- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Kontrolle durch Data Loss Prevention


Datenleck von unterwegs: Vier Security-Maßnahmen für mobiles Arbeiten
Remote und mobiles Arbeiten hat den traditionellen Netzwerkperimeter nahezu überflüssig gemacht

- Anzeigen -





Von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Für viele Mitarbeiter ist das Arbeiten von unterwegs oder aus dem Home-Office zur Selbstverständlichkeit geworden. Die Sicherheitsrisiken werden dabei jedoch oft übersehen: Auf Laptops, Mobiltelefonen und Tablets befinden sich häufig sensible Unternehmensdaten wie vertrauliche E-Mails und Dokumente, personenbezogene Daten oder Finanzinformationen. Durch ein gestohlenes oder verlorenes Gerät steigt das Risiko eines Datenlecks. Nach der DSGVO stellt der Verlust eines mobilen Firmengeräts mit personenbezogenen Daten eine Datenschutzverletzung dar, die mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Gesamtjahresumsatzes geahndet werden kann.

Es ist unmöglich, den Verlust mobiler Endgeräte durch Mitarbeiter komplett zu verhindern. Um das Risiko eines Datenlecks zu minimieren, mag es verlockend erscheinen, mobiles Arbeiten einzuschränken. Doch dies kann sich negativ auf die Produktivität und Mitarbeiterzufriedenheit auswirken. Flexibles Arbeiten ist heutzutage für viele Mitarbeiter eine Selbstverständlichkeit, daher ist es wichtig, dass Unternehmen entsprechende Richtlinien und Sicherheitsmaßnahmen einführen.

1. Entwicklung von Richtlinien für mobiles Arbeiten
Mitarbeiter müssen klar über die Regeln und Best Practices ihres Unternehmens in Bezug auf mobiles Arbeiten informiert werden. Die Richtlinien sollten folgende Punkte abdecken:

• >> Anwendungen und Informationen, auf die Mitarbeiter per Mobilgerät zugreifen dürfen
• >> Mindestanforderungen der Sicherheitskontrollen für Mobilgeräte
• >> Vom Unternehmen bereitgestellte Komponenten wie SSL-Zertifikate zur Geräteauthentifizierung
• >> Unternehmensrechte für Änderungen auf Mobilgeräten wie ein Remote-Wipe verlorener oder gestohlener Devices. Dazu gehören die Haftung des Unternehmens für die personenbezogenen Daten eines Mitarbeiters, falls ein Gerät aus Sicherheitsgründen gelöscht werden muss, sowie die Haftung des Mitarbeiters für den Verlust sensibler Unternehmensdaten, die durch Fahrlässigkeit oder Missbrauch des Mitarbeiters verursacht wurden.
• >> Regelmäßige Sicherung und sachgemäße Speicherung von Unternehmensdaten

2. Verschlüsselung von Geräten, E-Mails und sensiblen Daten
Da Daten durch BYOD (Bring Your Own Device) aus dem Kontrollbereich vieler Security-Maßnahmen geraten, ist es wichtig, dass Unternehmen sensible Daten sowohl im Ruhezustand als auch bei Übertragung verschlüsseln. Entsprechende Data Security-Lösungen ermöglichen die Verschlüsselung von Geräten, E-Mails sowie Daten, und häufig wird die Encryption-Funktion mit Kontroll- und Überwachungsfunktionen verbunden. Data Security-Software versieht proaktiv sensible Informationen in E-Mails sowie Anhänge mit einem Security-Tag, klassifiziert und verschlüsselt sie. Dies bietet eine adäquate Antwort auf die Sicherheitsherausforderungen durch gesetzliche Regelungen, Remote-Arbeitskräfte, BYOD und Projekt-Outsourcing.

