Kritische Merkmale für die Datensicherheit

Mit der Verlagerung von immer mehr Daten in die virtuelle Cloud oder dem Outsourcing von Serverinfrastrukturen an Drittanbieter verschärft sich die Frage nach der Sicherheit dieser Daten. Sicherheitsrisiken bestehen meistens an drei Quellen. Erstens beim Sender selbst, also vorwiegend im Unternehmen und bei dessen Mitarbeitenden. Zweitens am Standort der Datenspeicherung, also überwiegend in einem Rechenzentrum irgendwo auf der Welt. Und drittens bei der Übertragung der Daten von einem Standort zum anderen.

Mitarbeitende sensibilisieren

Innerhalb von Unternehmen sind zwei Faktoren für die Datensicherheit massgebend: die Technik und der Mensch. Vorab aber muss das Management eine hohe Sensibilität für das Thema aufweisen, damit die notwendigen Investitionen auf IT-Seite getätigt werden können. Denn nebst dem einwandfreien Funktionieren aller Systeme ist das Ziel der Technik, Drittpersonen den Zugang zu den Daten und zur IT-Infrastruktur zu verunmöglichen oder zumindest stark zu erschweren. Dabei kann zu verschiedenen Massnahmen gegriffen werden: Angefangen bei der physischen Sicherung der Räumlichkeiten und dem Zugang zum Serverraum nur für autorisierte Personen über eine funktionierende Firewall, allenfalls mehrstufig bis hin zu regelmässigen Sicherheitsupdates auf den Servern und den PCs. So kann eine Firma bereits sehr viele Risiken ausschliessen oder wenigstens eindämmen.

Der Faktor Mensch ist hingegen viel unberechenbarer, spielt aber eine zentrale Rolle. Denn viele bekannte Fälle von grös-seren Datenverlusten sind auf unsachgemässen Umgang mit diesen Daten zurückzuführen. Unachtsamkeit, Fahrlässigkeit, aber auch persönliche Frustsituation können dazu führen, dass wichtige Unternehmensdaten nicht mehr sicher sind oder gar Unberechtigten in die Hände fallen. Eine intakte Unternehmenskultur und eine hohe Sensibilisierung der Mitarbeitenden für das Thema Datensicherheit sind also Voraussetzung für ein hohes Mass an Datensicherheit im Unternehmen.

Sicherheit des Datacenters

Nutzen KMU ein Datacenter für ihre Daten, können sie in der Regel davon ausgehen, dass ein solcher Partner höchste Sicherheitsstandards bezüglich Zugang und Umgang mit den Daten umsetzt. Für ein Datacenter ist dies seine primäre Daseinsberechtigung. Ein Risiko besteht dennoch: der Standort des Datacenters. Steht es im Ausland, ist es damit eventuell anderen regulatorischen Rahmenbedingungen ausgesetzt als in der Schweiz; denn die Daten verlassen das Schweizer Rechtssystem. Ein KMU sollte also un­bedingt vorgängig abklären, welche regu­latorischen Rahmenbedingungen gelten, und ob seine Daten im Ausland gehostet werden können. Im Zweifelsfall lohnt es sich daher, auf ein Schweizer Datacenter zu setzen.

Lösungen für das Verschlüsseln

Häufig vergessen geht bei solchen Überlegungen die Sicherheit der Daten auf den Transportwegen. Werden zwei Firmenstandorte miteinander verbunden oder wird ein Unternehmen an ein Datacenter angeschlossen, müssen Daten übertragen werden; über Kupferkabel oder Glasfasern. Um einen möglichst sicheren Datentransport zu garantieren, gibt es verschiedene Möglichkeiten. Eine der üblichen Methoden ist die Verschlüsselung der Daten.

Die Lösungen reichen von einfachen VPN-Verbindungen bis hin zu Punkt-zu-Punkt-Verschlüsselungen direkt auf der Infrastrukturebene. Letzteres ist die klar teurere Variante, die dafür allerhöchsten Ansprüchen genügt und beispielsweise häufig von Banken oder Versicherungsgesellschaften eingesetzt wird. Sie haben den Vorteil, nur sehr geringe Latenzzeiten mit sich zu bringen. Die Verzögerung der Datenübertragung befindet sich im Mikrosekundenbereich und ist somit quasi vernachlässigbar. Bei den meisten KMU reichen jedoch herkömmliche VPN-Verbindungen aus, da minime Verzögerungen bei der Datenübertragung in Kauf genommen werden können.

