Unsere Gesellschaft biegt in die Zielgerade des Informationszeitalters ein: Daten, die noch vor wenigen Jahren in Büroschränken untergebracht waren, lassen sich inzwischen problemlos per Notebook, iPad oder Mobiltelefon abrufen, replizieren, verteilen und für private sowie geschäftliche Zwecke verwenden. Datenzugriffe erledigen die Benutzer vom Home Office, Urlaubsstrand oder Flugzeug aus - drahtlos mit UMTS-, WLAN- und bald 4G-Geschwindigkeit.
Boom beim mobilen Datentransfer
Zu den maßgeblichen Treibern dieser Entwicklung gehören die Digital Natives - die Generation der heute 20- bis 25-Jährigen. Für sie ist der Umgang mit Wikipedia, Facebook oder YouTube ebenso selbstverständlich wie die Nutzung mobiler Geräte für den Datentransfer. Aber nicht nur sie lassen das zu übertragende Datenvolumen rapide anschwellen, auch die Unternehmen zeigen wachsendes Interesse an der mobilen Freiheit.
Der Fluch mobiler Kommunikation
Doch der Segen der Unabhängigkeit ist für IT-Verantwortliche zugleich Fluch: Ihre Strategien für Sicherheit und Datenschutz müssen sie mit der mobilen Kommunikation und dem Nutzungsverhalten der modernen Anwender in Einklang bringen. So erwarten Branchenbeobachter, dass durch die flächendeckende Nutzung des mobilen Internets die Risiken für Unternehmen drastisch zunehmen. Wie die wachsende Popularität von Facebook, Twitter und Co. zeigt, ist der typische Digital Native weitaus mitteilsamer als die Generationen vor ihm, was Details zu seiner Person betrifft. Kriminelle können in sozialen Netzen leicht persönliche Informationen stehlen, aus denen sie ausgefeilte Attacken gegen Firmen und ihre Angestellten konstruieren.
Doch Internet-Kriminelle haben es in der Epoche der Information Economy nicht nur auf die IT-Strukturen von Firmen abgesehen. Auch Nutzer der mobilen Kommunikation sind im Visier. Das Konzept der Mobilität bedingt zudem, dass Informationen dynamisch von einem zum anderen System und Gerät wandern. Sie lagern nicht mehr im abschließbaren Aktenschrank oder auf isolierten und leichter zu schützenden Server- und Storage-Systemen. Dadurch verlieren die in der Client-Server-Epoche installierten "Zäune und Riegel" zum Schutz der physischen IT-Umgebungen und der Daten an Wirkung.
Diese Trennung von Speicherort und Information wird durch moderne Cloud- und Virtualisierungsstrategien noch verschärft. Schon heute treiben die unterschiedlichen Facetten des Cloud Computings mit Public Clouds, Private Clouds und hybriden Ansätzen Sicherheitsverantwortlichen Schweißperlen auf die Stirn. Sie fürchten, die Kontrolle über ausgelagerte Daten und Prozesse zu verlieren, und haben Sicherheitsbedenken bei der Datenübertragung. Diese sind nachvollziehbar, geht doch der eindeutige Bezug zwischen Maschine und Datei verloren.
Cloud Computing: Akuter Sicherheitsbedarf
Die enge Verzahnung von Clouds, mobilen Geräten und Social-Media-Aspekten erfordert ein neues Sicherheitskonzept, das über feste Orte, Systeme und deren starre Policies und Abwehrkünste hinausgeht. Sicherheit muss der Information folgen, in ihr angelegt sein. Ein informationszentrisches Sicherheitsmodell ist also notwendig, das direkt mit den Informationen und ihrem "Lebenszyklus" verknüpft ist. Es muss beim Erstellen des Dokuments bereits eingreifen und muss bis hin zum Speichern und Verwalten der Daten reichen. Unternehmen können dank dieses Modells essenzielle Fragen klären und im Sinne der IT-Governance handeln: Wie sicherheitsrelevant sind spezifische Daten, wer hat Zugriff darauf und wo befinden sie sich?
Bei der technischen Umsetzung des Modells können Schutzmechanismen wie Data Loss Prevention (DLP) eine entscheidende Rolle spielen. Sie ermöglichen wichtige Aussagen über Eigentümer und Zugriffshistorie von Daten über Storage-Grenzen hinweg. Diese Technik konzentriert sich auf die Information selbst, das Dokument und seinen Inhalt und wird dem neuen Modell gerecht. Sie kann unterbinden, dass unautorisierte Anwender sensible Dateien per Mail aus der Firma schleusen. Ähnliche Vorkehrungen setzt eine starke DLP-Lösung auch für Webmail, USB-Ports und -Sticks, das Brennen auf CD oder das Ausdrucken durch. Gleiches gilt, wenn Instant-Messaging-Systeme zum Einsatz kommen oder eine Synchronisation mit mobilen Endgeräten wie dem iPhone stattfindet.