11. Juni 2018 | pArtikel drucken | kKommentieren

„Nur datenbasierte Sicherheit schützt heute vor Datenklau“

Trotz Firewalls oder Zertifikaten gelingt es Cyberkriminellen immer wieder, sich Zugang zu sensiblen Daten von Unternehmen zu verschaffen. Wie kleine und mittelständische Unternehmen moderne Verschlüsselungstechnologie nutzen können, um Datendiebstahl nach außen und innen einen Riegel vorzuschieben, erklärt Mario Krukow, Senior Cybersecurity Architect bei All for One Steeb.

 

 

 

 

 


Herr Krukow, vielen Dank, dass Sie für Mittelstand.heute einmal speziell die Möglichkeiten für KMU’s zeigen, wie sie die Kontrolle über ihre Daten behalten können. Datendiebe machen auch vor kleinen und mittelständischen Unternehmen nicht mehr Halt, am Thema Datenschutz kommt daher niemand mehr vorbei. Wie lässt sich die Datenhoheit am effizientesten wahren, auch unternehmensintern? Nehmen wir einen Worst Case als Beispiel: Ein Ex-Vertriebler geht mit geheimen Dokumenten hausieren, etwa mit den Finanzzahlen der letzten zwei Monate oder anderen Excel-Dateien.

Beim Thema Cyberkriminalität müssen wir im Kopf davon wegkommen, Mauern um ein Unternehmen herum hochzuziehen mit Firewalls, einer verschlüsselten Dateiablage oder Extra-Authentifizierungen für Zugänge. Das ist gut und schön, aber letztlich entspricht dies lediglich einem „Perimeterschutz“. Als Unternehmer haben Sie damit heute keine Kontrolle über Ihre Daten. Die IT-Welt hat sich geändert. Im Zeitalter von mobilem Arbeiten und Cloud-Technologie ist es nicht so, dass Daten sicher sind, solange sie On-Premise im Unternehmen liegen. Verlässliche Sicherheit gibt es heute nur noch durch den direkten Schutz einzelner Daten, das heißt auf Basis einer sogenannten Information-Centric Protection.

Datenverschlüsselung ist heutzutage das A und O (Quelle: iStock/Sitthiphong).

Diese beinhaltet die Klassifizierung der Daten und ihre dementsprechende, automatisierte Verschlüsselung. Wären die Dateien in Ihrem Beispiel als „vertraulich“ oder „hochvertraulich“ klassifiziert worden, würde die Excel-Tabelle dem Ex-Vertriebler nichts nützen, weil er sie gar nicht mehr öffnen kann. Sobald er aus dem Unternehmen ausscheidet, verliert er durch die Sperrung seines Benutzerkontos automatisch den Zugriff und die damit verbundene Berechtigung, mit firmeninternen Daten zu arbeiten.

 


Ist diese Art der Verschlüsselung bei der heutigen Datenflut nicht aufwändig? Wie können KMU’s das in der Praxis umsetzen?

Information-Centric Protection & Encryption läuft im Wesentlichen automatisch. Für hybride Systemlandschaften gibt es die Microsoft Cloud-Lösung Azure Information Protection, AIP. Dort stehen vorgefertigte Templates bereit, mit denen Informationen sowohl in der Cloud als auch in meinem System gescannt werden können. Nach jeweilig spezifischen Regeln wird automatisch gefiltert, ob schützenswerte Daten enthalten sind. Dazu gehören zum Beispiel Finanz- oder Personaldaten, Kreditkartennummern, Account-Informationen oder medizinische Angaben. Außerdem werden dementsprechende Klassifizierungsklassen vorgeschlagen. Wenn man den automatischen Scan einführt, läuft all dies unauffällig im Hintergrund. Das bedeutet, für den Anwender ändert sich nichts. Er kann allerdings die Klassifizierung eigenständig festlegen.


Exklusive Roadshow: Am 12. und 19. Juli zeigen die Security-Experten von All for One Steeb, wie auch Sie Ihr Unternehmen effektiv gegen Datendiebstahl schützen können.

