Die mittelständischen Unternehmen in Deutschland investieren einer Studie von Symantec zufolge rund 10.500 Euro in Lösungen, mit denen sich interne Daten schützen, sichern und wiederherstellen lassen. Was bei diesen Investitionen häufig übersehen wird: Firewalls, Intrusion-Protection-Systeme oder das Backup von Daten helfen zwar gegen Angriffe von außen oder gegen technische Defekte, etwa den Crash von Servern und Speichersystemen.

Ebenso wichtig sind jedoch Vorkehrungen, die den Verlust von Daten durch eigene Mitarbeiter oder durch Beschäftigte von Partnerfirmen verhindern (Data Loss Prevention = DLP). Der Erhebung zufolge räumten 63 Prozent der mittelständischen Unternehmen in Deutschland ein, bereits einmal unternehmenskritische Informationen verloren zu haben. In 36 Prozent der Fälle waren es die eigenen Mitarbeiter unternehmenskritische Informationen geklaut haben. 16 Prozent der Ereignisse gehen auf zielgerichtete Aktionen illoyaler Beschäftigte zurück.

So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen.

1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen.

2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen.

3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden.

4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam.

5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen.

6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen.

7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden.

8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor.

9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich.

10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.

Besserung ist nicht in Sicht. Der anhaltende Trend zur Mobilität bietet Mitarbeitern und externen Dienstleistern den Zugriff auf sensible Systeme von fast jedem Ort der Welt aus. "Auch die Tendenz, Services in die Cloud auszulagern und damit interne Abläufe an externe Dienstleister zu übergeben, verstärkt die Gefahr des Datenmissbrauchs", warnt Márton Illés, Product Architect der ungarischen IT-Sicherheitsfirma Balabit.

Wer kontrolliert den Systemverwalter?

Ein Mitarbeiter, der in vielen Fällen schlichtweg übersehen wird, wenn es um Data Loss Prevention geht, ist der Systemadministrator. Das ist verwunderlich, nimmt er doch vor allem in mittelständischen Firmen, die sich keine große IT-Abteilung leisten können, eine Schlüsselposition ein: Er managt die Passwörter, verwaltet Server und Clients, konfiguriert Netzwerkgeräte und ist für die IT-Sicherheit zuständig. Kein Wunder, dass diese Super-User besonders häufig ins Visier von Cyberkriminellen geraten. Sie bestechen und erpressen Systemverwalter, um an Firmendaten zu gelangen.

Eine probates Gegenmittel sind Monitoring-Tools. Bekannte Hersteller sind Balabit, Cyber-Ark, e-DMZ Security und die französische Firma Wallix. Solche Systeme protokollieren, wer wann auf welche IT-Systeme und Datenbestände zugegriffen hat und welche Konfigurationseinstellungen er geändert hat. Zudem archivieren die Lösungen diese Informationen revisionssicher in so genannten Audit Trails.

1. E-Mails lesen
Die liebste Privatbeschäftigung der Deutschen im Büro ist das Lesen von E-Mails. Mal eben die Nachrichten auf dem privaten Konto zu checken oder die privat abonnierten Newsletter zu überfliegen gehört bei 63,8 Prozent der Befragten zum täglichen Arbeitsalltag. (Foto: Fotolia.com/Phototom)

2. Im Internet surfen
58,7 Prozent surfen am Arbeitsplatz zu privaten Zwecken im Internet, um Nachrichten zu lesen, Reiseangebote und Veranstaltungstipps zu recherchieren oder Filmchen auf YouTube zu schauen. (G. Erwood/Fotolia.com)

3. Privatgespräche führen
Das verpatzte Date, das die Kollegin anschaulich schildert, die Party vom Wochenende oder der ausführliche Bericht über den letzten Urlaub im Clubhotel – über die Hälfte der Befragten (51,8 Prozent) plaudern mit Kollegen über Privates während der Arbeitszeit. (Fotolia.com/Yuri Arcurs)

4. Telefonieren
50,3 Prozent der Beschäftigten führen im Büro private Telefongespräche, um Arzt- und Friseurtermine zu vereinbaren oder Verabredungen für den Feierabend zu treffen. (Fotolia.com/Franz Pflügl)

