20100304zza Absolute Software Verschlüsselungslücken

»manage it« als

E-Paper 11-12 2011
E-Paper 9-10 2011
E-Paper 5-6 2011
E-Paper 3-4 2011
E-Paper 1-2 2011
E-Paper 11-12 2010
E-Paper 9-10 2010
E-Paper 7-8 2010
E-Paper 5-6 2010

Für umfassende Sicherheit bei Laptopdiebstahl und Co. reicht Verschlüsselung allein nicht aus

Vorsicht, Verschlüsselungslücken!

Um dem Datendiebstahl von mobilen Geräten einen sicheren Riegel vorzuschieben, sollten Firmen und Organisationen auf eine starke Kombination aus elektronischen Schlössern, traditionellen Desktop- und Gateway-Anti-Virus sowie Anti-Spam-Lösungen nebst weiteren Möglichkeiten wie Anti-Diebstahlsoftware setzen.

ertrauliche Personalakten, geheime Projekte oder brisante Kundeninformationen: Wer Daten wie diese auf seinem Laptop mit auf Geschäftsreise oder gar in den eigenen Familienurlaub nimmt, läuft immer Gefahr, dass sie abhanden kommen. »Was soll schon passieren? Schließlich hat mein Unternehmen eine teure Verschlüsselungslösung im Einsatz«, mag so mancher denken. Zugegeben: Diese Form der Datenabsicherung ist essenzieller Grundpfeiler einer durchdachten Sicherheitsstrategie. Wer sensible Informationen nebst mobilen Geräten jedoch wirklich umfassend und verlässlich schützen will, sollte noch einen Schritt weiter gehen und die Installation einer Anti-Diebstahl- und Wiederbeschaffungslösung in Betracht ziehen. Zumal Verschlüsselung zwar in aller Munde, jedoch noch längst nicht auf allen Rechnern anzufinden ist.

So kommt die aktuelle IDC-Studie »IT-Sicherheit bei mobilen Endgeräten und drahtloser Datenübertragung – Status Quo und Trends in Deutschland 2008/2009« zu dem Ergebnis, dass das Thema mobile Sicherheit mittlerweile zwar in den deutschen Unternehmen angekommen sei, es aber noch viel zu tun gebe. Immerhin haben bereits 44 Prozent der von den IDC-Marktforschern befragten Unternehmen Erfahrungen mit Angriffen auf die Sicherheit ihrer mobilen Endgeräte, und 56 Prozent der Mitarbeiter haben schon einmal ein Endgerät verloren. Um die Daten auf den Devices und während der Datenübertragung zu schützen, nutzen jedoch erst 59 Prozent eine Chiffrierung für Dateien, Festplatten und Speicherkarten; ihre E-Mails verschlüsseln nur 52 Prozent.

Datenverlust ist teuer

Wie teuer eine Datenpanne ein Unternehmen zu stehen kommen kann, hat das Ponemon-Institut in der »Jahresstudie 2008: Kosten von Datenpannen« veröffentlicht. Die Forscher fanden heraus, dass jeder Vorfall durchschnittlich 2,4 Millionen Euro kostet. Jeder einzelne betroffene Datensatz verursacht dabei Aufwendungen in Höhe von 112 Euro. Ein weiteres Ergebnis der Ponemon-Erhebung: Datenpannen bei mobilen Geräten sind kostspieliger als Fälle, in denen stationäre Computer betroffen sind. So handelt es sich bei rund 28 Prozent der erfassten Fälle um verlorene oder gestohlene Laptops. Die Kosten pro betroffenen Datensatz lagen bei durchschnittlich 123,63 Euro gegenüber 106,85 Euro bei den übrigen Datenpannen.

Mit der Zunahme mobilen Arbeitens wächst auch die Zahl verlegter oder gestohlener Geräte stetig. Diebe sind sich zudem zunehmend der Tatsache bewusst, dass nicht der gestohlene Laptop oder das entwendete Smartphone allein ihnen den größten Profit bringt. Die auf dem Gerät gespeicherten Daten sind die wahre Geldquelle. So fand wiederum das Ponemon-Institut in der Studie »The Human Factor in Laptop Encryption« heraus, dass es in 56 Prozent der untersuchten Laptopdiebstähle auch zu Datenmissbrauch gekommen ist. 40 Prozent der befragten Sicherheitsexperten gaben außerdem an, dass sie auf ihren Laptops trotz besseren Wissens keine Verschlüsselungslösungen implementierten. Wenn also selbst Security-Fachleute zwar um die Vorteile der Verschlüsselung wissen, diese aber nicht einsetzen, warum sollte es bei anderen mobilen Mitarbeitern anders aussehen?

