Weshalb IT-Sicherheit auch den CEO betrifft

Remo Rossi ist Regional Area Director Switzerland, Austria and Eastern Europe bei Network Appliance.

Kaum ein Tag, an dem nicht über Sicherheitsdelikte und Zwischenfälle berichtet wird. Dabei ist Datenmissbrauch nicht nur das Werk pubertärer Hacker. Er findet sich vermehrt auch in den eigenen Reihen. Publik gewordene Fälle belegen: Übergriffe auf Daten sind längst keine Science Fiction mehr, sondern handfeste Wirtschafts- und Computerkriminalität.

Sicherheit bedeutet heute nicht mehr nur den rein physischen Schutz der Daten gegen externe und interne Bedrohungen. Sie hat auch gesetzliche Implikationen zu berücksichtigen, wie sie im Schweizer Obligationenrecht Artikel 957 ff, in der Geschäftsbücherverordnung GeBüV und im Sarbanes-Oxley-Act (SOX) formuliert sind - um nur einige von zahllosen Vorschriften zu nennen. Die finanziellen Folgen von Sicherheitslücken oder zu laxem Umgang mit vertraulichen Daten können Unternehmen stark belasten und in ihrer Substanz schädigen. Die Datensicherheit ist kein reines IT-Thema mehr. Sie betrifft insbesondere auch die Unternehmensleitung.

Zu den Versäumnissen bei der Datensicherheit und Verletzungen der Datenschutzgesetze addieren sich Folgen wie Gefährdung der Geschäftsgrundlage bis hin zum Konkurs, hohe Kosten und nicht zuletzt Imageverlust. Bei bestimmten Verstössen müssen der Firmenchef, aber auch persönlich haftende Mitarbeiter oder Gesellschafter mit harten Konsequenzen rechnen. Verstösse gegen die Gesetze ziehen Bussgelder bis zu mehreren Tausend Franken oder Gefängnisstrafen nach sich.

Mangelnde Datensicherheit ist nicht nur die Folge schlechter oder fehlender IT-Security-Lösungen. Oft sind Mitarbeiter der Grund für Informationslecks. Auch wenn die meisten Angestellten vertrauenswürdig sind: Es existiert eine Minderheit, die bereit ist, wertvolle vertrauliche Daten und Informationen zu stehlen und zu verkaufen. Ein Beispiel ist ein Betrugsfall in New Jersey, in den mehrere Grossbanken verwickelt waren, darunter die Bank of America und die Commerzbank. Bankangestellte hatten Kundenunterlagen ausgedruckt und für 10 Dollar das Stück an ihre Auftraggeber verkauft - und zwar 500'000 Exemplare.

Aber auch Mitarbeitern ohne böse Absichten sollte der Zugriff auf bestimmte Daten verwehrt bleiben. Es muss ein Plan erarbeitet werden, der vorsieht, nur autorisierten Personen Zugriff auf gewisse vertrauliche Daten zu gewähren. Dieser schützt nicht nur vor Datendiebstahl, sondern auch vor versehentlichem Löschen oder Verschieben.

Dieser Aspekt der menschlichen Sicherheit lässt sich mit der Abkürzung AAA beschreiben - Authentifizierung, Autorisierung und Auditing. Zum einen wird mittels Identifizierungsmassnahmen wie Passwörtern oder biometrischen Daten festgestellt, dass ein Anwender wirklich der ist, der er behauptet zu sein (Authentifizierung). Zweitens wird die Autorisierung anhand vorab festgelegter Richtlinien festgestellt: Welche Befugnisse hat dieser Mitarbeiter? Auf welche Daten und Informationen darf er zugreifen? Welche Informationen sind für ihn schreibgeschützt, welche komplett gesperrt? Der letzte Bestandteil, Auditing, ist eine Art Protokollierung der Netzwerkaktivitäten des Mitarbeiters. Welche Daten hat er in letzter Zeit angeschaut, welche bearbeitet? Dieser Prozess ermöglicht es einem Unternehmen, sensible Daten gegen firmen-interne Bedrohungen zu schützen.

Um die Integrität der Daten zu gewährleisten, sind zudem Verschlüsselungstechnologien ein Muss. Sind die im Unternehmen gespeicherten Offline-Daten verschlüsselt und zudem durch Zugriffsautorisierung geschützt, kann die Sicherheitslatte noch eine Stufe höher gelegt werden.

Die steigende Anzahl von Richtlinien und gesetzlichen Bestimmungen rund um die Aufbewahrung und das Wiederfinden von Informationen, wie sie im Obligationenrecht Artikel 957 ff, in der Geschäftsbücherverordnung GeBüV und im Sarbanes-Oxley-Act festgeschrieben oder auch nur angedeutet sind, machen ein zuverlässiges System zur Sicherung und Archivierung von Daten sowie das Einbeziehen von Storage- und Datenmanagement-Techniken in die Sicherheitsstrategie unentbehrlich. Schweizer Firmen müssen vertrauliche Daten in der Regel bis zu 10 Jahre so aufbewahren, dass diese im Rechtsfall oder auf Anforderung der Behörden schnell aufzufinden und nachweisbar sind. Sonst drohen Geldbussen.

