Data Leakage Prevention – oder kurz DLP

Die Daten eines Unternehmens sind sein wichtigstes Gut. Daher stellen diese Daten einen sehr hohen materiellen Wert da und wecken zunehmend das Interesse der Schattenwirtschaft in der digitalen Welt. Alleine nach den Zahlen des BSI oder des BKA ist die Wirtschaftskriminalität in den letzten zwei Jahren deutlich gestiegen.

Der Druck auf die Unternehmen wächst und eigene Entwicklungen oder eigenes Knowhow aufzubauen ist sehr teuer. Dies gilt besonders für Unternehmen die international agieren, Hochtechnologie entwickeln oder im Bereich Finanzen tätig sind. Selbst kleine und mittelständische Unternehmen sind diesen Gefahren ebenso ausgesetzt. Besonders dann, wenn es sich um sensible Daten handelt.

Es ist wichtiger denn je die eigenen Daten zu schützen und zu verhindern, dass diese Daten aus dem Unternehmen entwendet werden. Ob es nun der viel zitierte eigene Mitarbeiter ist, der Daten entwendet oder ein Angriff von extern die Ursache war, ändert nichts an der Tatsache, dass die Daten weg sind. Auch passiert der Verlust sehr schnell durch das versehentliche Senden einer eMail an den falschen Empfänger. Es gilt zu verhindern, dass sensible und wichtige Daten das Unternehmen verlassen. Da aber die Wege vielfältig sind, auf denen die Daten verschwinden können, ist die Kontrolle zu behalten nicht ganz trivial. Hier bedarf es entsprechende Maßnahmen zum Schutz dieser Daten.

Um die Daten wirkungsvoll zu schützen und trotzdem den Mitarbeitern die benötigten Zugriffe zu gewähren bedarf es einer mehrstufigen Strategie. Eine Maßnahme muss die Kontrolle der Daten am Perimeter sein. Einige Hersteller die im Enterprise-Bereich ihre Produkte platzieren, bieten entsprechende Funktionen oder Systeme an, um dort entsprechende Kontrollen einzuführen. Diese Technik erlaubt die Prüfung der Ausgehenden Daten auf bestimmte Muster und Inhalte. Durch entsprechende Richtlinien werden dann die Inhalte aus dem Datenstrom ausgefiltert, der Datenstrom komplett unterbunden oder einfach nur protokolliert. Aber eine entsprechende DLP-Lösung alleine ist noch kein Garant zum Schutz der Daten, wenn auch ein wichtiger Bestandteil im Gesamtkonzept.

Es sind zusätzlich weiterführende Maßnahmen notwendig. Es gilt ebenso die Kontrolle über mobile Datenträger wie zum Beispiel USB-Sticks oder Flash-Speicher zu behalten. Dazu ist der Einsatz einer Device-Control Lösung erforderlich. Weitere Maßnahmen sind in den ERP- und CRM-Lösungen und Intranet-Systemen zu treffen. Hier ist eine restriktive Rechtevergabe und die Einschränkung um beliebige Listen und Auswertungen zu generieren ebenfalls notwendig.

Ein weiterer wichtiger Punkt ist die Verschlüsselung von Datenträgern die das Haus verlassen. Sei es die Festplatte im Notebook oder auch wieder ein USB-Stick. Es gilt hier ebenfalls zu verhindern, dass die Daten entwendet oder von unbefugten Dritten gelesen werden können. In diesem Zusammenhang werden oft andere mobile Geräte wie Mobiltelefone und allen voran das iPhone oder andere MDA’s vergessen. Dabei werden oft sehr sensible Daten auf diesen Geräten mitgeführt. Blackberry’s bieten zwar über das zentrale Management die Option Geräte aus der Ferne zu löschen, jedoch stellen sie auch ein gewisses Gefahrenpotential da.

Nur durch die im Verbund eingesetzten Maßnahmen ist es möglich, die Daten eines Unternehmens zu schützen. Aber auch, wie so oft, bestimmte das schwächste Glied das gesamte Sicherheitsniveau. Im Gegenzug sind die Wege auf denen die Daten aus dem Unternehmen gelangen können so vielzählig, dass man sie nicht alle aufführen kann.  Daher sind aufeinander abgestimmte Maßnahmen zwingend erforderlich und Insellösungen nur bedingt geeignet die Daten effektiv zu schützen.

