Der Mangel an Anwenderbewusstsein gilt als eine der Hauptursachen für Data Loss-Vorfälle.
Zürich – Die auf Security-Lösungen spezialisierte Check Point Software Technologies Ltd. (Nasdaq: CHKP) und das unabhängige Marktforschungsunternehmen Ponemon Institute geben neue Ergebnisse ihrer Studie „Understanding Security Complexity in 21st Century IT Environments“ bekannt.
Danach waren im vergangenen Jahr gut 77% der in den USA, Grossbritannien, Frankreich, Deutschland und Japan befragten Organisationen von Datenverlust betroffen – in Deutschland allein bestätigten sogar 83% der Unternehmen, in 2010 den Verlust von Informationen erfahren zu haben. Am stärksten betroffen, so die in Deutschland Befragten, seien Kundeninformationen (52%), gefolgt von generischen Verbraucherdaten (51%), anderem, geistigem Eigentum wie z. B. Source Code (29%), Mitarbeiterdaten (28%) und Geschäftsplänen bzw. –strategien (20%). Mit der zunehmenden Nutzung von Web 2.0-Applikationen und der wachsenden Zahl mobiler Endgeräte, die auf das Netzwerk zugreifen, sehen sich die Organisationen bei der Durchsetzung von Datensicherheit, IT Governance sowie Risiko- und Compliance-Vorschriften mit hohen Anforderungen konfrontiert.
Wenig Bewusstsein für die Datensicherheit
Der bei insgesamt mehr als 2’400 IT Security-Administratoren durchgeführten Studie zufolge lag die Hauptursache für das Verlorengehen von Daten im Verlust bzw. Diebstahl von IT-Equipment, gefolgt von Netzwerkattacken, ungesicherten, mobilen Endgeräten, Web 2.0- und File Sharing-Anwendungen und schliesslich im versehentlichen Versenden von Emails an den falschen Empfänger. Zudem glauben die befragten Studienteilnehmer, dass im Durchschnitt rund 49% ihrer Mitarbeiter wenig bis überhaupt kein Bewusstsein für Themen wie Datensicherheit, Compliance und Policies haben. In Deutschland liegt der Anteil der nicht aufgeklärten bzw. nicht sensibilisierten Angestellten bei immer noch 34% – für die Unternehmen Anlass genug, die Bewusstseinsentwicklung der Mitarbeiter stärker in den Fokus ihrer Sicherheitsstrategien zu rücken, zumal es meist der Mensch ist, der an der Security-Front der Organisation in der ersten Reihe steht.
Grossteil der Vorfälle geschieht ohne Absicht
„Wir wissen, dass Datensicherheit und Compliance bei den Security-Verantwortlichen ganz oben auf der Liste stehen“, so Christian Fahlke, Country Manager Schweiz und Österreich Check Point Software Technologies (Switzerland) AG. „Wenn wir uns aber die Ursachen für Datenverlust anschauen, sehen wir, dass der Grossteil der Vorfälle ohne Absicht passiert. Um Datenverlust nicht länger nur erkennen, sondern pro-aktiv verhindern zu können, sollten die Unternehmen daher auf eine verstärkte Sensibilisierung und Einbeziehung ihrer Mitarbeiter setzen und gleichzeitig die dazugehörigen Prozesse etablieren, so dass die Datenbestände insgesamt transparenter und besser kontrollierbar sind.“
Richtige DLP-Lösung schrittweise umsetzen
Da sich Data Loss Prevention (DLP) mehr und mehr als eine der grössten Herausforderungen an die IT-Sicherheit erweist, ist es für die Unternehmen essentiell, die wichtigsten Treiber für DLP zu verstehen und dann schrittweise gezielte Massnahmen aufzusetzen, wie z.B.:
- Klares Verständnis von den internen Datensicherheitsforderungen schaffen – Die Unternehmen sollten eine klare, auch schriftlich dokumentierte Übersicht über die in der Organisation vorhandenen, sensitiven Daten haben. Ebenso sollten alle Datenbestände bekannt sein, die behördlichen oder wirtschaftlichen Compliance-Standards unterworden sind.
- Sensitive Daten klassifizieren – Auflistung aller sensitiven Datentypen in der Organisation und Kennzeichnung des Grads der Sensitivität. Erstellen von Dokumentvorlagen für die Klassifizierung der Daten nach „öffentlich“, „geheim“ oder „streng geheim“. Aus der Nutzung dieser Vorlagen entsteht beim Anwender ein besseres Verständnis für die Sicherheitsregeln des Unternehmens und wann z. B. eine Information als „sensitiv“ zu bezeichnen und zu behandeln ist.
- Sicherheitsregeln und Geschäftsanforderungen in Einklang bringen – Die Sicherheitsstrategie der Organisation sollte die Informationsbestände des Unternehmens schützen, ohne den Endanwender in seiner Tätigkeit zu behindern. Das Unternehmen sollte bei der Definition von Sicherheitsregeln mit einfachen Geschäftsbedingungen beginnen, die an den Geschäftsanforderungen individueller Mitarbeiter, einzelner Gruppen und der gesamten Organisation ausgerichtet sind. So genannte „Identity Awareness“-Lösungen verhelfen dem Unternehmen zu mehr Transparenz bezüglich ihrer Anwender und der IT-Umgebung und unterstützen eine bessere Durchsetzung der unternehmensweiten Sicherheitsregeln.
