Filtern
Objektbezogen nach Kategorien:
Nach Themen / Centern:
Nach Branchen:
Nach Regionen:
Nach Kategorien:
Weiterleiten
Anzeige
Data Loss Prevention - Wie lässt sich Datenschutz im Unternehmen sicherstellen?
Datenschutz und Datensicherheit hatten selten mehr Brisanz als heute.
Als eigenen Kontakt hinzufügen
Zu Interessen/Lesezeichen hinzufügen
Empfänger kann keine Nachrichten empfangen
Empfehlung versenden
Positiv bewerten
Eigentumsrechte für Bearbeitung beantragen
[#hidden_actions_html#]
Ansprechpartner
Herbert Blaauw
Herausgebende Organisation
Atos Origin
Beschreibung
In Zeiten, in denen Informationen zum wichtigsten Kapital eines Unternehmens gehören, beschäftigt ein zentrales Thema die Sicherheits- und IT-Verantwortlichen in Unternehmen und Behörden: Datenschutz und Datensicherheit hatten selten mehr Brisanz als heute. Schon aufgrund der schwerwiegenden Folgen, die ein Informationsabfluss in punkto Geschäftserfolg und Kundenvertrauen haben kann, sollten sich Unternehmen intensiv mit dem Thema Risiko-Management beschäftigen und geeignete Maßnahmen zur Datensicherheit einleiten.
Seit Januar 2005 waren mehr als 250 Millionen Datensätze, die vertrauliche, personenbezogene Informationen enthielten, von Datenschutzverletzungen betroffen. Die finanziellen Konsequenzen solcher Vorfälle für eine Organisation sind sehr hoch. Das Ponemon Institut beziffert, dass die durchschnittlichen Kosten bei Datenschutzverletzungen von 143 Euro pro Datensatz im Jahr 2008 auf 146 Euro pro Datensatz in 2009 gestiegen sind.
Eine kurze Chronik der Datenskandale der Vergangenheit zeigt, dass auch namhafte Unternehmen davon nicht verschont bleiben:
05. Februar 2010
Ein Informant hat der deutschen Finanzverwaltung eine CD mit Daten von 1.500 Steuerhinterziehern angeboten, die ein Konto in der Schweiz haben. Dafür wurden 2,5 Millionen Euro verlangt. Das betroffene Kreditinstitut hatte bereits erklärt, keine Hinweise auf einen Datendiebstahl zu haben.
02. Februar 2010
Cyber-Angriff auf ein börsennotiertes Handelssystem - Hacker stehlen 250.000 Zertifikate. Kurzzeitig war der Börsenhandel ausgesetzt worden.
16. Oktober 2009
Einem namhaften Finanzdienstleister in Deutschland wurden in großem Umfang Kundeninformationen entwendet - mehrere Tausend Datensätze mit vertraulichen Kundendaten sind betroffen.
27. Januar 2009
Datenpanne bei einem Telekommunikationsunternehmen: Mehrere hundert Datensätze von Neukunden waren über einen einfachen Internet-Link tagelang für jedermann abrufbar. Ein Unternehmenssprecher spricht von einem „höchst ärgerlichen Betriebsfehler“. Zudem haben Umfragen zufolge Fahrgäste in nur einem halben Jahr sage und schreibe 55.000 Mobiltelefone, 5.000 Handhelds, 3.000 Notebooks und 900 USB-Sticks in Londoner Taxis liegen lassen. Auf einer Vielzahl dieser Geräte befanden sich vertrauliche, unternehmenskritische und interne Informationen.
Wie diese Beispiele zeigen, kann der Verlust vertraulicher oder Regularien unterworfener Daten, die oft im gesamten Unternehmen verteilt sind, sehr negative Folgen für das Unternehmen haben: das Vertrauen der Kunden wird beeinträchtigt, der Ruf des Unternehmens leidet und dies wirkt sich nicht zuletzt auch auf den Umsatz und Gewinn aus. Daher müssen Datenverluste nicht nur aus gesetzlichen, sondern auch aus unternehmerischen Gründen unbedingt vermieden werden. Geschäftskritische Daten sollten daher so vorgehalten werden, dass sie gegen gewollten oder ungewollten Missbrauch, Verlust oder Beschädigung geschützt sind.