Bei Fragen sind wir wie bekannt zu erreichen.

Datenschutz und die Realität

Wie es um den Datenschutz wirklich bestellt ist, zeigen einmal mehr die jüngsten Ereignisse in aller Deutlichkeit. Auch zeigen sich hier die Gefahren die von Datensammlungen ausgehen und vor allem dann, wenn ein solcher Missbrauch betrieben wird.
Als Datenschützer muss man sich aktuell wohl wie Don Quichotte im Kampf gegen die Windmühlen vorkommen. Vielleicht sind es aber auch Gebetsmühlen, so oft wie es die Datenschützer angemahnt und zu bedenken gegeben haben. Jetzt ist es mal wieder fast so gekommen wie vorhergesagt. Nur, dass es solche Ausmaße angenommen hat, übertrifft sämtliche im Vorfeld aufgezeigte Szenarien eines möglichen Missbrauchs. Als Datenschützer fehlen einem fast die Worte aber wirklich überraschend ist es nicht. Das Ausmaß ja, der Missbrauch nein. Es war nur eine Frage der Zeit das so etwas passiert.

Da hatte ich nun Anfang Juni einen Beitrag hier im Blog zu dem Datenmissbrauch von Flug- und Telekumminikationsdaten verfasst und mir gewünscht, dass das Thema Datenschutz nun nicht mehr so schnell aus den Medien verschwindet. Aber so habe ich mir das wirklich nicht vorgestellt, vielleicht sollte ich nur einfach etwas vorsichtiger mit meinem Wünschen umgehen.

Wie „damals“ ist die Politik auch hier wieder ganz Vorne und wirft mit Begriffen um sich, die sie selbst zwar nicht erklären können aber auf jeden Fall populistisch klingen und auch was her machen. Nur das die Politik selbst der größte Vorreiter zur Datensammelwut ist, möchte man natürlich jetzt nicht so gerne hören. Außerdem sind es ja schließlich die anderen! Naja, nicht so ganz, wir dürfen da mal nicht vergessen, dass da für satt 850 Euro vier Millionen Kontendaten von Bundesbürgern vor kurzem, zwar mit umgedrehten Verhältnis von Datensätzen und Bezahlung, Daten aus Lichtenstein erworben wurden. Nach dem Motto, was dem einem Recht ist, ist dem anderen billig.

Es bleibt wirklich zu hoffen, dass es jetzt auch dem letzen klar geworden ist, welche Gefahren von den Datensammlungen und deren zwangsläufigen Missbrauch ausgeht. Dass Datenschutz in erste Line und vor allem im Besonderen Datensparsamkeit bedeutet, wird all zu oft und gerne Vergessen. Leider wird es aber auch diesmal in der Politik so werden wie immer, viel heisse Luft, jeder mit einer ganz tollen Idee was man besser machen kann – nur wiklich mal nachdenken oder denen nur mal zuhören, die wissen wovon sie sprechen, tut mal wieder keiner. Da bleibt nur zu wünschen, dass den Landesdatenschutzbeauftragten und auch Peter Schaar mal entsprechendes Gehör geschenkt und auch dann entsprechend gehandelt wird. Aber das sind ja nun schon zwei Wünsche auf ein Mal von mir – ob das diesmal auch so funktioniert, wie mit den Medien, ich wage das mal zu bezweifeln. Wobei aus meiner Sicht die Medien immer noch viel zu wenig über das Thema Datenschutz berichten und daher bleibt auch die Sensibilisierung der Menschen für die Wichtigkeit des Datenschutzes auf der Strecke.

Sirenen der Datensammlungen

Wie der Gesang der Sirenen verführen die Datensammlungen immer mehr die Menschen die Zugriff auf diese haben
All dies kam ja für alle so plötzlich und überraschend wie jedes Jahr Weihnachten. Da kann man sich einfach nie drauf einstellen. Gut jetzt haben immer alle Datenschützer schon vorher davor gewarnt, dass solche Daten auch Begehrlichkeiten wecken. Aber man kann ja schließlich nicht auf jeden hören. Es ist ja nicht so als wäre das nun eingetreten, was ihnen immer gesagt wurde. Bei weiten nicht, denn es ist viel schlimmer. Der Missbrauch der Daten zieht viel weitere Kreise als sich viele eingestehen wollen. Auch ist der Umfang in ganz andere Dimensionen gerückt. Wie viele von dem Gesang der Sirenen verführt wurden wird die kommende Zeit noch aufzeigen. Aber es werden leider nicht wenige sein.

