200701f Tumbleweed Schutz geistigen Eigentums

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

»manage it« als

E-Paper  11-12 2011
E-Paper  9-10 2011
E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
E-Paper  9-10 2010
E-Paper  7-8 2010
E-Paper  5-6 2010
 

Sicherheits-Appliances

Schutz geistigen Eigentums liegt in den Händen der IT

Nahezu jedes professionell arbeitende Unternehmen verfügt heutzutage über Schutzmechanismen gegen Viren, Würmer und sonstige Schadprogramme, die im Internet kursieren. Wenn es allerdings darum geht, ausgehende Informationen zu schützen, dann legen viele Firmen nach wie vor eine auffallend große Gelassenheit an den Tag. Der effiziente Schutz vertraulicher Daten oder geistigen Eigentums setzt aber voraus, dass auch hier die letzten Lücken geschlossen werden.

ie »Goldenen Zeiten« für Schadprogramme wie Viren und Würmer gehören – vermutlich - der Vergangenheit an. Spätestens als das Programm »ILOVEYOU« im Jahr 2000 weltweit E-Mail-Systeme zahlreicher Unternehmen und Behörden lahm gelegt und Schäden in geschätzter Milliardenhöhe verursacht hat, wurde vielen die Ernsthaftigkeit der Bedrohung  bewusst. Als weitere Programme wie »SQL Slammer« oder »MyDoom« zu zweifelhaftem Ruhm gelangten, hatten die potenziellen Opfer bereits reagiert und ihre Abwehr in Stellung gebracht. Täglich aktualisierte Filter und Firewalls gehören seither zu den Standardprogrammen der Unternehmens-IT. In den allermeisten Fällen halten die Festungen den Schadprogrammen Stand. Der Anfang des Jahres 2006 identifizierte Wurm »Nyxem.e« beispielsweise konnte nicht viel Schaden anrichten, weil Nutzer die Warnungen sehr ernst genommen hatten und ihre Systeme auf den Angriff vorbereitet hatten.

Von Innen nach Außen

Doch was nützen die höchsten Mauern, wenn der Schatz von den eigenen Leuten durchs Burgtor hinausgetragen wird? Genau das passiert bei vielen Firmen. Denn so gut Unternehmen auch gegen Bedrohungen von Außen gewappnet sind, so gering ist das Bewusstsein für einen weiteren sicherheitsrelevanten Bereich: die ausgehende Korrespondenz. Effiziente Kommunikationsprozesse sind ohne E-Mail-Verkehr aus unternehmerischer Sicht heute so gut wie undenkbar. Konzepte, Verträge und andere vertrauliche Daten verlassen auf diesem Weg tagtäglich die Unternehmensgrenzen. Ob Mitarbeiter die Berechtigung besitzen, bestimmte Dokumente zu verschicken, ob nicht versehentlich der falsche Adressat im E-Mail-Programm gewählt wurde, oder ob sich nicht doch noch Informationen in den Dokumenten oder im E-Mail-Text selbst verstecken, die lieber nicht verschickt werden sollten – all das wird in den wenigsten Fällen kontrolliert.

Zwar wird versucht, Grundsätze und Richtlinien zur Kommunikation schriftlich in Mitarbeiterhandbüchern festzuhalten. Doch garantiert diese Methode nicht, dass sich ein Mitarbeiter stets an jedes Detail der Vorschriften erinnert oder im Zweifelsfall im Handbuch nachschlägt. Der Anteil der Eigenverantwortung ist in Fragen der Sicherheit ausgehender Informationen in den meisten Unternehmen zu hoch. Security Policies müssen technisch implementiert werden, um wirklich effektiv wirken zu können.

Bewusstsein für Sicherheit schaffen

Der erste Schritt auf dem Weg zum Schutz sensibler Daten und geistigen Eigentums besteht darin, die Verantwortlichen in Management und IT-Abteilung überhaupt erst für diese Problematik zu sensibilisieren. Prominente Fälle dürften ihren Teil dazu beitragen: Relativ harmlos waren noch die überall im Internet auftauchenden Gerüchte über einen möglichen neuen Online-Speicherdienst, an dem Google angeblich arbeiten würde – so der öffentliche Rückschluss aus gewissen, nicht für Externe bestimmten Notizen, die Google-Chef Eric Schmidt angeblich in einer Power-Point-Präsentation vergessen hatte. Weitaus kritischer ist hier der Fall des offiziellen Untersuchungsberichts der US-Behörden zur Erschießung des italienischen Geheimdienstagenten Nicola Calipari in diesem Frühjahr in Bagdad. Die für den Bericht verantwortlichen Regierungsstellen hatten nicht zu Veröffentlichung bestimmte Details, wie beispielsweise die Namen und Dienstgrade der beteiligten Soldaten, Informationen zur militärischen Lage sowie zu internen technischen Kommunikationsproblemen, zunächst in einem WORD-Dokument geschwärzt und aus der Datei dann ein PDF erstellt. Ein Content-Überprüfungs-System hätte erkennen können, was die Verfasser nicht ahnten: Werden die geschwärzten Passagen aus dem PDF-Dokument in einen anderen Texteditor kopiert, lässt sich die Formatierung leicht wieder rückgängig machen, der Text wird wieder lesbar*.

Die Fälle ungewollter Datenweitergabe müssen nicht immer so spektakulär sein. Viel simpler und alltäglicher sind vergessene persönliche Informationen in Metadaten von Dokumenten oder die versehentliche Weiterleitung von Informationen an den falschen Adressaten. Die meisten dieser Vorkommnisse bleiben nicht unbemerkt und nur wenige ziehen schmerzhafte Konsequenzen nach sich. Dennoch sollte nicht erst gehandelt werden, wenn das Kind bereits in den Brunnen gefallen ist.

