Datendiebe und Wirtschaftsspione haben viele Gesichter. Mal schmuggeln sie als Praktikant getarnt, vertrauliche Informationen aus dem Unternehmen. Mal entwenden sie Notebooks, auf denen vertrauliche Daten nicht ausreichend abgesichert wurden oder hacken sich ins Firmennetzwerk ein. Manchmal leiten sie aber auch als unwissender Mitarbeiter geheime Dokumente an die Aussenwelt weiter. Nicht selten landen so vertrauliche Informationen bei konkurrierenden Firmen. Jedes zweite Grossunternehmen ist in den vergangenen Jahren Opfer derartiger wirtschaftskrimineller Handlungen geworden. Vier von fünf Fällen bleiben allerdings unentdeckt. Zu diesem erschreckenden Ergebnis kommt das internationale Wirtschaftsprüfungsunternehmen KPMG in einer Umfrage aus dem Jahr 2006. Die beste Vorsorge: Mit gut durchdachten Sicherheitsrichtlinien und dem Einsatz leistungsstarker Verschlüsselungs- und IT-Sicherheitslösungen gepaart mit Verhaltensregeln für Vorstand und Mitarbeiter können Unternehmen ihr Firmennetzwerk von innen und aussen schützen.

Im grossen Gemenge der verschiedenen Anbieter und Lösungen fällt es manchmal schwer, den Überblick zu behalten und die richtige Entscheidung zu treffen. Denn jedes Unternehmen hat besondere Sicherheitsanforderungen. Eine ist jedoch für alle gleich: Die neue Sicherheitslösung sollte problemlos und einfach zu installieren sein und sich nahtlos in bestehende IT-Infrastrukturen integrieren lassen. Noch einfacher wird es, wenn alle Geräte im Firmennetzwerk zentral mit einer plattformübergreifenden Security Suite abgesichert werden. Egal, wo Informationen dann gespeichert sind oder mit wem sie ausgetauscht werden: Die Sicherheits-lösung schützt Daten auf mobilen und statio-nären Endgeräten, auf mobilen Speichermedien, Servern und in E-Mails. Durch eine solche Software sind Unternehmen erstmals in der Lage, gesetzliche Anforderungen sowie interne Sicherheitsrichtlinien einfach und effektiv umzusetzen.

Der Handlungsbedarf ist deutlich gestiegen. So hat das Beratungsunternehmen Pricewaterhouse-Coopers in seiner im Zweijahresturnus erscheinenden Untersuchung zur Wirtschaftskriminalität herausgefunden, dass viele Unternehmen nur unzureichend gegen Betrug, Veruntreuung, Diebstahl oder Netzkriminalität abgesichert sind. In der Studie von 2005 hatte die Zahl der Unternehmen, die Opfer von Wirtschaftskriminalität geworden waren, im Vergleich zu 2003 weltweit um acht Prozent zugenommen. Von den Unternehmen mit über 5000 Mitarbeitern waren 62 Prozent betroffen. Sie erlitten im Durchschnitt einen Schaden, der insgesamt auf 3,4 Millionen Euro beziffert wurde.

Doch wie können sich Unternehmen gegen Gefahren aus dem Netz oder den eigenen Reihen absichern? Der erste Schritt sollte immer sein, alle Mitarbeiter über Gefahrenquellen zu informieren und ihr Sicherheitsbewusstsein und -verhalten zu stärken. Welche Daten gilt es zu schützen? Wo liegen mögliche Gefahren? Wo sind Schwachstellen, und wie können diese besser geschützt werden? Eingesetzte Sicherheitslösungen sollten von allen Mitarbeitern verstanden und akzeptiert werden und ihren Arbeitsalltag nicht einschränken. Nur ein Unternehmen, das über mögliche Gefahren und Einfallstore für Wirtschaftsspione informiert ist, kann wirkungsvolle Gegenmassnahmen in Angriff nehmen.

Ein Blick über den Atlantik verrät in Zahlen, wie es um die Datensicherheit bestellt ist. Jeden Monat gelangen in den USA persönliche Daten, darunter Kreditkartennummern, Informationen zur Sozialversicherung, medizinische Daten oder Adressen, die ursprünglich rechtmässig gespeichert wurden, in die falschen Hände. Auf sechs Millionen Datensätze schätzt Phil Howard, Professor für Kommunikation an der University of Washington, den Schaden. Er wertete zwischen 1980 und 2006 Berichte über Vorfälle von Datenmissbrauch aus. Bei rund 30 Prozent der 550 bestätigten Vorfälle seien Hacker mit im Spiel gewesen. 60 Prozent liessen sich aber auf Nachlässig-keiten der Unternehmen oder Organisationen zurückführen, wenn beispielsweise PC-Hardware gestohlen oder verloren wurde. Professionelle Verschlüsselung hätte diesen schädlichen Verlust trotz Diebstahl verhindert und eine mögliche Bedrohung im Keim erstickt, denn bei einem verschlüsselten Notebook hat ein Dieb keinen Zugriff zu vertraulichen Daten. Eingebaute Sicherheitslösungen bieten hier keinen ausreichenden Schutz. Stattdessen sollten Firmen in unternehmensweiten Sicherheitsrichtlinien die als vertraulich definierten Kommunikationsbeziehungen festlegen und sich für den Einsatz einer plattformübergreifenden und vollständig integrierten Lösung entscheiden, die auf diesen Richtlinien basiert. So wären vertrauliche Daten jederzeit und überall vor Datenspionen geschützt. Es gibt Sicherheitslösungen, die Daten auf mobilen und stationären Endgeräten, auf mobilen Speichermedien, Servern oder in E-Mails mit einer einzigen Anwendung schützt, die zentral administrierbar ist.

