ICT & Technik

Anwenderbeispiel: IT-Security

Risiken von Datendiebstahl und Industriespionage verringern

01.03.2014
Unternehmen müssen ihre vertraulichen Daten aus der Konstruktion und Entwicklung so schützen, dass sie nicht unkontrolliert das Unternehmen verlassen können. Wie ein mittelständisches Unternehmen eine integrierte Data-Loss-Prevention-Lösung nutzt, die Web-, E-Mail- und Datensicherheit kombiniert, zeigt folgender Beitrag.
PDF Kaufen

Ob Dienstleister oder Maschinenbauer, jedes Unternehmen produziert täglich Daten, die den Betriebsablauf in Gang halten. Viele davon sind öffentlich zugänglich, manche nur für den internen Gebrauch bestimmt und ein Teil erfordert einen hohen Schutz. In einem Fertigungsunternehmen sind dies auf jeden Fall die Konstruktions- und Entwicklungszeichnungen sowie die damit verbundene Dokumentation. Zusammen gelten sie als die Kronjuwelen eines Betriebes.

Ungewollter Datenfluss

Gerade bei mittelständischen, international tätigen Produktionsunternehmen sind die Produktdetails zunehmend Ziel von Hackern und Industriespionage. Die Gefahren von aussen bilden aber nur die eine Seite der Medaille. Übersehen werden oft die Gefahren innerhalb eines Unternehmens, wenn hochsensible Informationen ungewollt die Firma verlassen. Da muss nicht einmal böse Absicht dahinterstecken. Es genügt schon, wenn sich ein Mitarbeiter bei einer E-Mail-Adresse vertippt und schon gelangen die angehängten Pläne für den Prototyp eines neuen Produktes in die falschen Hände.

Um den ungewollten Datenabfluss zu verhindern, nutzt Efaflex, ein deutscher Spezialist für Tor- und Sicherheitssysteme mit Tochtergesellschaften unter anderen in der Schweiz und Österreich, eine Data-Loss-Prevention (DLP)-Lösung. Sie erkennt und verhindert die nicht-autorisierte Weitergabe vertraulicher Doku­mente und Konstruktionspläne und sorgt so für eine höhere Datensicherheit.

Datenlecks abdichten

Unternehmen aus dem produzierenden Gewerbe benötigen wirksame Regeln und Verfahren, um ihr geistiges Eigentum und das Know-how zu schützen. Seit einigen Jahren bereits hat Efaflex umfangrei­che Massnahmen in Form technischer Schutzsysteme wie eine Firewall, Antivirensoftware oder Spamfilter implementiert, um sich vor Hackerangriffen auf das Firmennetz zu schützen und überprüft die Wirksamkeit auch in regelmässigen Abständen. «Wir arbeiten dabei mit einem auf IT-Compliance spezialisierten Partner zusammen, der unsere Systeme testet», berichtet Karl Weinberger, IT-Leiter bei Efaflex. «Gegen Angriffe von aus­sen sind wir sehr gut gewappnet.»

Der Geschäftsleitung von Efaflex war es jedoch bewusst, dass auch gegen eine unkontrollierte und völlig unbeabsichtigte Wei­terleitung vertraulicher Daten etwas unternommen werden muss. Diese Gefahren und Risiken galt es künftig einzudämmen, sowie potenzielle Datenlecks zu ermitteln und diese effizient zu überwachen.

Bei der Suche nach der passenden technischen Lösung erwies sich besonders das Know-how des auf IT-Compliance speziali­sierten Unternehmens Bösling, Zeh und Par­tner (BZP) aus Schifferstadt als hilfreich.

Das Unternehmen verfügt über Erfahrungen in den Bereichen IT-Risiko­analyse und IT-Risikomanagement so­wie Datenschutz und Sicherheitsberatung. Als technische Plattform empfahl BZP die Einführung von «Websense Triton En­terprise». «Websense Triton» kombiniert alle wichtigen Komponenten zur Gefahrenabwehr und dem Schutz vor Datenverlust in einer ganzheitlichen, konsis­tenten Content-Security-Lösung. Dazu zählen Web- und E-Mail-Security sowie Data Loss Prevention. Diese Lösung zielt darauf ab, vor heimtückischen Bedrohungen und Datendiebstahl zu schützen – unabhängig davon, ob sie von aussen oder von innen ausgehen.