In den vergangenen Jahren haben sich Aufmerksamkeit und Investitionen im Bereich Datensicherheit jedoch verlagert: Stand früher noch der Schutz des Netzwerks gegen Angriffe von außen im Vordergrund, so ist es heute der Schutz der Systeme innerhalb des Netzwerks und der Schutz der Daten selbst, den IT-Verantwortliche sicherstellen müssen.
Die Menge der digitalen Daten nimmt stetig zu, und in einer modernen Arbeitswelt verlassen diese Daten über Laptops, USB-Sticks, PDAs oder per E-Mail immer häufiger den Bereich der gesicherten Informationsinfrastruktur und werden von verschiedenen internen und externen Nutzern verarbeitet. Dieser Paradigmenwechsel beim Schutz sensibler Daten und der Risikominderung in Unternehmen ist zudem auch durch diese Faktoren bedingt:
Die Novellierung des Bundesdatenschutzgesetzes (BDSG) in 2009 hat ebenfalls dazu beigetragen, dass Unternehmen das Thema Datensicherheit stärker beachten müssen. Das BDSG schreibt unter anderem härtere Konsequenzen für Unternehmen beim fahrlässigen Umgang mit personenbezogenen Daten vor. Der neue § 42a des BDSG sieht beispielsweise beim Verlust sensibler Daten eine Informationspflicht gegenüber den Aufsichtsbehörden und den Betroffenen vor. Dies beinhaltet, dass Letztere beispielsweise in einer bundesweit erscheinenden Tageszeitung zu informieren sind. Darüber hinaus wurden die Bußgeldstrafen deutlich erhöht.
Der Paradigmenwechsel wird dadurch verstärkt, dass herkömmliche Sicherheitstechnologien, die sich auf Hacker und den Peripherieschutz konzentrierten, zur strategischen Sicherung der Unternehmensdaten längst nicht mehr ausreichen. Ein Umdenken ist erforderlich, um vor allem Bedrohungen von innen zu begegnen, die durch kriminelle Absicht oder unwissentlich durch fehlerhafte Unternehmens- und Sicherheitsprozesse entstehen können - wie auch der Lagebericht zur Informationssicherheit (KES, Nr. 4, 2008) belegt. Hier ist erkennbar, dass die größten Schäden durch Irrtum und Nachlässigkeit eigener Mitarbeiter verursacht werden. Eine im Auftrag von RSA, The Security Division of EMC, erstellte IDCStudie zeigt zudem, dass versehentliche Verstöße eigener Mitarbeiter gegen geltende Sicherheits- Richtlinien häufiger vorkommen und größere Schäden verursachen als vorsätzliches missbräuchliches Handeln. Klar sein dürfte, dass im Laufe der Zeit die Risiken des Verlustes sensibler Daten immer höhere Kosten für das Unternehmen mit sich bringen, zum Beispiel durch Fehlerkorrektur, Compliance-Aufwendungen, unzufriedene Kunden und Imageverluste.
Angesichts dieser Sicherheitslage ist ein umfassendes Risiko-Management von zentraler Bedeutung. Dazu gehört zum einen die Schulung und Sensibilisierung der Mitarbeiter für den richtigen Umgang mit vertraulichen Informationen. Zum anderen ist eine informationszentrierte Strategie notwendig, die effektive Mittel zur Erkennung, Bewertung und Minderung der Risiken bereitstellt, denen Informationen über ihren gesamten Lebenszyklus hinweg ausgesetzt sind. Damit können Unternehmen ihre Ressourcen und Geschäftsprozesse schützen und dafür sorgen, dass gesetzliche, behördliche und sonstige Sicherheitsanforderungen eingehalten werden. RSA bietet Unternehmen mit der RSA DLP Suite einen Ansatz, um Geschäftsrisiken durch Datenverlust zu minimieren.