5. E-Mails schreiben
Ihre privaten E-Mails liest die Mehrheit der Beschäftigten im Büro, aber antworten sie auch gleich? Immerhin: Nur 46,9 Prozent der Befragten tauschen mit der oder dem Liebsten E-Mails aus und schreiben Nachrichten an Freunde und Bekannte. (Fotolia.com/Falko Matte)

6. Online shoppen
In letzter Sekunde bei Ebay bieten? Private Geld-Transaktionen wie Online-Shopping, Online-Banking oder Ticketbuchungen erledigen 38,7 Prozent während der Arbeitszeit. (Fotolia, F. Matte)

7. Social Networking und Twitter
Auch das Web 2.0 hat im Büro Einzug gehalten: Jeder Fünfte (20,8 Prozent) schaut während der Arbeitszeit in sozialen Netzwerken wie Facebook oder Xing vorbei und verwaltet dort seine Seiten und Kontakte. Regus wollte es noch genauer wissen und fragte nach der neuesten Erscheinung des Mitmach-Webs, dem Mikro-Kommunikationsdienst Twitter. Hier ist noch Zurückhaltung angesagt: Nur 5,1 Prozent der Befragten nutzen den Kurznachrichtendienst zu privaten Zwecken während der Arbeitszeit.

8. Kopieren
Noch schnell ein paar Belege für die nächste Steuererklärung oder gar Bewerbungsunterlagen kopieren? 14,6 Prozent der deutschen Büroangestellten nutzen den Firmenkopierer für ihre Privatangelegenheiten.

9. Rauchen
Rauchen am Arbeitsplatz ist nicht mehr in. Nur 12,8 Prozent der Befragten gaben an, im Büro zur Zigarette zu greifen. Damit landet das Rauchen während der Arbeitszeit in dieser Rangliste auf dem vorletzten Platz. (Fotolia.com/Stephan Janz.de)

10. Post versenden
Zwar haben E-Mails die herkömmliche Post in vielen Bereichen abgelöst, aber manche offiziellen Dokumente müssen immer noch in Papierform versendet werden. So nutzen 12,1 Prozent der Befragten das Büro als privates Postamt. (Fotolia, Overthehill)

Neben der lückenlosen Aufzeichnung administrativer Zugriffe bieten die Lösungen auch die Option, nur authentifizierten Personen den Zugang zu kritischen IT-Ressourcen einzuräumen. Zudem wird festgelegt, welche Dateien Administratoren zwischen dem Client- und einem Zielsystem übertragen können. Das erschwert den Datendiebstahl.

