DLP – „Data Leakage Prevention“ oder „Data Loss Prevention“– hat das Zeug zum Hauptärgernis der IT-Sicherheit für 2009 und 2010. Eingekeilt zwischen kommendem Arbeitnehmer-Datenschutzgesetz und wachsendem Datenschutzbewusstsein in der Bevölkerung versuchen Unternehmen, ungewollte „Datenfreisetzung“ zu vermeiden. Die Problematik liegt dabei viel weniger in der Technik als in der Konzeption der Lösungen und im Fein-Tuning.

Wenn ein Unternehmen den Umgang seiner Mitarbeiter mit Kundendaten und Geschäftsgeheimnissen
nicht regelt, werden mit einiger Sicherheit irgendwann Daten auf einem PC oder Datenträger
gestohlen und die Panne gerät an die Öffentlichkeit. Die Presse wird das Unternehmen mit gewissen
Telekommunikationsunternehmen und Banken in eine Reihe stellen, die schon als „Datenschlampen“
verurteilt wurden. Verbraucherverbände werden Alarm schlagen, und das Unternehmen wird das
Vertrauen seiner Kunden verlieren.

Wenn ein Unternehmen den Umgang seiner Mitarbeiter mit Kundendaten oder Geschäftsgeheimnissen zu
sehr kontrolliert, wird dies irgendwann als überzogene „Big Brother“-Mentalität an die
Öffentlichkeit gelangen. Die Presse wird das Unternehmen mit gewissen Einzelhandelsketten und
Betreibern schienengebundener Verkehrsmittel in eine Reihe stellen, die schon für Verletzungen der
Privatsphäre ihrer Angestellten bekannt sind. Verbraucherverbände werden bezweifeln, dass das
Unternehmen die Daten seiner Kunden respektvoller behandelt als die seiner Mitarbeiter. Und das
Unternehmen wird – ja, genau: das Vertrauen seiner Kunden verlieren.

Zweierlei Datenschutz im Aufwind

Man darf heute getrost voraussagen, dass in den Jahren 2009 und 2010 der Datenschutz generell
Auftrieb bekommen wird, und zwar zugleich derjenige für Kundendaten und der für die Mitarbeiter.
Damit verschärft sich ein lang schwelender Konflikt zwischen zwei Schutzzielen noch einmal
erheblich – man kämpft nicht nur gegen „Schurken und Schussel“ zugleich, wie es das Unternehmen
Clearswift in einer Pressemitteilung Ende Dezember so schön formulierte, sondern man setzt sich
zugleich auch dem Verdacht aus, als Unternehmen mindestens einer der beiden Kategorien anzugehören.
Selbst wenn die Presse den Fällen von Mitarbeiterbespitzelung einerseits und Datenverlusten
andererseits irgendwann nicht mehr so viel Aufmerksamkeit schenken wird wie zurzeit – im
Gesetzgebungsprozess wird die Situation ausschlaggebend sein, die Firmen wie Lidl und die Bahn
einerseits und die Telekom und die Berliner Bank andererseits 2008/2009 herbeigeführt haben, indem
sie entweder überzogene oder unzureichende Sicherheitsmaßnahmen umgesetzt oder einfach
Sicherheitsziele mit anderen Zielen vermischt haben.

Auf den ersten Blick macht all dies Maßnahmen zur Verringerung von Fällen extrem schwierig, bei
denen Informationen eines Unternehmens ungewollt an die Öffentlichkeit oder in die Hände von
Verbrechern oder einfach der Konkurrenz gelangen. Hinzu kommen die ohnehin schon bekannten
Probleme: Immer mehr sensible Daten befinden sich auf einem ganzen Zoo höchst unterschiedlicher
mobiler Geräte, während sich die Arbeit insgesamt immer mehr aus einer Umgebung mit festen
Netzwerkgrenzen ins Überall und Jederzeit verlagert, sodass auch zentrale Ressourcen per
Fernzugriff zugänglich sein müssen. Und als würde all dies noch nicht reichen, erzeugt jetzt noch
die Wirtschaftskrise ein erhöhtes Spannungsverhältnis zwischen Unternehmen und ihren
Mitarbeiterstäben. Dies kann im Einzelfall zur Folge haben, dass die Loyalität für einen
Arbeitgeber sinkt, der sich vielleicht gerade selbst als illoyal erwiesen hat. Oder die Angst vor
dem Verlust eines Arbeitsplatzes verleitet dazu, sich unerlaubt Informationen zu verschaffen, die
bei einem erzwungenen Arbeitsplatzwechsel nützlich sein könnten. Wer auf solch eine Atmosphäre als
Arbeitgeber mit verschärftem Misstrauen reagiert, macht alles nur noch schlimmer.

Tun, was getan werden muss

Der organisatorischen Problematik steht kurioserweise ein technisches Arsenal entgegen, das jede
Art von Data Leakage Prevention ermöglichen würde, käme nicht die leidige Abstimmung auf
Business-Prozesse und die bereits beschriebenen differierenden Datenschutzziele hinzu:
Verschlüsselung für Datenträger, mobile Geräte und Kommunikationskanäle ist längst einsatzreif, die
Nutzung von Schnittstellen lässt sich regeln, Authentifizierung kann beliebig stark durchgeführt
werden, Benutzerverwaltung erlaubt schnelles Provisioning und Deprovisioning, Monitoring-Tools
ermöglichen die datenschutzgerechte Überwachung von Zugriffen auf sensible Informationen und die
Kontrolle nach dem Vier-Augen-Prinzip.