Wie aber kann der Chef sicherstellen, dass alle relevanten Geschäftsdaten zuverlässig gespeichert und wiederauffindbar sind, wenn er nicht eingehend mit der IT-Organisation vertraut ist? Selbstverständlich gehört ein gewisses Mass an Vertrauen in die IT-Verantwortlichen dazu. Aber bestimmte Fragen kann und muss die Unternehmensleitung selbst stellen. Der erste und wichtigste Schritt ist der Einsatz eines zuverlässigen Backups, um Daten und Applikationen regelmässig zu sichern. Hand in Hand mit der Datensicherung geht immer die Rücksicherung und Wiederherstellung, die dafür sorgt, dass im Fall eines Systemausfalls das Geschäft schnell und ohne Verlust wichtiger Informationen wieder aufgenommen werden kann.

Mit ins Sicherheitskonzept einbezogen werden muss auch eine Datenarchivierungsstrategie, welche die vorschriftskonforme Aufbewahrung, die Regelung der Zugriffserlaubnis bis hin zur schnellen Datenbereitstellung auf Wunsch von Behörden oder internen Abteilungen umfasst. Archivierung ist keine reine IT-Frage mehr, sie involviert das ganze Unternehmen. Compliance ist eine ständige Aufgabe, die immer wieder Anpassungen an geänderte Systeme und Prozesse erfordert. Dabei geht es nicht nur um neue Gesetze und Regulierungen, sondern auch um interne Vorgaben. Je mehr Geschäftsprozesse digital abgebildet und gespeichert werden, desto mehr Vorschriften zur digitalen Datenhaltung greifen. Desto höher ist aber auch das Risiko der Nichterfüllung bis hin zur Konsequenz von Strafen.

Um dieses Risiko weitgehend auszuschalten, müssen Unternehmen zusätzlich ihre eigenen Compliance-Regeln aufstellen, welche in der Hauptsache das Management des Datenbestands, die Unterstützung im Rechtsfall sowie Datenschutz/Zugangssicherheit betreffen. Das Zusammenstellen digitaler Unterlagen aus unorganisierten Datenbeständen kann zur -Sisyphusarbeit werden und überdies hohe Kosten verursachen. Ein organisiertes Archiv hilft beim Einhalten von Fristen und lässt Zeit für weitere Vorbereitungen im Rahmen des Rechtsfalls. Der Einsatz von WORM-Medien (Write Once, Read Many) sorgt darüber hinaus dafür, dass wichtige Daten zwar nicht geändert oder gelöscht, aber dennoch schnell und einfach abgerufen werden können.

Im Grunde bleibt für Unternehmen nur eine Wahl: Sicherheitspolitik definieren, Sicherheitsstrategie aufsetzen und umsetzen. Technische Möglichkeiten, um Daten zu schützen, gibt es heute genügend. Die optimale Sicherheit bietet Daten starken Schutz, unabhängig von ihrem Lagerort oder den Systemen, über die sie laufen. Ein hohes Sicherheitsniveau wird erst dann erreicht, wenn Daten jederzeit geschützt werden können - egal ob sie in Bewegung sind oder nur mehr gelagert werden. Der erste Schritt ist die zuverlässige Sicherung der Daten auf Platte oder Band und deren ständige Verfügbarkeit, beziehungsweise im Fall eines Ausfalles die Möglichkeit, Daten und Systeme schnell wiederherzustellen und somit ein hohes Mass an Business Continuity zu gewährleisten. Im zweiten Schritt muss die Kombination und enge Integration traditioneller Sicherheitslösungen mit Primär-, Sekundär- und Archivspeichersystemen gegeben sein. Die Verschlüsselung von Daten bietet einen äusserst wirksamen und vor allem einfach umsetzbaren Schutz gegen unbefugte Zugriffe von extern und intern.

Beim Verweis auf die hohen Kosten eines lückenlosen Konzepts lässt sich sofort eine Gegenrechnung aufmachen: Imageverlust, Auftragsrückgang, entgangene Gewinne, erneuter Image-Aufbau, Bussgelder, Schadenersatzforderungen und ähnliches lassen sich hochrechnen. Ein kompromissloses Sicherheitspaket ist dagegen fast eine Lappalie. Damit wird klar: Sicherheitsrisiken müssen vermieden werden - weshalb Datensicherheit Chefsache ist.

IT-Sicherheit aus Sicht des CEO

Auf folgende fünf Fragen zum Thema IT-Security muss der CEO die Antworten kennen:

Ist in unserem Unternehmen ein zuverlässiges Backup-System im Einsatz, welches im Katastrophenfall den raschen Weiterbetrieb des Unternehmens garantiert?

Werden alle Unternehmensdaten gesetzeskonform archiviert?

Können wir im Rechtsfall alle nötigen Informationen innerhalb der vorgege-benen Frist zur Verfügung stellen?

Sind wir genügend gegen den Abfluss respektive Diebstahl wertvoller Informationen durch Mitarbeiter geschützt?

Greifen hier die Massnahmen in Sachen Zugangskontrolle und Verschlüsselung?