- Gesamten Lebenszyklus der Daten sichern – Organisationen sollten die Implementierung von Data Security-Lösungen in Erwägung ziehen, die ihre sensitiven Daten in unterschiedlichen Formaten schützen, z. B., indem sie Anwender, Datentypen und Prozesse korrelieren. Die Informationen sollten zudem über ihren gesamten Lebenszyklus hinweg gesichert sein, also im Ruhezustand, im Zustand der Datenübertragung und bei der Datennutzung.
- Eliminieren der Compliance-Bürde – Im ersten Schritt sollten die von Behörden und Industrie getriebenen Compliance-Anordnungen evaluiert und deren Einfluss auf die Security und die Geschäftsabläufe der Organisation geprüft werden. Als Lösungen sollten nur bereits bewährte Verfahren und Methoden in Erwägung gezogen werden, die vom ersten Tag an Schutz bieten und auf die Einhaltung spezifischer Vorschriften abzielen, wie z. b. HIPAA, PCI DSS und Sarbanes Oxley.
- Hervorheben des Anwenderbewusstseins und –engagements – Der Anwender sollte in den Security-Entscheidungsprozess mit einbezogen werden. Die richtige Technologie kann dabei unterstützen, den Benutzer über die Sicherheitsregeln des Unternehmens aufzuklären und versetzt ihn in die Lage, evtl. Sicherheitsvorfälle selbst und in Echtzeit zu beheben. Die Verbindung von Technologie und Anwenderbewusstsein sensibilisiert die Mitarbeiter über selbstlernende Techniken für riskantes Verhalten.
Mangel an Anwenderbewusstsein
„Bei Hunderten von Data Loss-Vorfällen jährlich überrascht es nicht, dass die Probleme mit Governance, Risk und Compliance dramatisch ansteigen“, so Dr. Larry Ponemon, Chairman und Gründer des Ponemon Institute. „Um diese Herausforderungen heutzutage zu bewältigen, ist viel mehr erforderlich, als nur der Einsatz von Technologien. Tatsache ist, dass der Mangel an Anwenderbewusstsein eine der Hauptursachen für Data Loss-Vorfälle ist. Das sollte mehr Unternehmen dazu animieren, ihre Mitarbeiter bezüglich der Sicherheitsvorschriften in der Organisation zu schulen.“
Verbindung von Technologie und Anwenderbewusstsein
Das Check Point DLP Software Blade basiert auf der Software Blade Architecture™ des Security-Anbieters. Durch eine einzigartige Kombination aus Technologie und Anwenderbewusstsein unterstützt die Lösung Unternehmen beim präventiven Schutz ihrer sensitiven Informationen vor unbeabsichtigtem Datenverlust. Mit Hilfe seiner UserCheck-Technologie geht Check Point-DLP über den Einsatz von Technik hinaus, schult den Anwender im richtigen Umgang mit Sicherheitsregeln und ermöglicht ihm die sofortige Behebung eventueller Vorfälle und Regelverstösse.
Demografische Hintergrundinformationen
Die unabhängige Studie „Understanding Security Complexity in 21st Century IT Environments“ wurde im Februar 2011 vom Ponemon Institut bei IT Security-Administratoren in den USA, Grossbritannien, Frankreich, Deutschland und Japan durchgeführt. Die Untersuchung repräsentiert Unternehmen aller Grössen in 14 verschiedenen Marktsegmenten, darunter Banken & Finanzen, Fertigungsindustrie, Wehrtechnik, Einzelhandel, Gesundheitswesen und Bildungssektor. Weitere Informationen zu Check Point DLP und Zugriff auf den vollständigen Report erhalten Sie unter http://www.checkpoint.com/products/dlp-software-blade/index.html. (Check Point/mc/ps)
Über Check Point Software Technologies
Check Point Software Technologies Ltd., weltweit führend im Bereich Internetsicherheit, ist der einzige Anbieter, der komplette Sicherheitslösungen für Netzwerke, Daten und Endpoints bietet. Check Point bietet seinen Kunden kompromisslosen Schutz vor Bedrohungen aller Art, reduziert die Sicherheitskomplexität und senkt die Gesamtbetriebskosten. Mit FireWall-1 und der patentierten „Stateful Inspection“-Technologie war Check Point ein Vorreiter in der Sicherheitsbranche. Heute setzt Check Point mit der Software Blade-Architektur neue Impulse. Die dynamische Software Blade-Architektur ist eine sichere, flexible und einfache Lösung, die exakt an die Sicherheitsanforderungen einer Firma oder Umgebung angepasst werden kann. Zu den Kunden von Check Point zählen Zehntausende von Firmen und Organisationen jeder Grössenordnung, darunter alle Fortune 100-Unternehmen. Die vielfach ausgezeichneten ZoneAlarm-Lösungen von Check Point schützen Millionen von Verbrauchern vor Hackern, Spyware und Identitätsdiebstahl. Check Point Alps (Schweiz und Österreich) mit Sitz in Zürich und Wien und einem Branchoffice in Vevey beschäftig 20 Mitarbeitende.