3. Überwachung und Kontrolle durch Data Loss Prevention (DLP)
Remote und mobiles Arbeiten hat den traditionellen Netzwerkperimeter nahezu überflüssig gemacht. Unternehmen müssen sich nicht mehr nur auf die Sicherung des Perimeters, sondern auch auf die Sicherung von Daten konzentrieren, unabhängig davon, wo diese sich gerade befinden. Data Loss Prevention (DLP) umfasst eine Reihe von Tools und Prozessen, die sicherstellen, dass sensible Daten nicht verloren gehen, missbraucht oder von unbefugten Benutzern abgerufen werden. DLP-Software klassifiziert vertrauliche und geschäftskritische Daten und identifiziert Verstöße gegen die von Unternehmen definierten Richtlinien oder gesetzlichen Regelungen wie der DSGVO.

Sobald Sicherheitsverstöße identifiziert werden, erzwingen DLP-Tools deren Behebung durch Warnmeldungen, Verschlüsselung und weiteren Schutzmaßnahmen, um zu verhindern, dass Mitarbeiter aus Versehen oder mit böswilliger Absicht sensible Daten weitergeben. DLP überwacht und kontrolliert auch Endpunkt-Aktivitäten, filtert Datenströme in Unternehmensnetzwerken und überwacht Daten in der Cloud, um diese im Ruhezustand sowie bei Übertragung und Gebrauch zu schützen. Dies verschafft Sicherheitsteams einen umfangreichen Einblick, wenn Mitarbeiter versuchen, Daten in einer Weise zu bewegen, die gegen Sicherheits- oder Datenschutzrichtlinien verstößt, und blockiert den Vorgang.

4. Mitarbeiter schulen
Regelmäßige Schulungen können Mitarbeitern helfen, die Risiken und potenziellen Folgen des Verlusts eines mobilen Endgeräts zu verstehen und vorsichtig zu agieren. Im Rahmen dieser Schulungen ist es auch wichtig, die Bedeutung einer rechtzeitigen Meldung von verloren gegangenen oder gestohlenen Geräten hervorzuheben.

Mobiles Arbeiten ist ein wichtiger Bestandteil heutiger Unternehmenskultur. Auch wenn nicht verhindert werden kann, dass Mitarbeiter Geräte verlieren, kann die Wahrscheinlichkeit eines Datenlecks minimiert werden. Durch die oben genannten Best Practices wie Mitarbeiterschulungen, festgelegte Richtlinien und den Fokus auf datenzentrierte Sicherheitstechnologien können Unternehmen das Sicherheitsrisiko durch verlorene und gestohlene Geräte erheblich einschränken.
(Digital Guardian: ra)

eingetragen: 24.02.19
Newsletterlauf: 04.04.19

Digital Guardian: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Ansatz zur Cyberresilienz

    "Ankündigung der Zwangsvollstreckung - Beitragsservice" - diese Betreffzeile findet sich aktuell in vielen E-Mail-Posteingängen. Getarnt als Mahnung und Androhung einer Zwangsvollstreckung machen sich Cyberkriminelle laut Medienberichten die Korrektheit der deutschen Bürger zunutze und versenden Nachrichten mit gefährlichem Anhang. Die sehr realistisch wirkenden Fake-Mails, die im Namen der öffentlich-rechtlichen Rundfunksender verschickt werden, weisen den Empfänger darauf hin, dass er im Zahlungsverzug ist und bei ausbleibender Begleichung des Beitrags eine Zwangsvollstreckung droht. Im Rahmen der E-Mail wird das Opfer darauf hingewiesen, dass im Anhang eine genaue Beschreibung der nächsten Handlungsschritte zu finden ist. Doch dieses unscheinbar wirkende Word-Dokument hat es in sich. Das Öffnen allein ist dabei noch nicht gefährlich. Die Angreifer weisen aber darauf hin, dass für die vollständige Einsicht des Dokuments die Bearbeitung und der Inhalt aktiviert werden müssen - sobald dies geschieht, befindet sich der Trojaner auf dem Computer und kann sich von dort theoretisch im kompletten Netzwerk verbreiten.

