Die neuen Regelungen werden zwar von vielen Daten- und Verbraucherschützern sowie von der politischen Opposition als unzureichend erachtet – sie sind aber Wasser auf die Mühlen der IT-Sicherheitsanbieter. Diese mühen sich schließlich schon seit Jahren ihre in den USA erprobten Lösungen für DLP – je nach Gusto Data Loss Prevention oder Data Leak Prevention – an den Mann zu bringen. Ihre Argumentationslinien stießen aber bei vielen Verantwortlichen hierzulande auf taube Ohren, weil bisher die gesetzlichen Vorgaben fehlten.
Das hat sich mit dem neuen Budnesdatenschutzgesetz nun geändert. Christoph Hardy, Senior Security Consultant bei Sophos, meint, Unternehmen dürften IT- und Datensicherheit nicht nur als rein technisches Thema verstehen, sondern müssten auch die Gefahren berücksichtigen, die von einem zu lockeren Umgang mit den Daten durch die eigenen Mitarbeiter oder externe Dienstleister ausgehen. „Schon der Verlust eines USB-Sticks oder Notebooks mit vertraulichen personenbezogenen Daten kann jetzt ein meldepflichtiger Vorfall sein.“
Sieben goldene Regeln
Firmen müssten daher sicherstellen, dass die Angestellten ausreichend über die Gefahren der digitalen Welt informiert werden und sich bewusst sind, welche Folgen der Verlust sensibler Daten für ihren Arbeitgeber und sie selbst haben kann. Dafür gibt Hardy Firmen „sieben goldene Regeln“ an die Hand, die Mitarbeiter beim Umgang mit E-Mail, Internet und vertraulichen Daten beachten sollten.
Auch Bernd Bilek, Experte für Data Loss Prevention bei Symantec, hat eine Reihe von Tipps parat. Seiner Ansicht nach fängt der Schutz mit der Ausarbeitung eines Sicherheitskonzepts an. Dabei müssen zunächst folgende Fragen beantwortet werden: Wo sind vertrauliche Daten gespeichert? Wer sollte sie wie nutzen dürfen? Und wie lassen sich die Daten am besten vor Verlust schützen?
Der erste Schritt dazu sei eine vollständige Analyse und Klassifizierung des Datenbestandes. Daran schließe sich eine Diskussion an, wie die Firma mit vertraulichen Daten umgeht, und ob neue Richtlinien vonnöten sind. Dann empfiehlt der Symantec-Experte die Auswahl eines geeigneten DLP-Produktes mit Echtzeitüberwachung. „Nicht vergessen werden darf der menschliche Faktor: Denn DLP ist keine reine IT-Angelegenheit“, so Bilek.
„Die Mitarbeiter müssen in die Prozesse einbezogen werden, um den Verlust vertraulicher Informationen zu verhindern. Egal, ob Personaldaten, Finanzinformationen oder Marketingpläne: Daten wie diese repräsentieren das Unternehmen und müssen geschützt werden. Dies muss auch allen Mitarbeitern klar sein.“
Checkliste für DLP-Projekte
Kern eines wirkungsvollen Sicherheitskonzeptes sei die Sicherheitsrichtlinie, die alle Maßnahmen regelt. Bilek empfiehlt Firmen, sich dabei nach den Normen DIN ISO/IEC 27001 und 27002 zu richten. „Sie stellen den Unternehmen ein kompetentes Werkzeug in deutscher Sprache zur Verfügung, welches die Anforderungen an die Informationssicherheit des Unternehmens klar und eindeutig definiert.“ Anschließend habe die IT mittels DLP für die korrekte Umsetzung und technische Sicherheit. Zusammenfassen ließe sich der Weg zu einer DLP-Lösung in einer Checkliste mit zehn Punkten.
Über drei Millionen Angriffsversuche unter Deckmantel von Minecraft / YouTube-Star Mr. Beast als prominenter Köder
Die Prognose für die Anfahrt bezieht das Verkehrsaufkommen, die Stellplatzverfügbarkeit sowie die Lenk- und Ruhezeiten…
Unternehmen können mit Casebase Portfolio an Daten- und KI-Anwendungsfällen organisieren.
Smart-TV oder Saugroboter: Nutzer schützen ihre smarten Heimgeräte zu wenig, zeigt eine repräsentative BSI-Umfrage.
Im Benchmark erreicht der neue Core Ultra 200V eine Laufzeit von 14 Stunden. Intel tritt…
Jeder dritte hält sich damit für unsichtbar. Wie widersprüchlich unser Datenschutzverhalten oft ist, zeigt eine…