Jetzt auf einmal ist das auch wieder ein Thema für die Politik, alle die im Vorfeld ja nie der Argumentation der Datenschützer folgen konnten oder wollten sind jetzt ganz plötzlich dafür. Aber das die Politik für dies alles den Weg geebnet hat, davon will jetzt trotzdem keiner was hören.

Aber die Medien haben einen Teil der Schuld mitzutragen. Als es seinerzeit darum ging mehr Informationen und Berichte über das Thema zu bringen wurde (fast) nichts gemacht. Vielleicht schien damals das Thema einfach nicht interessant genug, obwohl es ja auch gerade die Medien selbst sehr betrifft. Nun sind sie auf einmal mittendrin und wurden ausspioniert.

Jetzt bleibt nur zu hoffen, dass das Thema nun nicht mehr zu schnell aus den Medien verschwindet und auch die richtigen Lehren daraus gezogen werden. Denn dies ist jetzt nicht nur eine große Chance des Datenschutz sondern für alle in Deutschland. Diese blinde Sammelwut an Daten zur „Terror-Abwehr“ und „Tauschbörsenbenutzer“ sollte noch Mals deutlich hinterfragt und überarbeitet werden. Auch sollte sich jeder Bewusst werden, was alles schon an Daten gesammelt wird. Hier ist es Aufgabe der Medien entsprechende Aufklärung zu leisten und entsprechend zu sensibilisieren.

Die Rubrik „Stasi 2.0“ in Heise Telepolis trifft es jetzt nicht so ganz, dass alles ist mehr schon die Advanced Edition.

Mangelndes Backup bei eMail-Systemen in Unternehmen

Viele Firmen vernachlässigen das Backup ihrer eMail-Systeme und gefährden so unter Umständen das ganze Unternehmen bei einem Ausfall dieser Kommunikation
Nach einer neusten Studie sind Unternehmen meist nicht genügend geschützt um Ausfälle ihrer eMail-Systeme vorzubeugen. Dies hat eine Befragung von klein- und mittelständischen Unternehmen ergeben. Hier sind die Defizite von unzureichenden Notfallplänen über mangelnde Backups bis hin zu Systemen bei denen nie eine Sicherung durchgeführt wurde.
Gerade eMail ist ein so wichtiges Kommunikationsmedium im geschäftlichen Umfeld geworden, dass eine Vernachlässigung der Sicherungsmaßnahmen bei einem Ausfall der Systeme zu erheblichen Schäden und somit auch Kosten führen kann.
Dies bedeutet jetzt nicht, dass alle eMail-Systeme als Hochverfügbarkeitslösung ausgelegt werden müssen aber Minimum sollte eine entsprechende Datensicherung und ein im Vorfeld geplantes Vorgehen bei einem Ausfall sein.
Wenn Sie fragen zu diesem Themenbereich haben, dann sprechen Sie uns an.

Leitfaden vom Bundesministerium des Inneren

Das Bundesministerium des Inneren hat einen Leitfaden veröffentlicht in dem es um den Schutz kritischer Infrastrukturen geht
Der Leitfaden richtet sich an Unternehmen und Behörden und dort an das Risiko- und Krisenmanagement sowie den Schutz kritischer Infrastrukturen. Das online als pdf erhältliche Dokument soll als Ratgeber helfen entsprechende Risikofaktoren schon im Vorfeld abzuschätzen. Der Ratgeber ist sehr auf die Praxis ausgelegt und hilft mit seinem Checklisten bei der Umsetzung.

Der Ratgeber kann hier als pdf heruntergeladen werden.

