28.11.2006, 09:23 Uhr

Datenschutz schützt auch ihren guten Ruf

Nachdem die meisten Unternehmen ihre Netzwerkstrukturen inzwischen recht effizient nach draussen abschirmen, geht es ans Eingemachte: Nun sollen auch auf Datenebene ähnliche Schutzmechanismen eingeführt werden.
Gesetzliche Richtlinien und das wachsende Bewusstsein der Verbraucher bezüglich Datenschutz und Datensicherheit bringen es mit sich, dass beim Thema Security künftig die Schwerpunkte anders gesetzt werden. Denn bei den IT-Managern rangiert die Sicherheitskontrolle auf Datenebene ganz oben auf der Prioritätenliste für 2007. Das jedenfalls war die Meinung auf der jetzt in Florida abgehaltenen Fachkonferenz des Computer Security Institute (CSI).
Nachdem man sich jahrelang darauf konzentriert hat, ein Arsenal an Abwehrmassnahmen auf Netzwerkebene zu implementieren - etwa mittels Firewalls, Intrusion Detection und Intrusion Prevention -, müssen die Unternehmen nun vergleichbare, mehrschichtige Kontroll- und Schutzmechanismen auf Datenebene installieren. Informationen, die nicht an die Öffentlichkeit gelangen sollen, müssen abgeschirmt werden, egal, ob es sich um «ruhende» Datenpools handelt oder um Datentransaktionen. Die Konsequenz: IT-Abteilungen müssen Massnahmen wie Datenklassifizierung und Verschlüsselung viel öfter umsetzen als bisher. Desgleichen müssen Zugriffsmechanismen und die Authentifizierung von Usern viel strenger gehandhabt werden.

Security für den guten Ruf

Verschiedene Kongressteilnehmer berichten, dass sie momentan solche Projekte umsetzen: «Wir bauen Kontrollschichten ein mit dem Ziel, jederzeit nachvollziehen zu können, wie die Informationen durch unser Netzwerk wandern», sagt Mark Burnett, zuständig für IT-Security und Compliance bei dem Anwenderunternehmen Gaylord Networks, einer US-amerikanischen Catering-, Hotel- und Event-Organisatorin. «Die Motivation dahinter ist der feste Wille, den guten Ruf, den wir uns für unseren Markennamen mühevoll aufgebaut haben, unbedingt zu erhalten. Ein einziger sicherheitsrelevanter Vorfall kann den Ruf nämlich ruinieren», meint Burnett. Ein weiterer Katalysator für die Anstrengungen sind die Vorschriften, die der Gesetzgeber Unternehmen auferlegt. Dazu zählen etwa der Datensicherheitsstandard PCI (Payment Card Industry) der grossen Kreditkartenanbieterinnen oder Sarbanes Oxley.
Ann Garrett, Chief Information Security Officer der IT-Abteilung des US-Bundesstaats North Carolina, berichtet von einem kürzlich in Kraft getretenen Gesetz, das sich mit individuellen Daten befasst, aus denen Rückschlüsse auf Personen gezogen werden können. Das Gesetz mache es unverzichtbar, Sicherheitskontrollen auf Datenebene einzuführen, so Garrett. Das Gesetz gilt seit 1. Oktober für Privatunternehmen, ab Oktober 2007 auch für die öffentliche Hand.

Schutz vor den Usern

«Was wir bereits haben: eine starke Firewall vor dem Netzwerk, Intrusion-Detection- sowie Intrusion-Prevention-System», berichtet die Sicherheitschefin. «Momentan fehlt uns jedoch noch ein Mechanismus, mit dem sich Fehler der Enduser abfangen lassen.» Daher will sie erstens die Verschlüsselung auf Datenebene forcieren, zweitens die von den Usern ausgelösten Transaktionen in Log-Files festschreiben sowie Audits durchführen. «Persönliche Daten, die sich individuellen Personen zuordnen lassen und Informationen über sie preisgeben, stehen im Mittelpunkt unserer Bemühungen», so Garrett. Dies nicht nur aus freien Stücken.
Alarmierend sind die immer wieder in den Medien aufgegriffenen Fälle von Festplatten voller Personendaten, die auf mirakulöse Weise verloren gehen. Sie enthalten höchst private Daten - wobei Studentenlisten von Universitäten noch die harmlosesten sind. Ganz heikel wird es bei verlorenen unverschlüsselten Sozialversicherungsnummern und medizinischen Daten. Gerade kürzlich verschlampte das US-Ministerium für Housing and Urban Development eine Liste mit den Namen hunderter jetziger und früherer Mitarbeiter. Das Amt reagiert mit der Einführung von Verschlüsselungsmechanismen für Daten, zweistufiger Authentifizierung für User-Logins und Überwachung der User-Aktivitäten. «Es ist noch viel zu tun», so die offizielle Zwischenbilanz aus dem Ministerium. «Es gibt unzählige Security-Lecks in der IT - viel mehr als Hacker, die diese ausnutzen können», kommentiert ein Mitarbeiter des Ministeriums lakonisch. Wichtig jedenfalls sei es, eine ganzheitliche Sicherheitsstrategie zu erarbeiten, die «die User, die Prozesse und die Technik» berücksichtige.


Das könnte Sie auch interessieren