Effiziente und sichere Kommunikationswege müssen nicht nur ein Kostenfaktor sein, der seinen Nutzen erst im Schadensfall entfaltet. Sie können sich auch zum Wettbewerbsvorteil einwickeln, wie folgendes Beispiel der Wirtschaftsprüfung Ernst & Young aus Dänemark zeigt: Zunächst implementierten die Berater eine Verschlüsselungslösung zum sicheren Transport ihrer hochsensiblen Daten von um zu ihren Kunden. Nachdem klar wurde, dass sie ihren Konkurrenten mit diesem Schritt auf Sicherheitsebene plötzlich weit voraus waren, stellten sie diesen Vorteil in Form einer Marketing-Broschüre dar. Diese kann nun von Kunden verwendet werden, um wiederum deren Kunden zu vermitteln, dass ihre Daten in guten Händen sind.

Lösungen implementieren

Technische Lösungen zur Kontrolle ausgehender Korrespondenz sind heute verfügbar und optimieren den Schutz wichtiger Informationen. Die sichere Abwicklung des E-Mail-Verkehrs, des Transports von Dateien über das Internet, aber auch die Absicherung oft vernachlässigter Informationspunkte wie FTP-Server stehen im Fokus marktführender Sicherheitsanbieter wie Tumbleweed.

• E-Mail Security

Hochentwickelte Sicherheits-Appliances sind heute in der Lage, über eine Million eingehende Nachrichten pro Stunde zu verarbeiten und Viren, Würmer, Phishing-Anfragen, Spam und sonstige unerwünschte Nachrichten auszufiltern. Die besten Lösungen versprechen inzwischen eine Beseitigung von 99 Prozent aller unerwünschten E-Mails, mit praktisch keinen sogenannten »False Positives«, also Nachrichten, die berechtigt an einen Empfänger gesendet und trotzdem aussortiert wurden. Tumbleweeds -Mail-Security-Appliance MailGate 6500 beispielsweise erreichte in einem Test des VeriTest Anti-Spam Benchmark Service im Herbst 2005 Null Prozent False Positives.

Appliances überprüfen eingehende und ausgehenden Meldungen außerdem gemäß der Sicherheits-Policies im Unternehmen. So kann festgelegt werden, dass Anhänge beispielsweise nur im PDF-Format das Unternehmen verlassen dürfen oder dass keine E-Mails größer 1MB an bestimmte Zielgruppen geschickt werden dürfen. Auch die verschlüsselte Kommunikation kritischer Informationen mit definierten Kundengruppen ist möglich. Außerdem geben Appliances IT-Managern oder der Unternehmensführung durch einfach zu verwaltende Tracking- und Reporting-Funktionen die Möglichkeit, E-Mail-Bewegungen lückenlos nachzuvollziehen. Dies kann sich bei der Fehlersuche oder bei der Ermittlung der Verantwortlichen für einen Vorfall als großer Vorteil erweisen. In Deutschland müssen solche Tracking-Maßnahmen mit dem Betriebsrat abgestimmt werden.

• File Transfer Security & FTP Security

Neben E-Mail stehen weitere Lösungen zum sicheren Transport kritischer Informationen bereit. Designbüros, Architekten, Konstrukteure aller Art sowie eine Vielzahl von Unternehmen müssen Dateien verschicken und empfangen können, deren Größe weit über die üblichen Kilobyte hinaus geht. Hier steht die Sicherheit, aber auch die Effizient der Übertragungslösungen im Mittelpunkt. Neben Sicherheitsfunktionen wie Verschlüsselung und Signatur-Validierung müssen Lösungen auch zahlreiche Protokolle wie beispielsweise HTTP, FTP, SFTP, SCP oder AS2 unterstützen und Administratoren eine komfortable Verwaltung der Datenübertragung ermöglichen.

Neben dem Versenden großer Dateien ist deren Bereitstellung via File Transfer Protocol (FTP) eine Alternative. Die Absicherung der Datenübertragung durch FTP wird in Unternehmen jedoch häufig übersehen. FTP selbst stellt keine Mechanismen für das Management, die Überwachung, Sicherheit oder Prozesskontrolle bereit. Jedoch sind auch für diesen Bereich Werkzeug vorhanden, die FTP-Nutzung erkennen, überwachen und analysieren können.

Resümee

Informationen bilden als zentrale Ressourcen das Rückrat einer Vielzahl von Unternehmen. Die Unternehmens-IT zu deren Speicherung, Austausch und Bereitstellung stellt analog das Nervensystem dar. Neue rechtliche Regelungen, die Unternehmen zum Schutz ihrer Daten verpflichten, dürfen deshalb nicht die alleinigen Treiber für sicherere IT-Infrastrukturen sein. Vielmehr sollte schon allein die intrinsische Motivation, wertvolle und überlebenswichtige Prozesse zu schützen, ausreichen, um die Installation effizienter Sicherheitsmechanismen voranzutreiben. Um den technischen Aufwand sowie die Verwaltungskosten möglichst gering zu halten, empfehlen sich Lösungen aus einer Hand, die sowohl die eingehenden, als auch die intern ausgetauschten und ausgehenden Daten anhand effektiver Security Policies prüfen. Nur ein umfassendes Konzept, das alle Lücken berücksichtigt, kann ein sicheres Konzept sein.

Soeren Bech

___________________________________________________________

Soeren Bech, Business Director EMEA Tumbleweed Communications Corporation

* http://www.heise.de/newsticker/meldung/59191

Folgen Sie »manage it« auf Google+

Copyright © 2003-2012  ap Verlag GmbH