Fällt Ihnen beim Lesen dieser Liste etwas auf? Wenn all diese Techniken tatsächlich wirksam
gegen „Data Loss“ sind, ist es gar kein Wunder, dass so häufig von neuen Pannen die Rede ist. Man
braucht auch gar keinen neuen Schub verärgerter Mitarbeiter, um die nächste Datenpanne zu
provozieren. Verschlüsselung nämlich kommt in der Unternehmenspraxis erst jetzt wirklich in Gang,
mit Authentifizierung jenseits der veralteten Kennworttechnik tun sich die Anwender immer noch
schwer, und von nach Monaten nicht gelöschten Zugängen zu Datenquellen für ausgeschiedene
Mitarbeiter kann jeder Praktiker aus eigener Erfahrung berichten. Ein früherer Kollege von mir etwa
kam nach einer sage und schreibe vier Jahre währenden Runde durch verschiedene Münchner Buch- und
Softwareverlage wieder zu seinem ursprünglichen Arbeitgeber zurück und konnte sich sofort
einloggen: Sein Konto war noch da.

Vor diesem Hintergrund verliert Data Loss Prevention sein Schreckenspotenzial, sobald man die
aktuelle Panikmache um Krise und diebische Mitarbeiter einmal ausblendet und die Problematik
nüchtern betrachtet. Die weitaus größte Gefahr für Unternehmensdaten geht, da sind sich die Studien
der letzten Monate ausnahmsweise einmal einig, nicht von böswilligen, sondern von versehentlichen
Verletzungen der Informationssicherheit aus. Vergessene Laptops, liegen gebliebene Datenträger,
ungesicherte Heimarbeitsplätze und Zugriffskanäle – die Pannen geschehen fast immer, wenn jemand
ganz brav seine Arbeit tun will und sich womöglich sogar noch besonders engagiert, nämlich
unterwegs oder am Feierabend. Hier muss man also zuerst den Hebel ansetzen – auch deshalb, weil
wirklich böswillige Mitarbeiter oder Pseudo-Insider nicht mit technischen Mitteln gestoppt werden
können, die zu effizienten Arbeitsabläufen kompatibel sind: Wer tatsächlich Geheimnisverrat
anstrebt, merkt sich zur Not auch, was er wissen muss, oder fertigt Fotografien an.

Maßnahmenkatalog

Echte „Data Loss Prevention“ könnte somit aus folgenden Komponenten bestehen:

Verschlüsselung für mobile Datenträger und Geräte. Die Zwangsverschlüsselung
vertraulicher Informationen wäre ebenfalls wichtig, macht allerdings eine vorherige Klassifizierung
notwendig. Auch eine Technik, die verloren gegangene Geräte ferngesteuert löscht, ist sinnvoll.

Professionelle Sicherung von Remote Access.

Einführen einer Benutzerverwaltung, die Rechte schnell entziehen und gewähren
kann. Beides ist gleich wichtig, denn ein Mitarbeiter, der Informationen sehen muss und aufgrund
technischer Unzulänglichkeiten keinen Zugriff erhält, wird sich einen Umweg suchen, um seine
Aufgaben erfüllen zu können.

Beschränkung des Zugriffs auf Informationen auf jeweils die Bereiche, die ein
Mitarbeiter wirklich benötigt.

Bei heiklen Daten Beschränkungen einführen, die den Zugriff nicht verhindern,
aber sinnvoll regeln – so könnte man es erschweren, aus einer sensiblen Datenbank ohne Voranmeldung
mehr als eine bestimmte Zahl Datensätze pro Tag abzurufen. Aus dem gleichen Grund lagen früher die
Burgschätze in tiefen Kellern mit steilen Treppen.

Einführung einer Unternehmensethik und des Elements „sicheres Verhalten“ als
karrierefördernder Faktor.

Die technischen Maßnahmen aus dieser Liste finden sich auch bei anderen Spezialisten – Symantec
etwa riet jüngst zu erhöhtem Augenmerk auf Provisioning/Deprovisioning, und in Großbritannien
veröffentlichte Mark Fullbrock von Cyber-Ark Software Vorschläge, die zusätzlich noch die
Einführung eines konsequenten Auditings und mehr Engagement für Prozessintegrität umfassten.

Zum Thema „Ethik“ sind vielleicht zusätzliche Erläuterungen nötig. Es gibt eine Untersuchung von
Pricewaterhouse Coopers, nach der die pure Existenz eines Katalogs ethischer Unternehmensgrundsätze
bereits die Fälle von Wirtschaftskriminalität in einem Unternehmen senkt. Für Psychologen ist dies
nicht verwunderlich, denn Menschen orientieren sich am Verhalten der Menschen um sie herum – und
wenn sich eine Gemeinschaft explizit Regeln gibt, steigt auch sofort die Hemmschwelle für den
Regeln widersprechende Handlungen.

Sicherheitsschulungen sind ein weiterer Punkt. Wer um seinen Job fürchtet, aber nachweisen kann,
in Sicherheitsdingen erfahren zu sein, hat einen echten Vorteil für die nächste Anstellung, denn er
trägt dort nachweislich zur Senkung des Unternehmensrisikos bei. Ein Unternehmen, das seinen
Mitarbeitern entsprechende Weiterbildung auch in schwierigen Zeiten gewährt und hausinterne
Zertifizierungen verteilt, setzt überdies zugleich mehrere Signale: Es zeigt, dass es seine
Mitarbeiter ernst nimmt und auf sie zählt, und es macht sicherheitsgerechtes Verhalten zu einer
Eigenschaft, die man danach ungern wieder aufgibt. So sind auch „weiche“ Maßnahmen ein echter
Pluspunkt für Data Loss Prevention.

642908.jpg