Es empfiehlt sich, eine Sicherheitslösung einzusetzen, die organisationsweit nur autorisierten Benutzergruppen Zugriff auf sensible Daten gewährt. Selbst die unternehmensinternen Systemadministratoren oder das Personal eines Outsourcers können so die Daten zwar verwalten, haben aber keine Möglichkeit, vertrauliche Informationen einzusehen. Individuelle Zugriffsrechte für Arbeitsgruppen oder einzelne Nutzer legen entsprechend der Sicherheitsrichtlinien fest, wer die vertraulichen Daten im Klartext lesen darf oder wer nur einen chiffrierten, unleserlichen Zeichensatz auf dem Monitor sieht. Dieser hochsichere Schutz muss übrigens nicht kompliziert sein. Leistungsstarke und moderne Multi-User-Sicherheitssysteme laufen transparent und somit unsichtbar im Hintergrund. Durch sie können vertrauliche Dokumente, Finanzunterlagen oder geheime Konstruktionszeichnungen umfassend vor unberechtigten Zugriffen bewahrt werden.

In ihrer aktuellen Studie «Computer Crime and Security Survey 2006» teilen die amerikanischen Behörden CSI und FBI die Datenmissbrauchs- und Verlustfälle in vier Kategorien ein: Den grössten Schaden richten hierbei Viren und Trojaner mit über 15 Millionen Dollar an. An zweiter Stelle folgen die Datenmissbrauchsfälle, die durch den unbefugten Zugriff auf vertrauliche Informationen entstanden. Amerikanische Unternehmen mussten hier einen Verlust von über 10,6 Millionen Dollar beklagen. Durch den Diebstahl von Notebooks und anderen mobilen Geräten entstand ein Schaden von über 6,6 Millionen Dollar. An vierter Stelle folgt der Diebstahl vertraulicher und persönlicher Informationen mit einer Verlustsumme von 6 Millionen Dollar. Unternehmen, die sich und ihre Mitarbeiter umfassend gegen Szenarien wie diese absichern wollen, sollten daher darauf achten, dass ihre Daten nicht nur verschlüsselt sondern auch durch eine sichere Authentisierung abgesichert sind. Diesen Schutz bietet zum einen eine Authentisierung mittels einer Kombination aus sicherem Passwort und Smartcard-Token oder auch biometrischen Technologien. Für das weitere Plus an Sicherheit sorgt dann die Gewaltenteilung zwischen System- und Sicherheitsadministrator. Während der Sys-temadministrator zwar wie gewohnt sein System verwalten kann, ist es ihm unmöglich, Dateien zu entschlüsseln, da die Schlüssel dazu vom Sicherheitsadministrator verwaltet werden. Dieser hat wiederum keinen Zugang zu den verschlüsselt abgespeicherten Dateien. Der Sicherheitsadministrator legt die individuellen Zugriffsrechte fest. So erhält jeder Anwender aufgrund seines Profils einen einzigartigen Schlüsselbund, mit dem er wie gewohnt die freigegebenen Dateien im Klartext lesen kann. System- und Sicherheitsadministrator sind somit gegen jegliche Anschuldigung geschützt, sollte der Verdacht aufkommen, sie hätten Unternehmensdaten ausspioniert.

E-Mails sind aus der alltäglichen privaten und geschäftlichen Kommunikation nicht mehr wegzudenken. Doch obwohl die Verschlüsselung und Signatur vertraulicher Mails theoretisch über E-Mail-Clients realisierbar wäre, wird dies zumeist aus Zeitmangel oder Unwissenheit unterlassen. So können beispielsweise geheime Firmen-daten durch unwissende Mitarbeiter oder eingeschleuste Spione an die Öffentlichkeit oder gar die Konkurrenz gemailt werden. Umfassenden Schutz bieten leistungsstarke Mail-Gateways. Professionelle Lösungen integrieren die kryptographischen Prozesse der Ver- und Entschlüsselung sowie der elektronischen Signatur und Authentisierung an zentraler Stelle im Unternehmensnetzwerk. Diese Sicherheitslösungen sind für den Absender transparent und setzen die unternehmensinternen Sicherheitsrichtlinien für die E-Mail-Kommunikation automatisch an zentraler Stelle um. Absender und Empfänger können wie gewohnt per E-Mail kommunizieren, ohne sich um die Vertraulichkeit der Inhalte kümmern zu müssen. Es gibt mittlerweile Gateways der neuesten Generation, die über eine spezielle PDF-Zusatzfunktion verschlüsselte E-Mails samt Anhang in ein PDF-Dokument umwandeln. Die Vorteile: Der E-Mail-Empfänger benötigt keine zusätzliche Verschlüsselungssoftware. Mit dem richtigen Passwort kann der Empfänger die verschlüsselten Daten an jedem stationären oder mobilen Gerät mit einem PDF-Reader einsehen und sogar vertraulich beantworten. Sind Firmen-PCs mit Verschlüsselungslösungen wie diesen geschützt, liegt das ganz im Sinne der Abwehr von Wirtschafts- oder Daten-spionage.