Grenzenlose Freiheit nicht möglich

Daten sind das Kapital des 21. Jahrhunderts und ihr Wert steigt tagtäglich. Meldungen über Datenverluste und Datendiebstähle häufen sich und die Gefahren für das Kapital einer Unternehmung werden kontinuierlich grös­ser. Wie so manches in der heutigen Zeit hat sich auch die Kriminalität entsprechend verändert und verlagert sich zunehmend in die elektronische Welt. Wirtschaftsspionage wird vom Computer aus betrieben und neue Geschäftsmodelle für die Beschaffung von geheimen Informationen – der sogenannte Cyber Crime – laufen ihrer Blütezeit entgegen.

Flexibilität vs. Sicherheit

Notwendige Schutzmassnahmen fehlen dennoch in den meisten Unternehmungen, denn IT-Sicherheit und Datenschutz werden oftmals als Belastung und notwendiges Übel empfunden. Das Interesse an einer grösstmöglichen IT-Sicherheit lässt sich selten mit der grösstmöglichen Flexibilität für die Mitarbeiter vereinbaren. Denn umso mehr Freiheiten es beim Zugriff auf Firmendaten gibt, desto grösser ist die Möglichkeit, dass dies zu bewusstem oder ganz unbewusstem Datenabfluss führt. Bildlich ausgedrückt: Man stelle sich einen Auto-Sicherheitsgurt aus Gummibändern vor. Auch dieser würde im Notfall nicht ausreichend Sicherheit bieten, sondern es bedarf eines richtigen Gurts, um sich zu schützen. Sicherheit kann nicht mit grenzenloser Flexibilität Hand in Hand gehen.

Geschäftsprozesse müssen sich verändern können, denn der Markt wandelt sich kontinuierlich und damit entstehen neue Anforderungen an Unternehmen. Und hier beginnt der Teufelskreis: Aus Sicht der Anwender verstösst die IT gegen das Gebot, dass Geschäftsprozesse unterstützt werden sollten. Doch um dieses Gebot mit den heute geforderten Schutzmassnahmen zu vereinbaren, müssten handelsübliche Lösungen individuell den Geschäftsprozessen angepasst werden, wofür die vorhandenen Budgets der IT selten den dafür benötigten Spielraum bieten.

Weitreichende Folgen

Der Nutzen von Sicherheitslösungen ist selten greifbar und deren Einsatz wird von Mitarbeitern als störend empfunden. Auf den ersten Blick bringt Datensicherheit dem Unternehmen kein Geld und engt die Anwender zusätzlich ein. Sicherheitsverantwortliche stehen damit in einem Spannungsfeld zwischen Anwenderwünschen – sprich den Geschäftsprozessen – und dem Bewusstsein hinsichtlich kosten­orientierter Lösungen zum Schutze von versehentlichem oder böswilligem Datenabfluss. Denn auf den zweiten Blick wird klar, dass vorsorgen besser ist, als im Fall der Fälle das Nachsehen zu haben. Sicherheitsverantwortliche befinden sich an diesem Punkt oftmals unter Zugzwang: Der Bedarf an Lösungen, welche die bestmögliche Flexibilität bieten, steigt weiterhin und die Unternehmensführungen verlangen trotz möglicher Konsequenzen oftmals Unmögliches möglich zu machen, nämlich die Sicherheit kostengünstig zu steigern und gleichzeitig die Flexibilität der Mitarbeiter zu wahren. Man denke hier beispielsweise an die oftmals gewünschte Nutzung von Facebook, Twitter, XING etc., welche vermehrt als Kommunikationskanäle in Unternehmen eingesetzt werden sollen.

Die Folgen können aber weitreichend sein: Erhöhtes Gefahrenpotenzial, erhöhter administrativer Aufwand, unglückliche Anwender, komplexe Geschäftsprozesse, überforderte IT-Mitarbeiter, nicht mehr überschaubare IT-Systeme, keine durchgängigen IT-Architekturen und damit wieder vermehrte Sicherheitslücken.