Doch gerade beim Thema Verschlüsselung stellt sich die Frage, welche Daten überhaupt rigoros geschützt werden sollen und müssen. Ein Grossteil der übertragenen Daten sind schon nach kurzer Zeit uninteressant für Drittpersonen oder sie sind grundsätzlich nicht kritisch. Aus diesem Grund sollte sich jedes Unternehmen genau überlegen, welche Daten tatsächlich geschützt werden müssen. Oftmals noch viel wichtiger ist daher der unterbruchsfreie Zugriff von überall her auf die Unternehmensdaten. Einerseits muss eine störungsfreie, schnelle Verbindung ins Internet bestehen. Andererseits müssen die Daten zwischen verschiedenen Unternehmensstandorten oder vom Unternehmen zum Datacenter schnell und störungsfrei hin- und hergeschickt werden können.

Netzunterbrüche mit Folgen

Oft geht vergessen, dass Unterbrüche in den meisten Fällen zu massiven betrieblichen Einschränkungen führen. Es kann zum Beispiel zu einer Beschädigung der Kabel- oder Glasfaserleitung kommen, wenn Bauarbeiten im Gang sind oder Arbeiten am Netz durchgeführt werden. Der Wahl des richtigen Telekomanbieters kommt also eine wichtige Rolle zu. Wiederum gilt es dabei verschiedene Aspekte zu beachten. Angefangen bei den Rohranlagen, in denen die Kabel liegen, über die exakte Dokumentation der Netze und im Falle von Glasfasern der einzelnen Fasern bis hin zu Support-Leistungen im Störungsfall.

Ein erstes kritisches Merkmal betrifft also die Lage der Rohranlagen. Bei Elektrizitätswerken werden die Glasfasern in der Regel in bestehenden Rohrkörpern geführt, was eine deutlich höhere Sicherheit gewährleistet. Der Grund dafür ist, dass diese tiefer im Boden liegen und daher schwerer zugänglich, und so auch vor Naturkatastrophen besser geschützt sind. Zudem sind Baufirmen bei Stromleitungen besonders achtsam, was ebenfalls zu weniger Beschädigungen führt. Diese Methode ist zwar kostenintensiver, bringt jedoch den enormen Vorteil mit sich, dass die Verbindungen sehr zuverlässig sind und die höchstmögliche Verfügbarkeit garantieren. Im Gegensatz zu den Elektrizitätswerken liegen die Kabel und Glasfaserleitungen bei reinen Telekomanbietern deutlich weniger tief im Boden.

Ebenfalls wichtig sind die Zuverlässigkeit des Partners bezüglich transparenter Dokumentation des Netzes sowie die Schulung der Mitarbeitenden. Eine lückenlose Dokumentation aller Leitungen bis hin zu den einzelnen Glasfasern ist Teil dieser Leistung. Denn nur so ist es möglich, alle Datenübertragungswege jederzeit nachvollziehen zu können und somit sicherzustellen, dass bei späteren Anpassungen im Netz keine unnötigen Service-Unterbrüche wegen Fehlern passieren.

Im besten Fall ist ein solches Telekommunikationsnetz sogar so aufgebaut, dass es georedundante Verbindungen ermöglicht. Das heisst, dass zwei komplett voneinander unabhängige Leitungswege direkt vom Unternehmen in ein Rechenzentrum oder zu einem zweiten Unternehmens­standort geführt werden können. Diese sind geografisch voneinander getrennt und dürfen sich in keinem Fall kreuzen. Ist eine Leitung defekt, können die Daten immer noch über die zweite Leitung geführt werden.

Datensicherheit als HR-Aufgabe

Aus all diesen Gründen sind Glasfasernetze heute bezüglich Sicherheit bei der Datenübertragung die beste Wahl, auch weil es deutlich schwieriger ist, Daten aus Glasfasern herauszulesen als aus anderen Netzarten. Doch auch die beste Infrastruktur nützt nichts, wenn bei einem KMU die eigenen Prozesse und vor allem die Unternehmenskultur nicht intakt sind. Denn Datensicherheit ist neben einer IT-Aufgabe vor allem auch eine HR-Aufgabe.