20070910q Sonicwall Compliance E-Mail
|
|
|
»manage
it«
als
|
Warum Unternehmen Compliance-Vorgaben unbedingt einhalten müssen Die Macht der Mail Ihr bahnbrechender Erfolg hat die Anforderungen an das Handling von E-Mail radikal verändert: Mussten Behörden wie Unternehmen bis vor fünf Jahren meist nur eingehende Malware abwehren, sind sie heute verpflichtet, dafür zu sorgen, dass auch die ausgehende Post keinen Schadcode enthält und keine sensiblen Geschäfts- oder Personalinformationen preisgibt. Zudem schreiben Gesetze und Branchenstandards bestimmte Aufbewahrungsfristen vor. Um diesen Ansprüchen gerecht zu werden, müssen Anwender eine stringente E-Mail-Policy einführen, ihre Einhaltung überwachen und Verstöße dagegen aufdecken und ahnden. Erst wenn dies erfüllt ist, besteht ein gesetzeskonformes E-Mail-System.
Das klingt schwieriger, als es ist: Im Kern stützt sich der Aufbau eines solchen Systems auf eine Reihe von Grundregeln, die der US-Rechtsexperte Daniel J. Langin in einem Whitepaper niedergelegt hat. »Diese sogenannten ‚vier Säulen der Compliance’ haben den Vorteil, dass sie weltweit und nahezu identisch über alle Branchen hinweg gelten«, beschreibt Joe Levy, CTO von SonicWALL, den Nutzen des Systems. Überdies sei jede von ihnen für sich genommen einfach zu errichten. Langin zufolge sind die folgenden Kernbereiche abzudecken: § Abwehr eingehender Bedrohungen; § Kontrolle ausgehender Mails auf vertrauliche Informationen; § fristgemäße Aufbewahrung und Sicherstellung der Überprüfbarkeit; § Einführung und Umsetzung eines entsprechenden Regelwerks. Rechtliche und technische Vorgaben Vor allem in Europa und den USA existieren zahlreiche Gesetze, Regeln und Standards, an denen sich Mailsysteme orientieren müssen. Zu den ältesten unter ihnen gehören in Deutschland das Bundesdatenschutzgesetz (BDSG) sowie das seit 1998 geltende Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Auf europäischer Ebene sind die EU-Richtlinien über persönliche Daten und Freizügigkeit (95/46/EG), zum Datenschutz in der elektronischen Kommunikation (2002/58/EG) und zur Vorratsdatenspeicherung (2006/24/EG) sowie deren jeweilige nationale Umsetzungen zu beachten. In den USA zählen dazu der Health Insurance Portability and Accountability Act (HIPAA), der Gramm-Leach-Bliley Act (GLBA) und der Sarbanes-Oxley Act (SOX). Branchenregelungen mit Quasi-Gesetzeskraft sind etwa das Bankenabkommen Basel II und der Security Standard der Payment Card Industry (PCI), also die Regeln der Kreditkartenanbieter. Schutz gegen ein- und ausgehende Bedrohungen Praktisch alle diese Gesetze und Standards schreiben vor, dass Anwender ihre eingehende elektronische Post auf Malware, Phishing-Attacken und Spam kontrollieren und Vorkehrungen treffen, um sich gegen den Verlust oder die Manipulation der betroffenen sensiblen Daten zu schützen. Die EU-Datenschutzrichtlinie etwa verlangt, dass Unternehmen, die persönliche Daten von EU-Bürgern erhalten und verarbeiten, technische und organisatorische Vorkehrungen treffen, um deren zufällige oder widerrechtliche Zerstörung sowie unabsichtliche Verluste, Veränderungen, Veröffentlichungen und andere unautorisierte Zugriffe zu vermeiden. Ganz ähnlich der SOX, dessen Hauptziel indes darin besteht, eine korrekte Finanzberichterstattung sicherzustellen und die illegale Aneignung, Nutzung und Veräußerung von Vermögenswerten zu unterbinden. Das ist in der Praxis oft schwierig umzusetzen: Wohl wehren die meisten Virenscanner bösartige Software zuverlässig ab; meist aber schützen sie nur ungenügend gegen Spam und Phishing-Mails, die ebenfalls häufig Schadroutinen enthalten. Diese setzen in der Regel auf die Gutgläubigkeit der Mitarbeiter beim Öffnen von Attachments. Damit auch dieses Einfallstor geschlossen wird, müssen Anwender ihr Personal informieren und schulen. Zudem sind bestimmte technische Schutzmaßnahmen einzuführen wie: § Prüfung ein- und ausgehender Mails auf Schlüsselwörter und -begriffe, die nahelegen, dass ein Mitarbeiter »abgeschöpft« wird; § Kontrolle der Einhaltung der E-Mail-Regeln durch das Personal; § Information der Administratoren über Regelverstöße. Vorsorge gegen Informationsverlust durch ausgehende Mails Darüber hinaus regulieren viele Standards den Austausch sensibler Informationen und Daten mit Dritten, mit anderen Unternehmen sowie mit Behörden. Anwender müssen daher auch kontrollieren, ob Mitarbeiter unerlaubterweise vertrauliches Material verschicken. Da der betroffene Personenkreis über gültige Mail-Accounts verfügt und legitim auf alle Informationssysteme zugreift, ist Compliance in diesem Bereich deutlich schwieriger herzustellen. Die