Inhalt
Seit Januar 2005 waren mehr als 250 Millionen Datensätze, die vertrauliche, personenbezogene Informationen enthielten, von Datenschutzverletzungen betroffen. Die finanziellen Konsequenzen solcher Vorfälle für eine Organisation sind sehr hoch. Das Ponemon Institut beziffert, dass die durchschnittlichen Kosten bei Datenschutzverletzungen von 143 Euro pro Datensatz im Jahr 2008 auf 146 Euro pro Datensatz in 2009 gestiegen sind.
Eine kurze Chronik der Datenskandale der Vergangenheit zeigt, dass auch namhafte Unternehmen davon nicht verschont bleiben:
05. Februar 2010
Ein Informant hat der deutschen Finanzverwaltung eine CD mit Daten von 1.500 Steuerhinterziehern angeboten, die ein Konto in der Schweiz haben. Dafür wurden 2,5 Millionen Euro verlangt. Das betroffene Kreditinstitut hatte bereits erklärt, keine Hinweise auf einen Datendiebstahl zu haben.
02. Februar 2010
Cyber-Angriff auf ein börsennotiertes Handelssystem - Hacker stehlen 250.000 Zertifikate. Kurzzeitig war der Börsenhandel ausgesetzt worden.
16. Oktober 2009
Einem namhaften Finanzdienstleister in Deutschland wurden in großem Umfang Kundeninformationen entwendet - mehrere Tausend Datensätze mit vertraulichen Kundendaten sind betroffen.
27. Januar 2009
Datenpanne bei einem Telekommunikationsunternehmen: Mehrere hundert Datensätze von Neukunden waren über einen einfachen Internet-Link tagelang für jedermann abrufbar. Ein Unternehmenssprecher spricht von einem „höchst ärgerlichen Betriebsfehler“. Zudem haben Umfragen zufolge Fahrgäste in nur einem halben Jahr sage und schreibe 55.000 Mobiltelefone, 5.000 Handhelds, 3.000 Notebooks und 900 USB-Sticks in Londoner Taxis liegen lassen. Auf einer Vielzahl dieser Geräte befanden sich vertrauliche, unternehmenskritische und interne Informationen.
Wie diese Beispiele zeigen, kann der Verlust vertraulicher oder Regularien unterworfener Daten, die oft im gesamten Unternehmen verteilt sind, sehr negative Folgen für das Unternehmen haben: das Vertrauen der Kunden wird beeinträchtigt, der Ruf des Unternehmens leidet und dies wirkt sich nicht zuletzt auch auf den Umsatz und Gewinn aus. Daher müssen Datenverluste nicht nur aus gesetzlichen, sondern auch aus unternehmerischen Gründen unbedingt vermieden werden. Geschäftskritische Daten sollten daher so vorgehalten werden, dass sie gegen gewollten oder ungewollten Missbrauch, Verlust oder Beschädigung geschützt sind.
In den vergangenen Jahren haben sich Aufmerksamkeit und Investitionen im Bereich Datensicherheit jedoch verlagert: Stand früher noch der Schutz des Netzwerks gegen Angriffe von außen im Vordergrund, so ist es heute der Schutz der Systeme innerhalb des Netzwerks und der Schutz der Daten selbst, den IT-Verantwortliche sicherstellen müssen.
Die Menge der digitalen Daten nimmt stetig zu, und in einer modernen Arbeitswelt verlassen diese Daten über Laptops, USB-Sticks, PDAs oder per E-Mail immer häufiger den Bereich der gesicherten Informationsinfrastruktur und werden von verschiedenen internen und externen Nutzern verarbeitet. Dieser Paradigmenwechsel beim Schutz sensibler Daten und der Risikominderung in Unternehmen ist zudem auch durch diese Faktoren bedingt:
- Immer mehr Daten gehen innerhalb des Unternehmens verloren.
- Unternehmen speichern zunehmend sensible Daten.
- Daten werden immer öfter von mehreren Personen verwendet – sowohl internen als auch externen.
- Es gibt eine immer größere Nachfrage und illegale Märkte für personenbezogene Daten.
- Die durch Richtlinien geprägte Umgebung wird größer und zunehmend komplexer.