Vorabübermittlung der Absender- und Empfängerdaten von Paketen und Briefen aus Europa an US-Behörden

Wie einige Zeitung und auch schon Heise berichtet hat werden Daten vorab an die US-Behörden übermittelt
Dies wird wohl schon seit längeren praktiziert, da die US Zoll- und Grenzbehörde auf eine elektronische Übermittlung bis spätestens 4 Stunden vor Ankunft in die USA besteht. In einem Handelsabkommen mit der EU von 2004 ist dies so vorgesehen. Es werden Empfänger und Absender sowie die Zollinhaltsangabe übermittelt. Die Betroffenen werden noch nicht einmal darüber informiert, dass diese Daten weitergegeben werden. Die Tatsache, dass hierüber niemand informiert und ein immer mehr ein Ausverkauf von Rechten stattfindet ist sehr bedenklich. Dies ist nur wieder ein weiteres Beispiel dafür, dass der Datenschutz immer wichtiger wird, da die Begehrlichkeiten an solchen Daten immer stärker werden. Hier ist nun die Politik gefordert die Grundrechte der Bürger zu vertreten und entsprechend auch zu schützen. Dem Statt obliegt der Schutz dieser Rechte und auch deren Durchsetzung. Auch die Medien sind in der Pflicht hier zu Informieren und es publik zu manchen, damit auch eine entsprechende Sensibilisierung der Bürger in diesem Bereich stattfinden kann oder auch ein entsprechender Druck auf Politik ausgeübt werden kann. Das Post- und Fernmeldegeheimnis gehört mit zu den wichtigsten Rechten in einer Informationsgesellschaft. Wer hier bereitwillig geschützte Information preis gibt und auf deren Verwendung keinen Einfluss mehr hat, öffnet Tür und Tor für deren Missbrauch.

Bundesratsforderung nach Weitergabe von Internetdaten an die Musik- und Filmindustrie

In der Pressemitteilung nimmt der Bundesdatenschutzbeauftragte Stellung die es dem Rechteinhaber ermöglicht Zugriff auf die geplante Vorratsdatenspeicherung zu erhalten, worüber der Bundesrat in der Sitzung vom 30.11.2007 eine Entschließung fassen möchte. Hiermit bestätigen sich nur die Befürchtungen, dass ein solche Speicherung immer wieder neue Begehrlichkeiten weckt.

Klage gegen Vorratsdatenspeicherung

Mehr als 13.000 Bürger wollen sich an der Klage gegen die Vorratsdatenspeicherung beteiligen, so die Pressemitteilung des Arbeitskreises Vorratsdatenspeicherung. Das Gesetzes zur Neuregelung der Telekommunikationsüberwachung sieht u.a. vor, dass ab 2008 für 6 Monate die Nutzungsdaten von Telefon, Mobiltelefon, SMS, eMail und Internetnutzung gespeichert werden. Bei Mobiltelefon und SMS wird dazu noch der Standort des Geräts bei der Nutzung gespeichert. Eine Beteiligung an der Sammel-Verfassungsbeschwerde ist noch bis zum 24.12.2007 möglich.

Weitergabe von Fluggastdaten

Mit den Stimmen der großen Koalition machte das Parlament am Donnerstag, den 15.11.2007  den Weg der Flugpassagierdaten in die USA frei. Dies ist aus Sicht des Datenschutzes von Bürgern der EU ein Rückschritt. Nicht nur die Menge und Art der Daten, sondern auch die 15-jährige Speicherdauer sprechen nicht gerade für den Schutz der Privatsphäre von Flugreisenden.

Persönliche Daten in sozialen Netzwerken

Viele Internetbenutzer gehen sehr unbedacht mit ihren persönlichen Daten in solchen Verzeichnissen um. Viele machen dort sehr persönliche Angaben zu ihrer Person. Aber man sollte sich die Frage stellen, wie sich solche Portale finanzieren? Wenn man bedenkt, dass verifizierte Adressen und dazu noch mit persönlichen Interessen einigen Unternehmen viel Geld wert sind, ist es nicht schwer zu erraten, was in den AGB’s und den Datenschutzerklärungen mit weitergabe an Dritter gemeint ist.

Sicherlich steht es jedem frei diese Angaben zu machen und auch haben solche sozialen Netzwerke ihren Nutzen. Jedoch sollte sich jeder der dieser Netzwerke nutzt dessen bewusst sein.