Datenlecks und der „menschliche Makel“

Intralinks-Richard-Anstey

Richard Anstey, Chief Technology Officer EMEA bei Intralinks

Unternehmen und Behörden erhalten täglich Unmengen an personenbezogenen Informationen. Die Menschen, die diese Daten herausgeben, erwarten als Gegenleistung zumeist effizientere und maßgeschneiderte Dienstleistungen. Gleichzeitig vertrauen sie auch darauf, dass die Organisationen ihre Daten sicher ablegen und nur für den beabsichtigten Zweck nutzen. Sicherheitstechnologien zum Schutz vor äußeren Angriffen sind hierfür eine naheliegende Lösung. Denn oft sind es große Hackerattacken, die Schlagzeilen in den Medien machen. Unternehmen und Behörden verwenden daher einen Großteil ihres Budgets, um sich vor solchen Angriffen zu schützen.

Allerdings stehen hinter den meisten Vorfällen, in denen Daten verloren gehen oder zweckentfremdet werden, die eigenen Mitarbeiter – auch wenn die auf diese Weise entstandenen Datenlecks selten an die Öffentlichkeit gelangen. Unternehmen und Behörden verschließen zumeist die Augen vor diesem Problem und vernachlässigen beim Datenschutz oft den überaus wichtigen Faktor Mensch. Sie erkennen nicht, dass Mitarbeiter für die Sicherheit der Daten die gleiche Bedrohung darstellen wie professionelle Hacker.

Datenschutzverletzungen an der Tagesordnung

Einem Report der Interessensgruppe Big Brother Watch zufolge haben britische Gemeinden zwischen April 2011 und April 2014 durchschnittlich vier Mal täglich den Datenschutz verletzt [1]. Die Ursache war in den meisten Fällen menschliches Versagen. Die Mitarbeiter der untersuchten Gemeinden waren sich ihrer Verantwortung oft nicht bewusst und ungenügend geschult im sorgfältigen Umgang mit Daten. Sie schickten Briefe und E-Mails an die falschen Empfänger oder verloren Datenträger wie Smartphones, Tablets oder USB-Sticks mit vertraulichen Informationen.

Allgemein geht aus dem Bericht hervor, dass viele Mitarbeiter beim Teilen von Daten IT-Richtlinien missachten und wichtige Dokumente gefährden. Sensible personenbezogene Informationen sind dadurch plötzlich öffentlich zugänglich und die Bürger der Gemeinden werden zu einem leichten Ziel für Datendiebe.

Studie dokumentiert gefährliche Datenlecks

File Sharing und Datenschutz sind auch die Themen einer Studie des amerikanischen Forschungsinstituts Ponemon, das im Auftrag des Technologie-Anbieters Intralinks mehr als 1.000 IT-Experten in den USA, Großbritannien und Deutschland befragt hat [2]. Mehr als die Hälfte der Befragten findet, dass ihre Organisation nicht imstande ist, zu kontrollieren, wie sensible Daten verbreitet werden und wer auf sie zugreifen darf. In der Studie wird auch das Ausmaß menschlicher Fehler deutlich. Denn 61 Prozent der Befragten gaben an, sich nicht an die vorgegebene Vorgehensweise zur Löschung vertraulicher Dokumente zu halten. Darüber hinaus nutzen sie im Rahmen ihrer Arbeit private Datenträger und herkömmliche File Sharing-Anwendungen. Außerdem gaben sie zu, dass sie schon einmal unverschlüsselte E-Mails versendet oder Dateien und Dokumente versehentlich an nicht autorisierte Empfänger weitergeleitet haben.

Schulung der Mitarbeiter vermindert das Risiko

Der erste Schritt, um das Problem menschlichen Versagens anzugehen, sind nutzerorientierte Strategien. Unternehmen und Behörden sollten demnach ihre Mitarbeiter darin ausbilden, sicher und verantwortungsvoll mit Daten umzugehen. Auch wenn sich durch solche Seminare für das Personal nicht alle unbeabsichtigten Fehler der Mitarbeiter verhindern lassen, so stellen sie doch eine wichtige Voraussetzung für einen hohen Datenschutz dar. In Verbindung mit technologischen Lösungen können Organisationen durch Schulung ihrer Mitarbeiter zumindest versehentliche Datenlecks effektiv reduzieren und dem Risiko menschlichen Versagens erfolgreich gegensteuern.

In einem zweiten Schritt bieten technische Lösungen zum Datenschutz vor allem sichere Funktionen zum File Sharing und zur Kollaboration mit Kollegen sowie zusätzliche Backup-Möglichkeiten von Dateien. Der gesamte Lebenszyklus eines Dokuments sollte mittels dieser Datenschutztechnologien kontrollierbar sein.

Information Rights Management als technische Lösung

Mit der Technologie des Information Rights Management (IRM) lässt sich der Schutz und die Kontrolle sensitiver Daten zuverlässig durchführen. Ein Dokument wird dabei direkt mit den Rechten versehen, über die sein Nutzer verfügt. Projektleiter können somit auf den Tag genau festlegen, wie lange andere Mitarbeiter Zugriff auf das betreffende Dokument haben und welche Aktionen sie in diesem Zeitraum ausführen dürfen. Auf diese Weise behält der Eigentümer der Daten die Kontrolle und kann den Zugriff jederzeit einschränken oder verhindern.Indem Unternehmen und Behörden ihren Dateien ein Verfallsdatum geben, können sie zudem sicherstellen, dass andere eine Datei nach beispielsweise einer Woche nicht mehr lesen können – unabhängig davon, an welchem Ort sie sich befindet. Die Vergabe eines Verfallsdatums ist auch noch im Nachhinein möglich, nachdem andere die Daten kopiert, weitergeleitet oder an einen anderen Ort abgespeichert haben. Für den Fall, dass eine Datei zurückgezogen werden soll, kann der Eigentümer ferngesteuert per Klick veranlassen, sie rückstandslos zu zerstören. Solche Funktionen bieten ihren Nutzern auch bei externer Herausgabe die vollständige Kontrolle und Steuerung über sensible Daten.

Fazit

Die aktuellen Studienergebnisse verdeutlichen die datenschutzbezogenen Herausforderungen von Unternehmen und Behörden – insbesondere was den Faktor Mensch betrifft. Denn nach wie vor speichern, verarbeiten und verschicken viele Mitarbeiter von Organisationen Dateien mit sensiblen Informationen ohne sicherheitstechnische Vorkehrungen. Fehler, die bei der Aufbewahrung oder der Übertragung von Daten auftreten, sind dabei keine Seltenheit. Die richtigen Maßnahmen wie Datenschutzschulungen und IRM-Lösungen können allerdings dazu beitragen, das Risiko menschlicher Fehler zu minimieren.

Quellen

[1] Big Brother Watch, Report “A Breach of Trust”: https://www.bigbrotherwatch.org.uk/wp-content/uploads/2015/08/A-Breach-of-Trust.pdf

[2] Intralinks und Ponemon, Report “Breaking Bad: Risiken des unsicheren Filesharings”: https://www.intralinks.com/de/platform-solutions/solutions/via/breaking-bad-risiken-des-unsicheren-file-sharing

 

www.intralinks.com

Richard Anstey, Chief Technology Officer EMEA bei Intralinks. Intralinks Holding, Inc. ist weltweit führender Anbieter für unternehmens-übergreifende Content-Management- und Collaboration-Lösungen. Auf Basis innovativer Saas-Dienste wurden Lösungen entwickelt, um Informationen auch jenseits unternehmenseigener Firewalls auf sichere und Compliance-gerechte Weise auszutauschen und zu verwalten.