Massnahmen zur Data Loss Prevention

Schutz von Geschäftsdaten 

Wie Unternehmen unerwünschten Datenabfluss verhindern 

Data Loss Prevention, der Schutz vor dem Abfluss vertraulicher Daten, ist keine rein technische Angelegenheit. Ohne Einbezug der Mitarbeitenden funktioniert es nicht. Diese Ansätze versprechen Erfolg.

Text: Andreas Heer, 18. Juni 2019

Es ist schnell passiert: In der Eile den falschen Empfänger im Mail ausgewählt, und schon geht die vertrauliche Produktepräsentation nach aussen. Oder der – selbstverständlich ungeschützte – USB-Stick geht auf der Geschäftsreise irgendwo verloren. Ganz zu schweigen von Fällen, in denen Mitarbeitende vertrauliche Informationen absichtlich weitergeben.

Bussen und Reputationsschäden als Folge

Der Schutz vertraulicher Firmendaten ist eine ebenso wichtige wie vielschichtige Angelegenheit, wie diese beiden Beispiele zeigen. Data Loss Prevention (DLP) oder Data Leakage Prevention bezeichnet alle Massnahmen, die einen unerwünschten Abfluss von Unternehmensinformationen verhindern sollen. Die Compliance-Anforderungen aufgrund von Regulatorien und Datenschutzgesetzen spielen dabei eine wichtige Rolle. Denn bei Verletzung dieser Regeln drohen empfindliche Bussen. Doch ebenso wichtig ist die Reputation als Basis fürs Kundenvertrauen. «Kunden erwarten zurecht, dass Firmen mit den anvertrauten Daten vertrauensvoll umgehen», sagt Raffael Peluso, bei Swisscom für Sicherheitslösungen zuständig. Ein Datenabfluss kann deshalb auch einen Kundenabfluss zur Folge haben.

 

Gleichzeitig steigt im Zuge der Digitalisierung die Bedeutung von Daten für die Unternehmen. Das digital gespeicherte geistige Eigentum muss ebenso vor fremden Augen verborgen bleiben wie eine Produkte-Roadmap, die einem Konkurrenten einen Wettbewerbsvorteil verschaffen könnte. Auch hierzu sind DLP-Massnahmen nötig.

Data Loss Prevention als Kombination von Massnahmen

Das einleitende Beispiel mit dem falschen Mail-Empfänger zeigt, dass DLP eine Kombination aus technischen Massnahmen, Prozessen und der Sensibilisierung der Mitarbeitenden umfassen muss. Vielleicht hätte sich in diesem Fall technisch der Versand der Produktepräsentation verhindern lassen. Aber ein im Umgang mit vertraulichen Daten geschulter Mitarbeiter wäre gar nicht auf die Idee gekommen, das Dokument per Mail weiterzuleiten. Dass Sensibilisierung nötig ist als Ergänzung zu technischen Massnahmen, zeigt die Studie «Cost of a Data Breach»: 2018 soll rund ein Viertel aller Datendiebstähle in den USA aufgrund menschlichem Fehlverhaltens passiert sein. Wenn Mitarbeitende dieses Wissen im Alltag umsetzen, minimiert das die Fehlerquote. Oder anders gesagt: Bewusstsein schützt.

 

Für die Schulung der Mitarbeitenden gibt es unterschiedlich aufwändige Ansätze. «Ich habe die Erfahrung gemacht, dass sich E-Learning gut eignet. Beispielsweise in Form von Lernvideos mit abschliessenden Testfragen», sagt Raffael Peluso. «Die Schulung sollte von weiteren Informationskampagnen begleitet sein, beispielsweise im Intranet.»

 

Solche präventiven Sensibilisierungsaktivitäten helfen, das Verständnis für den Umgang mit vertraulichen Daten zu wecken – und auch dasjenige für die nötigen Richtlinien, Prozesse und technischen Schutzmassnahmen. Eine absolute Sicherheit gibt es jedoch nicht. Wenn ein Mitarbeiter eine genügend hohe kriminelle Energie an den Tag legt, wird er Wege finden, die Schutzmassnahmen zu umgehen, ist sich Raffael Peluso sicher: «Data Loss Prevention ist, wie jede Sicherheitsmassnahme, ein Abwägen zwischen Aufwand und Restrisiko.» Den Schlüssel für erfolgreiches Verhindern eines Datenabflusses sieht er in der Art der Umsetzung: «Die Massnahmen dürfen das Business nicht behindern. Sonst ist die Akzeptanz nicht gegeben, und die Mitarbeitenden werden kreative Wege finden, um DLP zu umgehen.»

Newsletter

Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?


Mehr zum Thema

Download

Cyber Security Report 2019

Erfahren Sie, wie die aktuelle Cyber-Bedrohungslage aussieht und wie sich diese auf die Schweiz auswirkt. Fokusthema im Report: Advanced Persistent Threats (APT).