Zuerst der Username und das Passwort» lässt eine Petrus-Karikatur den einlasswilligen Engel an der Himmelspforte sagen. Während über Hackerattacken auf transzendente IT-Systeme nichts bekannt ist, ballen sich auf der Erde die Sicherheitsprobleme: Firmeninterner Datendiebstahl muss genauso abgewehrt werden wie die immer komplexeren Attacken krimineller Organisationen oder staatlicher Einrichtungen. Und die Vernetzung von vielen unterschiedlichen Geräten – Stichworte sind Konvergenz, Mobilität und Verschmelzung aller Inhalte über das Internet-Protokoll (IP) – schafft fortwährend neue Probleme.

Zugriff auf Daten kontrollieren

Eine Reihe von Trends sind vorteilhaft für die IT-Sicherheitsanbieter. Die bekannt gewordenen Fälle von Datenverlusten und vermissten Notebooks bringen nicht nur Reputationsprobleme, sie zeigen auch, dass für den vollständigen Schutz der IT das ganze Ökosystem, inklusive Unternehmensberater und Aussendienstmitarbeiter einbezogen werden muss. Daten lagern heute auf unterschiedlichen Ebenen wie den Rechenzentren an den Firmensitzen, den Filialen und Auslandsvertretungen sowie auf unterschiedlichen Systemen (Datenbanken auf Gross-Speichersystemen, mobilen Geräten, Applikationen usw.). Das US-Ponemon Institute veröffentlichte kürzlich eine Studie, wo und wie Daten verloren gingen: Ein verlorener Laptop war bei 35% aller Datenverluste im Spiel. Beim Outsourcer kamen in 21% der Fälle Daten weg und bei Backups, eigentlich gedacht, um Datenkopien für Sicherheitszwecke zu erstellen, 19%.
Anwender sind zunehmend besorgt über unspezifische Gefahren, die aus dem Internet kommen, den «Web Threats». Diese sind gekennzeichnet durch die Kombination verschiedener Angriffstechniken, die explosionsartige Verbreitung von Varianten sowie zielgerichtete und regional begrenzte Angriffe. «Das Schadenspotenzial von Web Threats ist immens und reicht von Identitätsdiebstahl und dem Verlust vertraulicher Unternehmensdaten über beschädigte Markenreputation bis zum schrumpfenden Vertrauen der Endanwender», sagt Raimund Genes, CTO Anti-Malware bei Trend Micro.
Der umfassende Schutz von Daten vor unerwünschtem Zugriff und Diebstahl wird von Industrieanalysten als «Information Leak Prevention» (ILP) bezeichnet. Hier bestehen drei Schwerpunkte: Erstens die «ruhenden» Daten, die auf bestimmten Systemen fest gespeichert sind. Das sind Datenbanken auf Speichersystemen, Desktop-PCs, Netzwerken oder Archivsystemen. Zweitens werden Daten oft verschoben, sie sind dann « motion» bzw. «on the fly». E-Mail und Instant Messaging sind vertraute Formen, aber auch FTP- oder Peer-to-Peer-Kommunikation zählen zu diesem Bereich. Sehr gefährdet sind Daten auf dem dritten potenziellen Problembereich, den Endpunkten wie Notebooks, USB-Speichern, CDs
oder offenen Netzwerken, Faxgeräten oder Online-Übersetzungsdiensten, auf die sensible Textpassagen für eine Übersetzung kopiert werden.
Die konventionelle und weit verbreitete Form des Schutzes konzentriert sich auf die Kontrolle der Zugriffspunkte und nicht auf Daten, die unterwegs oder fest, beispielsweise auf Wechsel-Festplatten oder Datenbändern, gespeichert sind. Hilfsmittel für eine ILP-Strategie sind die Kontrolle des Datenverkehrs, der Schutz vertraulicher Daten, die Entdeckung von Verletzungen von Firmen-Sicherheitsrichtlinien sowie die organisationelle Durchsetzung dieser Sicherheitsrichtlinien. So lassen sich beispielsweise E-Mails blockieren, die Kontonummern enthalten, an Konkurrenten gerichtet sind oder die bestimmte Nachrichten enthalten. Auch Datenvorgänge wie das Kopieren, Modifizieren, Verschlüsseln oder das Komprimieren können kontrolliert werden.
Auch wenn die bekannten Namen im IT-Geschäft inklusive Microsoft, Cisco oder IBM hier aktiv sind, beherrschen kleinere Anbieter wie Vontu, Vericept, Fidelis Security Systems, Proofpoint oder Safend das Feld. Nachteile vieler kommerzieller ILP-Produkte sind die Verlangsamung des Netzverkehrs sowie die fehlende sichere Erkennung von falsch-positiven Fällen. Wenn solche Fälle nicht erkannt werden, schaffen es auch Kandidaten, die sonst keinen Zugang hätten, an Petrus vorbei in den Himmel.

------

Datenschutz

Kosten und Nutzen

Datendiebstahl:
Die Kosten sind hier beträchtlich: Marktforscher von Gartner haben Beträge von 50 bis 1000 Dollar pro Kunden-Datensatz ermittelt, inklusive Reputationsschäden, des Verlusts von Kunden und der Zusatzkosten für die Akquisition neuer Kunden. Nicht einkalkuliert sind die Kosten für Anwälte, Justiz und allfällige Strafzahlungen an regulatorische Aufsichtsbehörden, die bis zu 11000 Dollar pro geknackten Datensatz betragen können.

Anzeige

Datenschutz:
Im Vergleich zum Datendiebstahl sind die Kosten für den Schutz günstig. Laut Marktforschern sind für die Verschlüsselung von Daten rund 6 Dollar pro Kunde und Jahr zu veranschlagen. Für 16 Dollar lassen sich auch ein Schutz vor unerwünschtem Zugang und die erforderlichen organisatorischen Vorkehrungen einkaufen. Diese durchschnittlichen Auslagen liegen so viel tiefer als die potenziellen Kosten eines Datenverlustes, dass die Marktforscher und die Justiz bei Vorfällen das Kostenargument als Entschuldigung nach einem Vorfall nicht (mehr) gelten lassen.

Wo informieren:
Spezialisierte Firmen wie Symantec, Trend Micro, McAfee oder Kaspersky sowie Marktforscher wie Gartner oder IDC publizieren regelmässig Berichte mit Trends zu Bedrohungen und Abwehrmöglichkeiten.