Angriffe von intern und extern durch wirkungsvolle Endpoint-Security abwehren. Ein Rundflug in die Unternehmenssicherheit von Mark Hartmann, Produktmanager bei CenterTools. Angreifer von außen wie auch von intern haben heute etwas äußerst wertvolles im Visier: Unternehmensdaten. Die zunehmende Digitalisierung, etliche Lücken in den Firmennetzwerken sowie die Sorglosigkeit von Mitarbeitern machen es Dritten einfach, sich Zugriff auf wertvolle Informationen wie Firmendokumente und Kundendaten zu verschaffen. Nicht zuletzt ist auch die steigende Mobilität ein erhebliches Risiko für die Unternehmensdaten. Beispielsweise sind USB-Sticks sowie Musik-Player äußerst beliebte Geräte, auf denen große Datenmengen aus dem Unternehmen transportiert werden können. Hier können zum Beispiel Preislisten, Kundenlisten und Entwicklungsdaten problemlos gespeichert werden – etwa von einem Mitarbeiter, der schon einen Vertrag beim Wettbewerber unterschrieben hat. Längst sind auch nicht mehr nur die Big Player unter den Unternehmen von Industriespionage betroffen – vielfach sind auch kleine technisch ausgerichtete Firmen im Fokus, bei denen Innovationen entstehen. Ein weiteres Problem: Viele Datendiebstähle werden nie bekannt, weil die Daten ja in der Regel erhalten bleiben und die Diebstähle ohne geeignete Software nicht aufgedeckt werden können.Um die oben beschriebenen Gefahren abzuwehren, sind Data-Loss-Prevention-Lösungen notwendig, die nicht nur die PCs und Laptops der Mitarbeiter gegen Viren, Malware und unbefugte Zugriffe abschotten. Geeignete Lösungen regeln auch die Verwendung mobiler Geräte vom USB-Stick bis zur mobilen Festplatte zentral. Es ist außerdem aus einem weiteren Grund zwingend erforderlich, dass Unternehmen ihr Netzwerk bis hin zu den Endgeräten optimal absichern. Gesetze, interne Vorgaben sowie auch vertragliche Verpflichtungen gegenüber Endkunden zum Beispiel zum Schutz von Nutzerdaten oder Zahlungsinformationen legen den Umgang mit den Daten fest. Data-Loss-Prevention gewinnt nur zögerlich an PrioritätObwohl Risiken wie Datenverlust oder Datendiebstahl auf der Hand liegen, haben laut einer IT-Security-Studie von Gartner erst 29 Prozent der Unternehmen in Westeuropa eine Lösung für die Data Loss Prevention im Einsatz. Etwa 32 Prozent planen bis Mitte 2013 die Einführung einer solchen Lösung. Unter dem Begriff Data Loss Prevention (DLP) werden technische Lösungen verstanden, die unter anderem vor Industriespionage schützen sollen. Empfehlenswert ist eine Lösung mit umfassenden Endpoint-Security-Ansatz. Administratoren sind sich einig: Die bisherige Standard-Kombination aus Antivirus, Firewall, VPN und Authentifizierung ist heute nicht mehr geeignet, um einen ausreichender Schutz zu schaffen. Höchster Handlungsbedarf bei der Sicherung von Unternehmensdaten besteht in der automatisierten Verschlüsselung im gesamten Unternehmensnetz. Dies muss auch für virtuelle Umgebungen (Virtual Desktop) oder Thin Clients möglich sein. Durch die Verschlüsselung und eingebauten Kontrollmechanismen, unter anderem für den Datentransfer, soll die Flexibilität und Effizienz der Arbeit im Netzwerk uneingeschränkt ermöglicht werden. Es besteht sonst die Gefahr, dass Mitarbeiter die Vorschriften kreativ unterwandern, um ihre Arbeit effizienter erledigen zu können.Mobile Geräte zentral genehmigen und Inhalte verschlüsselnEine spezielle Anforderung an die Flexibilität beim Schutz von Unternehmensdaten ist es, dass auch mobile Datenträger im Netzwerk genutzt werden können. Dies lässt sich nur mit einer dedizierten Schnittstellenkontrolle umsetzen, die den Einsatz von genehmigten Medien und mobilen Endgeräte überwacht. Wird an einem Rechner im Netzwerk