bestehenden Regelwerke geben dafür vier Arten von Maßnahmen vor: Unternehmen müssen § verhindern, dass vertrauliche Daten zufällig oder absichtlich an Dritte übermittelt werden; § sicherstellen, dass nur autorisierte Mitarbeiter auf derartige Informationen zugreifen und sie versenden können; § gewährleisten, dass die Adressaten ihrerseits empfangsberechtigt sind; § sicherstellen, dass alle vertraulichen Informationen verschlüsselt bzw. anderweitig geschützt übertragen werden. Fehlen die entsprechenden Regularien, drohen oft drastische Konsequenzen wie im Fall des US-Dienstleisters ChoicePoint, der mit Verbraucherdaten handelt: Dessen Angestellte gaben Informationen über 160.000 Konsumenten an betrügerische »Abonnenten« weiter, wofür die Firma 2006 zu einer Zivilstrafe von zehn Millionen Dollar verurteilt wurde und außerdem bisher fünf Millionen Dollar Entschädigung zahlte. Verstöße gegen die einschlägigen Vorgaben aus Basel II wiederum beeinträchtigen die Kreditwürdigkeit eines Unternehmens bis zu deren vollständigem Verlust. Und wer die in Abschnitt 302 des SOX niedergelegten Anforderungen missachtet, riskiert das Vertrauen der Anleger: Sie verlangen, alle ausgehenden Mails auf Schlüsselbegriffe zu untersuchen, die nahelegen, dass diese die Finanzberichterstattung eines Unternehmens zum Thema haben, oder einen Missbrauch von Vermögenswerten beziehungsweise die illegale Verfügung darüber vermuten lassen. Schutz bieten Antiviren-Programme und E-Mail-Filter, die einschlägige »keywords« und/oder Attachments erkennen und einen Versand zuverlässig unterbinden. Archivierung und Überprüfbarkeit Mit dem Schutz vor Schädlingen und Datenverlusten ist es indes nicht getan: Die meisten genannten Regelwerke enthalten außerdem Vorgaben zur Aufbewahrung und Archivierung vertraulicher Informationen sowie zu deren Überprüfbarkeit durch Aufsichtsbehörden oder Verbraucher. Diese Vorgaben gelten natürlich auch für E-Mails. Speziell in Deutschland greifen hier die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) des Bundesfinanzministeriums, welche die Archivierung steuerlich relevanter elektronischer Dokumente regeln und Aufbewahrungsfristen von sechs bis zehn Jahren vorschreiben. In eine ähnliche Richtung zielt die Europäische Union mit ihrer Richtlinie 2006/24/EG zur Vorratsdatenspeicherung, der zufolge Telekommunikationsunternehmen und Internet-Provider die Verbindungs- und Standortdaten ihrer Kunden für mindestens sechs Monate aufbewahren und im Verdachtsfall gegenüber den Ermittlungs- und Strafverfolgungsbehörden offenlegen müssen. SOX, PCI und Basel II enthalten kongeniale Regelungen. Einführung und Durchsetzung interner Regeln Zusätzlich fordern nahezu alle Regelwerke eine Reihe organisatorischer Maßnahmen zur Herstellung von Compliance, konkret: die Einführung und Durchsetzung interner Sicherheitsregeln für den Umgang mit E-Mail sowie Sanktionen gegen Beschäftigte, die gegen diese verstoßen. So legt § 819 von Basel II fest, dass Banken eine offizielle Richtlinie für die Offenlegung geschützter und vertraulicher Informationen (sowohl über ihre Produkte und IT-Systeme als auch über ihre Kunden) einführen, die vom Vorstand zu verabschieden ist und bestimmt, unter welchen Voraussetzungen eine Offenlegung als angemessen gilt, welche Daten die Bank herausgibt und wer den Vorgang kontrolliert. Technische Unterstützung Alle Regularien sind jedoch nutzlos, wenn der Anwender sie nicht konsequent um- und durchsetzt. Dafür benötigt er allerdings technische Hilfsmittel, die eine Kontrolle des Mitarbeiterverhaltens ermöglichen, sprich: Mail-Filter und Firewalls, die vertrauliche Informationen in ausgehenden E-Mails erkennen und bei potenziellen Regelverstößen einen Sicherheitsverantwortlichen alarmieren, damit dieser die illegale Übermittlung unterbindet. Außerdem sollten sie dabei helfen, Zuwiderhandlungen bis zum verantwortlichen Angestellten zurückzuverfolgen, damit dieser gegebenenfalls abgemahnt werden kann. Moderne Mail-Filter und Firewalls kommen mit diesen Anforderungen zwar normalerweise problemlos zurecht. »Allerdings haben etliche Lösungen den Nachteil, dass sie einen hohen Konfigurations- und Wartungsaufwand erfordern, mit dem insbesondere kleine und mittlere Unternehmen vielfach überfordert sind«, analysiert SonicWALL-CTO Levy. Deswegen bringen immer mehr Anbieter Lösungen auf den Markt, deren einziger Zweck in der Kontrolle des Mail-Verkehrs besteht und deren Hard- und Software-Ausstattung ein schnelles »Abarbeiten« der einzelnen Sendungen gewährleistet. Thomas Jungbluth _____________________________________________________________________
|