Einfache Lösungen gefragt

Der sinnvollste Weg aus diesem Dilemma ist die konsequentere Umsetzung von Sicherheitsrichtlinien, welche mittels einfachen Lösungen gewährleistet werden können. Die Angst, dass die Flexibilität behindert wird, ist beim näheren Betrachten möglicher Unglücksszenarien nach Datendiebstählen nahezu hinfällig. Die Flexibilität teilweise einzuschränken, stellt sich als eigentliche Voraussetzung heraus, die IT langfristig überhaupt handlungs­fähig zu halten. Klare Regeln mit möglichst wenigen Ausnahmen lassen sich mittels IT-Lösungen einfach umsetzen, kostengünstig unterhalten und bleiben überschaubar und damit sicherer. Wichtig ist, Gefahren zu erkennen, um sein Unternehmen, wie mit einem Sicherheitsgurt, unkompliziert und anwenderfreundlich zu schützen.

Wie erwähnt, können Anwenderwünsche ungemein vielfältig sein. Jeder beansprucht für sein Anliegen die erwünschte, umfangreiche Flexibilität und begründet dies mit der damit einhergehenden Kosteneffizienz und Marktkonformität. Sämtliche Anwenderwünsche umzusetzen bedeutet jedoch einen enorm hohen Aufwand für IT-Abteilungen, was zu stattlichen Kosten führen wird. Die Kosteneffizienz wäre somit wieder stark infrage gestellt.

Nachstehend ein kurzes Beispiel zu den unterschiedlichen Blickwinkeln beim Themenfeld Datensicherheit:

Anforderung aus Sicht der IT-Datensicherheit

Daten, welche das Haus auf einem USB-Stick verlassen, müssen grundsätzlich verschlüsselt auf dieses Medium gespeichert werden.

Anforderung aus Sicht des Anwenders

Er braucht für seine tägliche Arbeit die Möglichkeit, Daten auch unverschlüsselt auf einen USB-Stick abzuspeichern, damit er diesen seinem Kunden nach der Präsentation übergeben kann.

Generelle kritische Hinterfragung

Werden wirklich so viele USB-Sticks den Kunden übergeben? Macht es nicht mehr Sinn, wenn man dem Kunden die Informationen nach dem Besuch beispielsweise per E-Mail oder per Post zusendet und sich hierbei gleich nochmals für den Termin bedankt?

Die möglichen Lösungen

Es könnte eine komplexe Lösung implementiert werden, bei welcher unterschiedliche Ausnahmen je nach Benutzer sowie Art der Daten definiert werden können. Hierfür müssen vorab sämtlichen Mitarbeitenden klare Berechtigungsprofile zugeteilt sowie sämtliche Daten in Sicherheitsstufen klassiert werden. Somit ist es möglich, dass einzelne Anwender für spezifische, unkritische Daten (zum Beispiel eine Verkaufspräsentation) das Abspeichern auf einem USB-Stick in unverschlüsselter Form vornehmen.

Die andere Möglichkeit wäre eine einfache Lösung, bei welcher Sicherheit ohne vorherige Datenklassifizierung sowie Zuteilung von Berechtigungsprofilen u.v.m. gewährleistet werden kann. Für den Markt bedeutet diese Variante jedoch einen neuen Weg zu beschreiten, welcher teilweise eine Änderung von Gewohntem darstellt.

Zum Vergleich mit dem Sicherheitsgurt; früher gab es keinen, dann musste jedes Auto einen in der Frontreihe haben, später wurde dort das Anlegen Pflicht, dann kam der Fond dazu und dort herrscht inzwischen in den meisten Ländern auch Anschnallpflicht. Dies war auch mit einer Änderung der Gewohnheiten und den entsprechenden Vorbehalten verbunden.

