder die einfache Weiterleitung von Mails“, so Hülsberg. Mit anderen Worten: Während früher ganze Aktenordner kopiert oder geklaut werden mussten, reicht heute ein Mausklick am Computer, um sensible Daten in die Hände jener zu spielen, die sie missbrauchen können. Und selbst die komplexesten Pläne passen auf einen USB-Stick.

In einer bereits 2010 veröffentlichten Studie „Wirtschaftskriminalität in Deutschland” richtet die KPMG den Blick besonders auf den Mittelstand. „Große Unternehmen unterliegen Regulierungen, sie müssen viel für den Schutz ihrer Daten tun. Bei Mittelständlern wird die Gefahr noch oft unterschätzt“, erklärt Hülsberg ein Ergebnis der Studie. Viele Unternehmer würden die Reaktion auf konkrete Fälle sowie den nachhaltigen Umfang mit Verdachtsfällen noch immer vernachlässigen. „Kommissar Zufall“ spiele weiterhin eine bedenklich große Rolle. Dabei können die Folgen gerade für Mittelständler fatal sein. „Der Diebstahl geistigen Eigentums kann im schlimmsten Fall zum Verschwinden einer Marke oder einer Firma führen“, erläutert Hülsberg. „Wir arbeiten in vielen Fällen für kleine Firmen, die befürchten, dass ihnen geistiges Eigentum gestohlen wird oder weil der Fall schon eingetreten ist. Wir prüfen die Fälle und geben Empfehlungen für einen besseren Schutz ab.“

Heiko Willms, der Leiter der Rechtsabteilung beim Bundesverband der Deutschen Industrie (BDI), fordert, dass bei der Revision des Bundesdatenschutzgesetzes auch effektive Kontrollen ermöglicht werden. „Die Daten der Beschäftigten müssen natürlich gut geschützt und sauber behandelt werden. Aber gleichzeitig muss auch Betriebsspionage wirksam bekämpft werden können“, erklärt er.

„Noch ist Betriebsspionage nach unserer Erkenntnis kein großes Problem bei den Unternehmen im Bezirk der Industrie- und Handelskammer zu Lübeck“, sagt Joseph Scharfenberger, Geschäftsbereichsleiter „Recht und Fair Play“ bei der IHK. Das könne aber auch daran liegen, dass man von vielen Fällen gar keine Kenntnis bekomme. „Wir empfehlen, über innerbetriebliche Sicherheitssysteme und Geheimhaltungsregelungen wie etwa Verschwiegenheitsklauseln dem Ausspionieren vorzubeugen. Tritt ein Fall von Betriebsspionage ein, sollte neben arbeitsrechtlichen Maßnahmen auf jeden Fall die Staatsanwaltschaft eingeschaltet werden“, erklärt Joseph Scharfenberger.

Das rät auch die KPMG in ihrer Studie: „Eine professionelle Vorgehensweise ist im Rahmen der Schadensbegrenzung von größer Bedeutung.“ Ansonsten gelte immer die Devise: „Kontrolle wo nötig, Vertrauen wo möglich.“

Quelle: http://www.ln-online.de/regional/luebeck/index.php/2775931

Lassen Sie es erst gar nicht zum Datendiebstahl kommen. Sichern Sie Ihre Daten mit Endpoint Data Protection Lösungen.
Die EgoSecure bietet zum Beispiel eine effiziente Device Control Lösung, welche weit über den Standard eines USB Blocker hinaus geht. Sperren Sie externe Datenträger wie USB Festplatten, Memory Sticks, Flash Drives, CD/DVD’s, Floppy Disks, Bluetooth, WiFi, IrDa, Ports, Blackberry, PDA, SD-Karten, MMC-Karten etc. und geben einzelne Geräte personenbezogen mit Lese- oder Vollzugriff wieder frei. Kontrollieren Sie datenschutzkonform den Datenfluss auf erlaubte Geräte mittels Protokollierung nach 4-/6-Augenprinzip. Verbieten Sie bestimmte Dateien oder Dateitypen auf externen Speichermedien per Contentheadfiltung nach Black- oder Whitelist Verfahren.

Weiter haben Sie die Möglichkeit den Datentransfer auf externe Geräte automatisiert on-the-fly transparent zu verschlüsseln, Daten zu vernichten (u.a. nach DOD Methode, DOD II Methode, BSI Standard, Peter-Gutmann-Methode), Festplatten zu verschlüsseln, Anwendungsfreigaben nach Black- oder Whitelist verwalten und Powermanagement in Sachen GreenIT und Ersparnis von Energiekosten zu betreiben.

Weitere Informationen finden Sie auf http://EgoSecure.com

EgoSecure GmbH - Head of Professional Services

EgoSecure GmbH

Translate »