zum Beispiel ein USB-Stick eingesteckt, prüft die Software, ob die Verwendung des Geräts erlaubt ist. Ist dies nicht der Fall, kann der Anwender weder Daten lesen, noch vom Stick ins Netzwerk einspielen oder Unternehmensdaten auf dem Stick speichern. Zusätzlich wird der Datenstrom auf unerlaubte Dateitypen analysiert. Erlaubte mobile Datenträger und Geräte wiederum müssen ebenfalls die gespeicherten Daten automatisch verschlüsseln können. Hier kommen dann zum Beispiel spezielle USB-Sticks zum Einsatz, die die Inhalte verschlüsseln. Dadurch entsteht ein besonderer Schutz für den Fall, dass beim Verlust oder Diebstahl des USB-Sticks niemand Unbefugtes an die Daten herankommt. Mobile Geräte, auf denen die Daten nicht verschlüsselt abgelegt werden können, sind dann von der Nutzung im Firmennetzwerk ausgenommen. Darüber hinaus sollte bei der Datenwiederherstellung keine vollständige Datenentschlüsselung erfolgen, so dass die Daten nur von berechtigten Personen (jedoch nicht von Administratoren) gelesen werden können.Wichtig ist weiterhin, dass von zentraler Stelle aus Hilfe geleistet werden kann, wenn einmal ein Passwort vergessen wurde. Dies muss auch möglich sein, wenn der Mitarbeiter unterwegs ist und keine Internetverbindung hat. Mit Hilfe von Challenge-Response-Verfahren stellt diese Anforderung kein Hindernis dar. Diese ermöglichen sowohl Passwort-Recovery-Maßnahmen wie auch temporäre Änderungen von Konfigurationen.Damit auch zu jedem Zeitpunkt den Anforderungen des Datenschutzes entsprochen werden kann, sollte eine Endpoint-Security zusätzlich die Verschlüsselung sowohl von internen Netzlaufwerken als auch von Datei-Verzeichnissen unterstützen. Auf diese Weise ist es möglich, dass Administratoren, die keine Leseberechtigung für bestimmte Daten haben, dennoch das Backup und Recovery durchführen können. Nicht zuletzt müssen Endpoint-Security kritische Vorfälle monitoren und übersichtlich darstellen können. Besteht etwa der Verdacht, dass im Unternehmen Daten missbräuchlich kopiert wurden, können diese Vorfälle umfassend und dabei konform zu Datenschutzvorgaben analysiert werden. Gefahrenquellen werden zudem visualisiert, so dass beispielsweise geprüft werden kann, ob im Unternehmen nur betriebliche relevante Dateien auf mobile Geräte übertragen wurden. Gegebenenfalls handelt es sich auch um Musik- und Video-Dateien und somit möglicherweise um Vorgänge, die gegen das Urheberrecht verstoßen. Das Unternehmen kann bei solchen Vorkommnissen dann entsprechende Maßnahmen einleiten. Awareness-Kampagnen bei Mitarbeitern sensibilisieren fürs ThemaEin zentraler und häufig vernachlässigter Punkt in Bezug auf den Schutz von Unternehmensdaten ist die regelmäßige und kontinuierliche Sensibilisierung der Mitarbeiter in Form von Awareness-Kampagnen. Mindestens im Quartals-Rhythmus sollten die Anwender zu allgemeineren Themen informiert werden, wie etwa zum sicheren Umgang mit unbekannten USB-Sticks. Darüber hinaus muss auch bei aktuellen Bedrohungen reagiert und gegengesteuert werden, zum Beispiel wenn auf Mitarbeiter der Personalabteilung ein Social-Engineering-Angriff erfolgt ist. In solchen Fällen nutzen Dritte ein vorgebliches Freundschafts- oder Vertrauensverhältnis, um Mitarbeiter zur Herausgabe vertraulicher Daten oder Kennwörter zu bewegen. Anschließend können sie sich dann ohne weiteres Zugang zu weiteren Ressourcen verschaffen.Unternehmen, die hier durch Aufklärung und effiziente Endpoint-Security vorbeugen, schützen durch ihre Maßnahmen ihr wichtigstes Gut und damit ihre wirtschaftliche Grundlage: Ihre wertvollen Unternehmensdaten. Tipps für eine optimale Endpoint-Security liefert CenterTools mit einer 10-Punkte-Checkliste.