Fehlende Verantwortung

Bei der oben beschriebenen Situation handelt es sich lediglich um die vereinfachte Darstellung eines alltäglichen Prozesses. Mittlerweile findet man in der Praxis mehrere Wege und Möglichkeiten, um zu einem sicheren Ziel zu gelangen. Vorteile von einfachen Lösungen: Der Mitarbeiter müsste zwar seine Arbeitsabläufe geringfügig umstellen, dafür wäre jedoch die Aufgabenstellung der IT-Abteilung um ein Vielfaches einfacher und die Datensicherheit könnte drastisch gesteigert werden.

Leider fehlt oftmals die Bereitschaft für solche «Eingriffe» in die Geschäftsprozesse und es ist niemand bereit, dafür die Verantwortung zu übernehmen. Das Ziel, den eigenen Stuhl zu behalten oder gar den nächsthöheren zu erreichen, scheint eine zu grosse Hemmschwelle darzustellen. Anscheinend ist es bequemer, die IT-Lösungen den Wünschen der Mitarbeiter anzupassen und dafür mit all den Nachteilen zu leben, welche mit dieser Entscheidung für ein Unternehmen einhergehen. Meist wird dabei aber vergessen, dass Firmendaten in den Händen Dritter oftmals verheerende Folgen haben.

Unternehmen haben auf jeden Fall die Wahl, welche Sicherheitslösung sie möchten. Komplexe Systeme zu implementieren, welche volle Anpassungsfähigkeit für bestehende Geschäftsprozesse versprechen, erhalten oft gros­sen Zuspruch. Die praktische Umsetzung ist dann allerdings meist nicht mehr ganz so einfach, wie sie zuvor dargestellt wurde. Denn je anpassungsfähiger die Lösung, desto komplexer und damit umso grösser die Gefahr, dass bei der Umsetzung Fehler entstehen. Man schafft sich weitere Sicherheitslücken, ohne dass man sich deren bewusst ist. Ebenso steigt meist noch der administrative Unterhalt, den man weder einkalkuliert noch die dafür notwendigen personellen Ressourcen hat. Gerade bei Klein- und Mittelbetrieben ist dies ein entscheidender Faktor. Es ist deshalb nicht verwunderlich, dass in der Praxis derartige Projekte oft nicht komplett umgesetzt oder die Lösungen nach einiger Zeit wieder ausgeschaltet werden, da sie den eigentlich verfolgten Zweck doch nicht oder nur bedingt erfüllen.

Umdenken ist notwendig

Geschäftsleitungen müssen sich den Folgen ihrer Entscheidungen bewusst werden: Nur mit einfachen Lösungen, welche unter Umständen eine gewisse Einschränkung in der Flexibilität mit sich bringen, können auf längere Sicht die Informationssicherheit und damit das Kapital der Unternehmen gesichert werden. Die Sicherheit zu erhöhen und dafür Einschränkungen zu akzeptieren, scheint ein guter Tausch zu sein. Oder gibt es wirklich triftige Gründe, weshalb Organisationen die Benutzung von Web-Mail, Instant Messaging etc. zulassen sollen, obwohl man weiss, dass damit ein Risiko zum Verlust von sensitiven Daten entsteht?

Zusammengefasst sollten sich Unternehmen jedenfalls auf die Suche nach der für sie geeigneten Sicherheitsvariante begeben. Wie schon zuvor definiert, gibt es einerseits die am Markt verankerten, handelsüblichen Lösungen, die eine vorherige Datenklassifizierung benötigen, damit das System effektiv sein kann. Dadurch können hohe Kosten entstehen. Auf der anderen Seite gibt es die Möglichkeit einer neuen Sicherheitsvariante, welche aufgrund ihrer Kostenfreundlichkeit gerade für Klein- und Mittelbetriebe interessant sein kann. Mithilfe eines innovativen Ansatzes wird ohne grossen Aufwand, vorherige Datenklassifizierung, zusätzliche Passwörter oder aufwendiges Key Management gearbeitet, womit sich die Anschaffungs- sowie die Unterhaltskosten enorm verringern. Voraussetzung hierbei ist, dass Unternehmen ihren Mitarbeitenden nicht jede erdenkliche Freiheit, wie etwa Kommunikationskanäle aus dem World Wide Web, zugänglich machen dürfen.