Die Novellierung des Bundesdatenschutzgesetzes (BDSG) in 2009 hat ebenfalls dazu beigetragen, dass Unternehmen das Thema Datensicherheit stärker beachten müssen. Das BDSG schreibt unter anderem härtere Konsequenzen für Unternehmen beim fahrlässigen Umgang mit personenbezogenen Daten vor. Der neue § 42a des BDSG sieht beispielsweise beim Verlust sensibler Daten eine Informationspflicht gegenüber den Aufsichtsbehörden und den Betroffenen vor. Dies beinhaltet, dass Letztere beispielsweise in einer bundesweit erscheinenden Tageszeitung zu informieren sind. Darüber hinaus wurden die Bußgeldstrafen deutlich erhöht.
Der Paradigmenwechsel wird dadurch verstärkt, dass herkömmliche Sicherheitstechnologien, die sich auf Hacker und den Peripherieschutz konzentrierten, zur strategischen Sicherung der Unternehmensdaten längst nicht mehr ausreichen. Ein Umdenken ist erforderlich, um vor allem Bedrohungen von innen zu begegnen, die durch kriminelle Absicht oder unwissentlich durch fehlerhafte Unternehmens- und Sicherheitsprozesse entstehen können - wie auch der Lagebericht zur Informationssicherheit (KES, Nr. 4, 2008) belegt. Hier ist erkennbar, dass die größten Schäden durch Irrtum und Nachlässigkeit eigener Mitarbeiter verursacht werden. Eine im Auftrag von RSA, The Security Division of EMC, erstellte IDCStudie zeigt zudem, dass versehentliche Verstöße eigener Mitarbeiter gegen geltende Sicherheits- Richtlinien häufiger vorkommen und größere Schäden verursachen als vorsätzliches missbräuchliches Handeln. Klar sein dürfte, dass im Laufe der Zeit die Risiken des Verlustes sensibler Daten immer höhere Kosten für das Unternehmen mit sich bringen, zum Beispiel durch Fehlerkorrektur, Compliance-Aufwendungen, unzufriedene Kunden und Imageverluste.
Angesichts dieser Sicherheitslage ist ein umfassendes Risiko-Management von zentraler Bedeutung. Dazu gehört zum einen die Schulung und Sensibilisierung der Mitarbeiter für den richtigen Umgang mit vertraulichen Informationen. Zum anderen ist eine informationszentrierte Strategie notwendig, die effektive Mittel zur Erkennung, Bewertung und Minderung der Risiken bereitstellt, denen Informationen über ihren gesamten Lebenszyklus hinweg ausgesetzt sind. Damit können Unternehmen ihre Ressourcen und Geschäftsprozesse schützen und dafür sorgen, dass gesetzliche, behördliche und sonstige Sicherheitsanforderungen eingehalten werden. RSA bietet Unternehmen mit der RSA DLP Suite einen Ansatz, um Geschäftsrisiken durch Datenverlust zu minimieren.
Inhalt
- Einleitung 4
- Herausforderungen im modernen Datenschutz 6
- Was ist DLP? 7
- DLP im Rechenzentrum 8
- DLP im Netzwerk 9
- DLP in Endgeräten 9
- RSA Data Loss Prevention Suite 10
- Schlusswort 11
- Über Atos Origin und RSA 12
Dateien zum Download
Der Beitrag ist Mitgliedern der Competence Site vorbehalten. Sie müssen zudem nach Login - falls noch nicht in Ihrem Profil geschehen - einwilligen, dass Ihre folgenden Nutzerdaten:
E-Mail-Adresse, Vorname, Nachname, Position, Organisation und Adresse
an den Herausgeber des Content bzw. den Partner der Verlosung zum Zwecke der Marktforschung, des Marketing und der Kontaktaufnahme weitergegeben werden ("Member Content").
Wenn Sie Mitglied sind, melden Sie sich bitte im folgenden Formular an (Login)!
Dialog
Ihr Beitrag zu Data Loss Prevention - Wie lässt sich Datenschutz im Unternehmen sicherstellen?
Bitte melden Sie sich an.
Keine Kommunikationsobjekte vorhanden.
Weitere Informationen im Internet
Themen-Center
Kategorien
Regionen
Ansprechpartner
Herausgebende Organisation
Verknüpfte Organisationen
