All About Security

DLP - Data Loss Prevention

InfoWatch veröffentlicht Studie zu Ursachen von Datenverlusten

Natalya Kaspersky

Stand der Technik beim Datenschutz teilweise den gesetzlichen Vorgaben voraus - Etwa 3 Millionen Personaldatensätze gehen durchschnittlich jeden Tag verloren. Dies ist die Bilanz einer kürzlich von InfoWatch veröffentlichen Studie.

Allein seit Beginn des Jahres war statistisch gesehen bereits jeder Mensch der westlichen Welt mindestens einmal von Datenmissbrauch betroffen.

Die Experten von InfoWatch pflegen hierzu seit 2004 eine umfangreiche Datenbank, in der alle Datenverluste festgehalten werden. Im aktuellen Bericht werden 382 Vorfälle von Datenverlust oder Datenmissbrauch allein für das erste Halbjahr 2010 dokumentiert.

Nicht alle Vorfälle sind jedoch auf gezielten Datendiebstahl zurückzuführen. Von 382 Vorfällen sind lediglich 169 Fälle mutwillig geschehen. Dies bedeutet jedoch auch, dass ein Großteil der Datenverluste unbeabsichtigt geschieht; in den vergangenen Jahren waren dies bis zu 75%. Der Hauptgrund für den unbeabsichtigten Datenverlust ist hierbei der Verlust von Datenträgern, wie USB-Sticks, Notebooks oder Mobiltelefonen, auf denen die Daten nicht verschlüsselt wurden. Auch ausgedruckte Informationen werden nach Gebrauch häufig nicht vernichtet, sondern einfach über das Altpapier entsorgt. Darüber hinaus sind es oft Bedienfehler, die zu dieser hohen Zahl von Datenverlusten beitragen, beispielsweise wenn Daten versehentlich ins falsche Verzeichnis kopiert oder in E-Mails versehentlich versandt werden.

Technische Lösungen sind vorhanden - jetzt ist der Gesetzgeber gefordert

Vielfach sind unbeabsichtigte Datenverluste vermeidbar. "Man muss kein Experte sein, um zu sehen, dass eine Vorschrift, sensible Daten zu verschlüsseln, schon viel erreichen würde. Auch eine DLP-Lösung, die Bedienfehler verhindern könnte, würde dazu beitragen, den Schutz von personellen Daten wesentlich zu verbessern", weiß Natalya Kaspersky, CEO von InfoWatch, zu berichten. Für Unternehmen lohnen sich solche Lösungen jedoch erst dann, wenn die durch den Datenverlust entstehenden Kosten höher sind als die einer professionellen Software-Lösung; vor allem, da die betroffenen Daten zumeist keine betriebsrelevanten Informationen enthalten, sondern oft 'nur' Personaldaten sind. "An dieser Stelle wäre nun eigentlich der Gesetzgeber gefordert. Der jedoch scheint das Problem selbst noch nicht realisiert zu haben", konstatiert Natalya Kaspersky überdies. Ganz im Gegenteil, 2010 wurden 16% aller Datenverluste von Regierungsbehörden gemeldet. Zählt man hier noch staatliche Bildungseinrichtungen hinzu, so würde sogar jeder vierte Vorfall von einer öffentlichen Stelle verursacht.

Datenschutz ist vor allem ein betriebsinternes Problem

Selbst wenn DLP-Lösungen Datenverluste in Bezug auf Bedienfehler wirksam bekämpfen, bleibt die Frage, was gegen kriminellen Datendiebstahl getan werden kann. Natalya Kaspersky gibt dazu zu bedenken: "Eine noch bessere Verschlüsselung und eine noch bessere Firewall sind sicher wirksam gegen Angriffe von Außen, jedoch ist es müßig, darüber zu diskutieren, solange die gesuchten Daten vielfach ausgedruckt im Altpapier landen. Ein DLP-System liefert zwar keinen Allround-Schutz, aber wenn mittels einer solchen Software verhindert werden kann, dass diese Daten kopiert, versandt oder gedruckt werden, dann ist dies sicher auch ein Schutz gegenüber vorsätzlichem Datenmissbrauch."

Der Verizon 2010 Data Breach Investigations Report gibt Natalya Kaspersky Recht. Während Verstöße von außen allmählich zurückgehen, sind es vor allem eigene Mitarbeiter, die immer öfter in den Fokus geraten. Hier offenbart sich ein zweiter Vorteil einer DLP-Lösung: Über den Schutz von sensiblen Daten hinaus kann intern auch nachverfolgt werden, wer wann und wo versucht hat, sensible Daten versehentlich oder absichtlich weiterzuleiten.

Um die Persönlichkeitsrechte der Mitarbeiter zu wahren sollte die Einsichtnahme in solche Nachverfolgungen allerdings nur über eine 2-Schlüssel-Variante erfolgen. Dabei kann der Sicherheitsverantwortliche nur zusammen mit beispielsweise dem Betriebsrat eine solche Einsicht bekommen.

Dunkelziffer bei Datenverlusten schwer bestimmbar

Viele Vorfälle bleiben jedoch unbekannt, so die InfoWatch-Studie weiter. Lediglich in den USA und in Großbritannien muss jeder Datenverlust gemeldet werden. Vergleicht man deren Zahlen mit den Statistiken in Deutschland, kann mit einiger Vorsicht eine Dunkelziffer von unbekannt gebliebenen Datenverlusten abgeleitet werden. Die Gefahr vor einem Imageverlust, der viele Unternehmen motivieren könnte, in teure Sicherheitslösungen zu investieren, ist folglich gering.

Fazit: entsprechende Technik vorhanden - gesetzliche Vorgaben fehlen

Ein großer Teil unbeabsichtigter Datenverluste könnte verhindert werden, wenn DLP-Systeme und Verschlüsselungen gesetzlich vorgeschrieben würden. Auch eine Meldepflicht für Vorfälle mit sensiblen Daten fördert die Bereitschaft der Unternehmen in Sicherheitslösungen zu investieren. Jedoch sind die Vorkehrungen des Gesetzgebers zum Schutz der Daten zumeist noch schlechter als die der freien Wirtschaft. Ergebnis ist, dass derzeit lediglich die Daten ausreichend geschützt werden, bei denen dies wirtschaftlich vertretbar ist.

 

InfoWatch
Tel.  0 421 24690120
Fax  0 421 24690115
eMail: sales at infowatch.com
web: www.infowatch.ru/de

 

 

Autor: Kolaric
Artikel versenden
Artikel drucken

All-About-Security Artikel bookmarken

Alle Fachartikel

© Copyright
All-About-Security.de 2006-2015.
Alle Rechte vorbehalten.

Service

Rubriken

Sonstiges

Webdesign & Typo3 Support
Powered by
Noris network AG