Sicherheitsregeln festlegen

Im Anschluss an die Grundsatzentscheidung installierte die IT-Abteilung von Efaflex zusammen mit den Spezialisten für IT-Sicherheit von BZP die Websense-Lösung und führte einen «Proof of Concept» durch. Hier ging es unter anderem darum, zu überprüfen, ob die Appliance generell den hohen Sicherheitsanforderungen des Fertigungsunternehmens gewachsen ist. Dass dem tatsächlich so ist, stellte sich schon bald heraus.

Besonders schützenswert bei der Firma Efaflex sind insbesondere die Konstruktionszeichnungen, denn in diesen Daten steckt die gesamte kreative Ingenieurskunst des Technologieführers von hoch entwickelten Toranlagen. Das Projektteam ermittelte in einem ersten Schritt per Software, welche der CAD-Files, inklusive Dokumentation, vorhanden sind, wo diese gespeichert sind und ordnete die schützenswerten Daten einzelnen verschiedener Sicherheitsklassen zu. Nur so lässt sich schliesslich feststellen, was unbedingt schützenswert ist, denn nicht alle Daten müssen sich in einer hohen oder sehr hohen Sicherheitsstufe befinden.

Die Files zu lokalisieren und zu analysieren, kann weitgehend automatisiert erfolgen. Wenn es darum geht, sie zu klassifizieren, ist neben dem technischen vor allem auch das fachliche Wissen gefragt. Letztlich ist festzulegen, wer welche Daten in welchen Geschäftsprozessen lesen oder ändern darf. Und vor allem muss definiert werden, wer welche Daten über welche Kanäle (E-Mail-Anhang, DVD oder anderes Speichermedium) an wen versenden darf. Dazu entwickelte das Projektteam ein neues Berechtigungskonzept und ergänzend dazu eine neue Richtlinie zur Ablage vertraulicher Daten. Als weitere Auswirkung zeigte sich darüber hinaus, dass es notwendig war, die Geschäftsprozesse, in denen diese Daten genutzt werden, neu zu gestalten.

«Einer der wichtigsten Punkte bei der Einführung einer DLP-Lösung (Data Loss Prevention) ist die frühzeitige Information der Mitarbeiterinnen und Mitarbeiter», erläutert Wein­berger. «Es kann nicht oft genug betont werden, dass es nicht darum geht, das Verhalten von einzelnen Mit­arbeitenden zu analysieren, sondern darum, das geistige Eigentum des Unter­nehmens bestmöglich zu schützen. Ohne die Akzeptanz der Anwender und ohne die Information des Betriebsrats lässt sich eine DLP-Lösung nicht erfolgreich einführen.»

Risiken überwachen

Nachdem in einer ersten Phase die Regeln und das Vorgehen unter allen Beteiligten abgestimmt waren, nutzten die Mitarbeiter die Lösung im Alltag. Das Projektteam wertete die Erfahrungen über einen Zeitraum von rund sechs Monaten aus und nahm auch Feinjustierungen vor. Seit September 2013 arbeitet die Lösung nun im Produktivbetrieb.

Aktiv wird die DLP-Lösung dann, wenn ein Mitarbeiter Konstruktions- oder Entwicklungsdaten an einen Partner, Lieferanten oder Kunden per Mail versenden oder auf ein externes Speichermedium kopieren will. Die Grundlage dafür bildet eine Datenbank mit «digitalen Fingerabdrücken» aller als vertraulich klassifizierten Daten. Die Softwarelösung analysiert den «digitalen Fingerabdruck» der Daten, die das Unternehmen verlassen sollen und vergleicht ihn mit dem gespeicherten Wert. Liegt kein Verstoss gegen die Sicherheitsregeln vor, kann der Mitarbeiter die Daten versenden.

Sehen die IT-Mitarbeiter in ihrer zentralen Managementkonsole, mit der sie die DLP-Lösung überwachen, dass es eine Warnung gibt, verständigen sie den fachlichen Vorgesetzten des Mitarbeiters. Meist lässt sich schnell feststellen, ob möglicherweise ein falscher Alarm vorliegt oder der Vorgesetzte zusammen mit der IT mit dem Mitarbeiter den Sachverhalt in einem Gespräch klären muss.

«Die integrierte Data-Loss-Prevention-Lösung kombiniert Web-, E-Mail- und Datensicherheit. Ausserdem sorgt sie für eine wirksame Überwachung und Kontrolle unserer anspruchsvollen Sicherheitsanforderungen. Vertrauliche Daten aus der Konstruktion und der Entwicklung sind bestmöglich abgesichert», sagt Karl Weinberger.