  • Verwendung von SDKs & Sicherheitslücken

    Vor kurzem wurde BitSight dank seiner weltweit führenden Sinkhole-Infrastruktur auf eine Domain aufmerksam, die mit dem Android Mobile Advertising Software Development Kit (SDK) Arrkii in Verbindung steht. Bei ihrer Analyse sind die BitSight Experten zu dem Ergebnis gekommen, dass das SDK Arrkii Funktionen und Verhaltensweisen einer potenziell unerwünschten Anwendung (Potentially Unwanted Application, PUA) aufweist. Ein SDK ist generell ein Software-Paket, das Programmcodes, Schnittstellen und häufig auch Anleitungen zur Verfügung stellt. Im speziellen Fall von Mobile Advertising SDKs integrieren App-Entwickler ein solches SDK in ihre App. Damit wird den Nutzern der App Werbung angezeigt und die Entwickler werden an den Werbeeinnahmen beteiligt. Das hilft den Entwicklern, die von ihnen entwickelten Anwendungen zu monetarisieren. Die App-Entwickler nehmen das SDK in ihre Apps auf, und das SDK übernimmt die Arbeit der Verbindung zu Werbeanbietern und der Einblendung von Anzeigen für die Benutzer.

  • Datensicherheit bei der Telefonie

    Snom erläutert, welche Rolle die Datensicherheit bei der Telefonie spielt - und wie Unternehmen teure Schäden durch Cyberangriffe abwehren können. Auch wenn heute die meisten Nutzer von Businesstelefonen wissen, dass ihre Stimme "over IP" transportiert wird, ist wohl den wenigsten klar, was das im Einzelnen heißt - und worauf es dabei ankommt. Während viele Privatnutzer sich noch auf offene Internetplattformen begeben, um für kein oder ein sehr schmales Budget mit Freunden und Verwandten zu telefonieren, ist das im professionellen Bereich zu Recht verpönt. Denn: Hier hat die Datensicherheit oberste Priorität, um Schäden vom Unternehmen wirksam abzuwenden. Anbieter von offenen Internetplattformen übernehmen in der Regel keine Garantie für die Sicherheit der übermittelten Daten - Gespräche und potenziell sensible Daten können so von Dritten abgehört oder abgefischt werden.

  • Unsicherheit unverschlüsselter Webseiten

    In der Schweiz scheint die IT-Sicherheit in kleinen und mittelständischen Unternehmen (KMU) noch ausbaufähig zu sein: Ein Großteil aller KMU verzichtet auf SSL-Verschlüsselung. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf Informationen der Swisscom-Tochter localsearch aufmerksam. Für eine Studie wertete localsearch mehr als 18.000 Schweizer KMU-Websites aus. Dabei zeigte sich: Fast jede zweite (41 Prozent) KMU-Webseite verzichtete auf ein SSL-Zertifikat. "Das hat zur Folge, dass weder die Identität der Webseite authentifiziert wurde, noch dass Daten verschlüsselt an Server übermittelt werden. Daraus ergibt sich wiederum ein Sicherheitsrisiko, das auch vom Suchmaschinenriesen Google als überdurchschnittlich relevant eingestuft wird", erläutert Christian Heutger, CTO der PSW Group, die Konsequenz.

  • Warum sollte man die IT-Security outsourcen?

    Das Garantieren der Sicherheit des Netzwerks ist eine der wichtigsten Aufgaben der Unternehmens-IT. Die ständig steigende Bedrohungslage und die immer komplexeren und gewiefteren Angriffe von Cyberkriminellen machen dies jedoch kontinuierlich schwieriger. Auch weil die überlasteten Sicherheitsexperten damit beschäftigt sind, Sicherheitslücken zu stopfen, und darüber hinaus kaum Zeit haben, neue Lösungen zu implementieren, die ihre Arbeit tatsächlich vereinfachen würden. Derzeit straucheln viele Unternehmen damit, dieses wichtige Problem zu lösen, also Sicherheit im hier und jetzt zu gewährleisten und die IT-Security fit für die Zukunft zu machen. Das größte Hindernis ist der akute Fachkräftemangel in der IT allgemein und im Security-Bereich speziell: Der Markt ist leergefegt. Kleine und mittelständige Unternehmen sind dabei am stärksten von diesem Problem betroffen, da die hoch spezialisierten Experten in diesem Bereich schnell von Großunternehmen angeworben werden, die deutlich höhere Gehälter bezahlen können.