Data Loss Prevention, der Schutz vor dem Abfluss vertraulicher Daten, ist keine rein technische Angelegenheit. Ohne Einbezug der Mitarbeitenden funktioniert es nicht. Diese Ansätze versprechen Erfolg.
Text: Andreas Heer, 18. Juni 2019, aktualisiert am 21.07.2021
Es ist schnell passiert: In der Eile den falschen Empfänger im Mail ausgewählt, und schon geht die vertrauliche Produktepräsentation nach aussen. Oder geschäftliche Daten werden auf dem privaten Online-Speicher abgelegt – und kurz darauf als Folge eines Einbruchs entwendet. Ganz zu schweigen von Fällen, in denen Mitarbeitende vertrauliche Informationen absichtlich weitergeben.
Der Schutz vertraulicher Firmendaten ist eine ebenso wichtige wie vielschichtige Angelegenheit, wie diese Beispiele zeigen. Data Loss Prevention (DLP) oder Data Leakage Prevention bezeichnet alle Massnahmen, die einen unerwünschten Abfluss von Unternehmensinformationen verhindern sollen. Die Compliance-Anforderungen aufgrund von Regulatorien und Datenschutzgesetzen spielen dabei eine wichtige Rolle. Denn bei Verletzung dieser Regeln drohen empfindliche Bussen. Doch ebenso wichtig ist die Reputation als Basis fürs Kundenvertrauen. «Kunden erwarten zurecht, dass Firmen mit den anvertrauten Daten vertrauensvoll umgehen», sagt Raffael Peluso, Head of Product Management Cybersecurity bei Swisscom. Ein Datenabfluss kann deshalb auch einen Kundenabfluss zur Folge haben.
Gleichzeitig steigt im Zuge der Digitalisierung die Bedeutung von Daten für die Unternehmen. Das digital gespeicherte geistige Eigentum muss ebenso vor fremden Augen verborgen bleiben wie eine Produkte-Roadmap, die einem Konkurrenten einen Wettbewerbsvorteil verschaffen könnte. Auch hierzu sind DLP-Massnahmen nötig.
Die einleitenden Beispiele mit dem falschen Mail-Empfänger und dem privaten Online-Speicher zeigen, dass DLP eine Kombination aus technischen Massnahmen, Prozessen und der Sensibilisierung der Mitarbeitenden umfassen muss. Vielleicht hätte sich der Versand der Produktepräsentation technisch verhindern lassen. Aber Mitarbeitende, die im Umgang mit vertraulichen Daten geschult sind, wissen, dass sie vertrauliche Dokumente weder per Mail verschicken noch auf dem persönlichen Cloud-Speicher ablegen sollen.
Dass Sensibilisierung nötig ist als Ergänzung zu technischen Massnahmen, zeigt die Studie «Cost of a Data Breach» von IBM: 2020 soll rund ein Viertel aller Datendiebstähle weltweit aufgrund menschlichem Fehlverhaltens passiert sein. Wenn geschulte Mitarbeitende ihr Wissen im Alltag umsetzen, minimiert das die Fehlerquote. Oder anders gesagt: Bewusstsein schützt.
Für die Schulung von Mitarbeitenden gibt es unterschiedlich aufwändige Ansätze. «Ich habe die Erfahrung gemacht, dass sich E-Learning gut eignet. Beispielsweise in Form von Lernvideos mit abschliessenden Testfragen», sagt Raffael Peluso. «Die Schulung sollte von weiteren Informationskampagnen begleitet sein, beispielsweise im Intranet.»
Solche präventiven Sensibilisierungsaktivitäten helfen, das Verständnis für den Umgang mit vertraulichen Daten zu fördern – und auch dasjenige für die nötigen Richtlinien, Prozesse und technischen Schutzmassnahmen.
Eine absolute Sicherheit gibt es jedoch nicht. Wenn ein Mitarbeitender eine genügend hohe kriminelle Energie an den Tag legt, wird er Wege finden, die Schutzmassnahmen zu umgehen. Da macht sich auch Raffael Peluso keine Illusionen: «Data Loss Prevention ist, wie jede Sicherheitsmassnahme, ein Abwägen zwischen Aufwand und Restrisiko.»
Den Schlüssel für das erfolgreiche Verhindern eines Datenabflusses sieht er in der Art der Umsetzung: «Die Massnahmen dürfen das Business nicht behindern. Sonst ist die Akzeptanz nicht gegeben, und die Mitarbeitenden werden kreative Wege finden, um DLP zu umgehen.»
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?