Wasserdichter und umfassender Notfallplan

Ein Großteil der gestohlenen Laptops enthält nach wie vor Informationen, die nicht verlässlich geschützt sind und sich problemlos zu Geld machen lassen. Unternehmen und Organisationen sollten daher auf ein Sicherheitsnetz verschiedenster Ansätze und Lösungen setzen, das es ihnen auch erlaubt, Daten per Fernzugriff von einem gestohlenen Gerät zu löschen. Die erwähnten Studien haben gezeigt, dass Unternehmen nicht ewig warten sollten, bis ihre Mitarbeiter auch wirklich alle Sicherheitsmaßnahmen wie beispielsweise Verschlüsselung wahrnehmen, die ihnen theoretisch zur Verfügung stehen. Um dies zu gewährleisten, müssten sich alle Laptop-Nutzer stets und peinlich genau an die Verschlüsselungsrichtlinien ihres Unternehmens halten – eine riesige Verantwortung für die Mitarbeiter. Besser fahren Manager, wenn sie stattdessen einen wasserdichten und umfassenden Notfallplan verfolgen. Sollte dann ein Laptop verschwinden oder gestohlen werden, geht es nicht in erster Linie darum, einen Schuldigen zu finden, sondern aktiv zu werden, und im Idealfall den Computer sogar wieder zu beschaffen. Ist der Diebstahl nämlich von langer Hand geplant, der Dieb ein Experte und die entwendete Information ein Pulverfass, können viele Verschlüsselungsansätze schnell eklatante Lücken aufweisen.

Doch damit nicht genug: Die Analysten von Gartner erklären, dass 70 Prozent aller Datendiebstähle den eigenen Mitarbeitern zuzuschreiben seien. Verschwindet also ein Unternehmensmitglied mit dem Firmenlaptop in der Tasche, helfen auch keine ausgeklügelten Verschlüsselungsansätze. Stattdessen geht es darum, das entwendete Gerät so schnell wie möglich wieder zu finden. In Zeiten von Rezession und Wirtschaftskrise vermuten Experten gar, dass derartige Fälle von Insider-Kriminalität deutlich zunehmen werden. Eine drohende Entlassung, Lohnkürzungen oder Kurzarbeit in Kombination mit den nötigen Passwörtern und Verschlüsselungs-Keys für den Datenzugang, und schon wird ein unehrlicher Mitarbeiter zur Bedrohung fürs Unternehmen.

Daher gilt: Auch wenn regelmäßige Daten-Backups und Verschlüsselung integrale Bestandteile eines jeden Sicherheitskonzepts bleiben, ist es ratsam, die IT-Sicherheit weiter zu stärken. Professionelle Anti-Diebstahlsoftware lokalisiert gestohlene Laptops. Sobald eine Netzwerkverbindung hergestellt wird, sorgt eine solche Lösung außerdem dafür, dass vertrauliche Informationen remote gelöscht werden können. Geht der Dieb dann ins Internet, ortet die Software, wo sich das Gerät befindet. Oftmals hilft der Wiederauffindungsservice dann, das Gerät ans betroffene Unternehmen zurückzugeben. Das Theft-Recovery-Team einer Anti-Diebstahllösung nutzt die Informationen, die ein auf dem entwendeten Gerät installierter Agent an das Überwachungszentrum sendet, um mit kriminaltechnischen Methoden zu ermitteln, wer den Computer in Besitz hat und zu welchen Aktivitäten er genutzt wird. Dabei verwendet das Theft-Recovery-Team unterschiedliche Techniken, einschließlich Aufzeichnung der Tastatureingaben, Registrierungs- und Dateiüberprüfung, Geolocation und weitere Ermittlungstechniken. Sobald der Standort des Computers ermittelt ist, arbeitet das Software-Team mit der entsprechenden örtlichen Polizeibehörde zusammen, um das Gerät wiederzubeschaffen. Der verdeckt in das BIOS des Computers eingebettete Software-Agent übersteht sogar Neuinstallationen des Betriebssystems, Neuformatierung oder Austausch der Festplatte sowie das Aufspielen eines Festplattenabbilds.

Um dem Datendiebstahl von mobilen Geräten endgültig einen Riegel vorzuschieben, sollten Firmen und Organisationen deshalb auf eine starke Kombination aus Schlössern, traditionellen Desktop- und Gateway-Anti-Virus sowie Anti-Spam-Lösungen nebst weiteren Möglichkeiten wie Anti-Diebstahlsoftware setzen. Indem sie sich auf den schlimmsten Fall einstellen, können sie sich umfassend gegen alle Eventualitäten abschirmen.

Bill Pound

____________________________________

Bill Pound, VP Global Corporate Development bei Absolute Software

Folgen Sie »manage it« auf Google+

Copyright © 2003-2012 ap Verlag GmbH