Tools für Überwachung von Administrator-Aktivitäten

Hersteller	Produkt	Funktionen	Betriebsystem - Plattform
Balabit Budapest (Ungarn)	Balabit Shell Control Box (SBC)	- Lösung für Kontrolle aller Aktivitäten von Systemverwaltern, auch von externen IT-Dienstleistern - Support für Vielzahl von Protokollen, inklusive SSH, inklusive X11-Forwarding, RDP5, RDP6, VNC, Telnet, TN3270 - Unterstützt Vier-Augen-Prinzip - Arbeitet als Hardware-Appliance unabhängig von Servern und Client-Rechnern im Netz Protokollierung ("Mitschneiden") aller Admin-Sessions - Automatisches Backup der erfassten Daten - Aufgezeichnete Sessions werden in Audit-Trails gespeichert, die sich gezielt nach Ereignissen durchsuchen lassen	Hardware-Appliance auf Basis von Sun-Microsystems-Server
Cyber-Ark Newton (USA, Massachusetts)	Privileged Session Manager und Privileged Identity ManagementSuite	- Lösung für Verwalter alter Arten von privilegierten Benutzer-Accounts: Anwendungen, Systemen im Firmennetz - Kontrolle von Super-Usern, etwa Systemverwaltern von Windows- und Linux-Servern und Netzwerkgeräten - Aufzeichnung von Sessions von privilegierten Usern möglich - Ablage von Sitzungsdaten in manipulationssicherem Speicher - SIEM-Integration - Support für Vielzahl von Authentifizierungsverfahren, unter anderem Radius, LDAP, PKI, RSA SecureID	Server: Windows 2003 und 2008 Server
e-DMZ Security Morrisville (USA, North Carolina)	Total Privileged Access Management Suite	- Modulares Paket mit Lösungen für Passwort-, Session- und Command-Management - Für Überwachung der Aktivitäten von internen und externen Administratoren - Aufzeichnung und Archivierung aller Sessions - Proxy-Funktion zur Abschottung von IT-Systemen gegen direkte Zugriffe - Support von SSH, RDP, Web-Anwendungen, Windows, Linux/Unix, AS/400	Hardware-Appliance
Toolbox Solution GmbH Stuttgart (Deutschland)	TBS Backplane Service	- Speziell auf die Überwachung der Aktivitäten von IT-Service- Providern und IT-Service-Personal ausgelegte Software-Lösung - Videoüberwachung möglich - Erstellen und Verwalten von Access Profilen - Ergänzung zu Oracle/Suns "Sun Secure Global Desktop" - Unterstützt Vier-Augen-Prinzip - Reporting für einzelne Sessions und rollenbasiertes Monitoring möglich - Rollenbasiertes Task-Ticket-System mit Zeitbudget	Server: Linux (Red Hat 5, Suse EnterpriseLinux 11, Solaris 10)
Wallix Paris (Frankreich)	Wallix Admin Bastion (WAB)	- Hardware-Appliance speziell für Überwachung von Remote-Management von IT-Systemen - Unterstützte Protokolle: Telnet, RDP, SSH, rlogin, SFTP - Rechte-basierte Zugriffskontrolle - Überwachung und Reporting aller Verbindungen und Sessions - Analyse verdächtiger Shell-Commands - Auswertungen und Statistiken, auch in grafischer Form	Hardware-Appliance

Endpoints und E-Mails absichern

Doch auch dem normalen IT-User im Unternehmen stehen etliche Möglichkeiten offen, um interne Informationen abzuschöpfen. Dazu bedarf es keiner ausgefeilten IT-Kenntnisse. Ein USB-Stick oder eine externe Festplatte genügen. Laut der Studie von Corporate stellen hierzulande fast zwei Drittel der mittelständischen Firmen ihren Mitarbeitern Rechner mit unkontrollierten USB-Ports und DVD-Laufwerken. Auch via Internet und E-Mail können Daten nach außen gelangen. Die Nutzung der Online-Dienste ist nur selten eingeschränkt.

Eine relativ einfache Möglichkeit, um solche Aktionen zu unterbinden, besteht darin, den Zugriff auf Daten einzuschränken: Dem Mitarbeiter werden via System- und Anwendungs-Management nur Rechte an denjenigen Applikationen und Informationsbeständen eingeräumt, die er für seine Tätigkeit benötigt. Ein Vertriebsmitarbeiter etwa braucht keinen Zugang zu den Finanzdaten des Unternehmens. Ergänzend dazu empfiehlt sich der Einsatz von Data-Loss-Prevention-Systemen. Sie kontrollieren bei Bedarf den E-Mail-Text sowie Dateianhänge anhand eines Security-Regelwerks und von Schlüsselbegriffen.

Hilfreich können auch DLP-Lösungen aus Hard- und -Software sein, die Ports von Client-Systemen freischalten und sperren. Ein Beispiel ist das Tool "Device Monitoring" der russischen Firma Infowatch. Sie erfasst, welche Mitarbeiter welche Daten wo speichern: auf einem Stick, einer externen Festplatte oder über ein Wireless LAN auf einem privaten Notebook. Der Systemverwalter kann mit Hilfe von Regeln steuern, welche dieser Aktionen erlaubt und welche untersagt ist.

Loyalität schützt am besten

Ein umfassendes IT-Security-Konzept schützt geschäftskritischen Daten nicht nur vor externen Angriffen, sondern auch vor unerlaubten Zugriff durch eigenen Mitarbeiter, Geschäftspartner und Dienstleister. Data-Loss-Prevention- und Monitoring-Tools sind geeignete technische Hilfsmittel. Noch wichtige ist es jedoch, die Loyalität der Mitarbeiter zu wahren oder zu gewinnen. (jha)

Bernd Reder ist freier IT- und Netzwerkfach-Journalist in München