TÜV Rheinland: Mit ganzheitlichen Lösungen gegen Schussel und Schurken
Data Leakage Prevention ist Führungsaufgabe
Irren ist menschlich: Banale Fehler wie vergessene Laptops, gedankenlose Telefonate in der Bahn oder falsch adressierte E-Mails sind die statistisch häufigsten Ursachen für Datenverluste.
Sie geschehen durch Unachtsamkeit und mangelndes Risikobewusstsein und in der Regel ohne Vorsatz. Seltener, dafür umso katastrophaler für Unternehmen, sind die gezielte Datenweitergabe durch nicht vertrauenswürdige Mitarbeiter und die Datenbeschaffung durch Spione: Dabei werden meist die eigenen Mitarbeiter Opfer von Datenklau oder sie werden durch kriminelle Energie zur Weitergabe von Daten genötigt. Bei diesem als „Social Engineering“ bezeichneten Phänomen nutzen Täter die Hilfsbereitschaft, Gutgläubigkeit oder Autoritätshörigkeit von Mitarbeitern aus, um an sensible Unternehmensinformationen zu gelangen. „Rein technische Lösungen vernachlässigen die Fehlerquelle Mensch“, kritisiert Dr. Johannes Wiele, IT-Sicherheitsexperte bei TÜV Rheinland. „Deshalb setzen wir bei TÜV Rheinland auf den ganzheitlichen Ansatz von Data Leakage Prevention (DLP) – der Verhinderung von unerwünschtem Verlust oder unerwünschter Weitergabe von Daten“, so Wiele.
Viele Unternehmen vertrauen allerdings auf isolierte DLP-Produkte. „IT-Entscheider klammern sich gern an einfache Lösungen, die schnellen Erfolg versprechen“, weiß Wiele aus Erfahrung. Er rät dazu, die Business-Sicherheitsstrategie auf drei Säulen aufzubauen. Erstens: Unternehmen müssen die Standardfunktionen der IT-Sicherheit konsequent einsetzen. Dazu zählen zum Beispiel das Berechtigungs-Management, die Verschlüsselung sowie die Klassifizierung von Informationen in Kategorien wie „vertraulich“ oder „intern“.
Die zweite Säule: Eine moderne DLP-Lösung. Sie sollte unter anderem bestehende Dokumentenklassifizierungen berücksichtigen können und darüber hinaus Mitarbeiter dazu auffordern, Dokumente aktiv zu klassifizieren. Außerdem sollte die DLP-Lösung nicht nur blockieren, sondern auch regeln und warnen können: „Sie kopieren ein als vertraulich klassifiziertes Dokument. Sie können den Vorgang fortsetzen, wenn Sie der Protokollierung und der Meldung an die Sicherheitsabteilung zustimmen“, kann ein gutes DLP-Produkt beispielsweise anmerken. Auch alle Schnittstellen wie USB, Bluetooth oder E-Mail, über die Dokumente weitergegeben werden können, müssen berücksichtigt werden. Weitere wichtige Features: eine Schnittstelle zur Einbindung in Management-Systeme, die Zusammenarbeit mit Digital Rights Management und die Berücksichtigung von Compliance-Vorgaben. Nicht zu vergessen: Eine gute DLP-Lösung findet auch die Zustimmung des Betriebsrats.
Die dritte Säule einer ganzheitlichen Sicherheitsstrategie bildet die auf Vertrauen basierende Führungspraxis. „Die Angst vor Geheimnisverrat ist bei vielen Managern verständlicherweise groß. Aber wenn sie in zu strikte Überwachungsmechanismen und übertriebenes Misstrauen ausartet, fühlen sich Mitarbeiter kontrolliert und reagieren mit Ablehnung – sogar gegenüber vernünftigen Maßnahmen“, weiß Wiele, der außerdem an Projekten zur Psychologie der Informationssicherheit beteiligt ist. Er rät daher zu besonders sensiblem Umgang mit dem Thema Sicherheit.
„Mit Software allein lässt sich Datensicherheit nicht erreichen, aber mit leistungsfähigen Produkten im Rahmen einer guten Strategie kommen Unternehmen dem Ziel sehr nahe“, ist sich Dr. Wiele sicher. Der TÜV Rheinland unterstützt in diesem Sinne Unternehmen und Organisationen beim Aufbau einer wirksamen Data Leakage Prevention. Nach einer grundlegenden Risikoanalyse filtern die Experten auf Basis einer Bewertungsmatrix die sinnvollste DLP-Lösung heraus und berücksichtigen dabei auch die Komponenten menschlichen Fehlverhaltens. Dieses Konzept geht weit über die bekannten Zertifizierungen hinaus.
Der TÜV Rheinland bietet Unternehmen ganzheitliche Informationssicherheit von der strategischen Beratung über Konzeption und Prozessoptimierung bis zu Implementierung, Betrieb oder Zertifizierung der Systeme. Technikexpertise, umfassendes Branchen-Know-how und strategische Partnerschaften mit Marktführern ermöglichen die Entwicklung standardisierter und individueller Sicherheitslösungen. Kerngeschäftsfelder sind die strategische Informationssicherheit, Online-Sicherheit und -Qualität, Netzwerksicherheit, Daten- und Endgerätesicherheit sowie die IT-Sicherheit in der Produktion.
Lesen Sie mehr zum Thema