Hier erhalten Sie Ihr kostenloses Ticket


Was passiert beim Export von Daten aus SAP zu Microsoft?

Hierfür gibt es die Lösung „HALOCORE“ von Secude. Wenn man diese integriert, werden Klassifizierungs- und Verschlüsselungsinformationen für SAP Datenexporte aus Azure Information Protection von Microsoft geladen. Diese werden direkt in das Dokument integriert und der SAP Anwender erhält das fertig klassifizierte, geschützte Dokument aus SAP – etwa als Excel – oder PowerPoint Datei. Das System im Hintergrund kann auch hier automatisch entscheiden, ob ein Dokument schützenswert ist. Alternativ entscheidet der Anwender dies selbst per Mausklick, zum Beispiel auf den Button „vertraulich“ oder „hochvertraulich“. Daneben lassen sich auch noch weitere Regeln in Azure Information Protection implementieren, die wir bei den Kunden je nach deren speziellem Bedarf definieren.

 

 

Wie funktioniert der Schutz von E-Mails mit Azure Information Protection?

Durch die Klassifizierung mit Azure Information Protection wird die gesamte E-Mail-Kommunikation geschützt, einmal innerhalb des Unternehmens, aber auch gegenüber Partnern, die Office 365 haben sowie Partnern, die Office 365 noch nicht installiert haben. Das können durchaus auch kleine Unternehmen sein, die keine eigene E-Mail Domäne haben, sondern zum Beispiel Gmail nutzen. Auch der Schutz dieser Consumer- Mails ist durchaus möglich als „Secure E-Mail to anyone“. Der Anwender merkt davon nicht unbedingt etwas.

Mobile Sicherheit hinkt hinterher.

Durch die Klassifizierung mit Azure Information Protection wird die gesamte E-Mail-Kommunikation geschützt (Quelle: iStock/Warchi).

Denn wenn die E-Mail zwar verschlüsselt worden ist, er diese aber problemlos lesen kann, macht es aus der Client-Perspektive für ihn gar keinen Unterschied. Er kann ganz normal damit arbeiten, egal, ob er diese geschützten E-Mails in Outlook öffnet, auf dem Smartphone oder per E-Mail Webzugriff. Wenn er antwortet, bleibt die Verschlüsselung integriert und läuft im Hintergrund, dadurch wird der Schutz der Mailkommunikation komplett aufrechterhalten.

Viele Kunden haben das Problem, dass sie E-Mails mit S/MIME oder PGP verschlüsseln. Das ist relativ kompliziert einzurichten und vor allem ist das Zertifikatshandling sehr aufwändig. Bei AIP fällt das weg, man kann E-Mails so sichern, dass nur der dafür bestimmte Empfänger sie öffnen kann. Der Austausch von Zertifikaten und Schlüsselmaterial entfällt somit und dadurch wird die Benutzerakzeptanz für die Nutzung verschlüsselter E-Mails deutlich erhöht.

Ist das eine End-to-End-Verschlüsselung oder eine Sonderform?

Sie können fast sagen AIP ermöglicht eine „Anwender-zu-Anwender Verschlüsselung“. In der Praxis bedeutet das zum Beispiel, die Schutzklasse kann in einem Vorstand- oder Management-Bereich so bereitgestellt werden, dass noch nicht einmal der Assistent die betreffende E-Mail öffnen kann. Mit S/MIME können Sie so einen UseCase schlecht oder gar nicht umsetzen. Wenn Sie Einblick in ein Postfach haben, können Sie auch alle E-Mails lesen. Mit AIP hingegen können Sie eine Schutzklasse festlegen, mit der ausschließlich das Management die E-Mail lesen darf. Dann ist es für andere unmöglich sie zu lesen. Dies ist ein Anwendungsfall, den wir schon öfter umgesetzt haben. Das ist die schöne Leichtigkeit beim Verschlüsseln von Informationen AIP, vor allen Dingen im Bereich von E-Mail-Kommunikation. Viele unserer Kunden beginnen den Cyber-Schutz mit der E-Mail Verschlüsselung in Exchange Online als Pilot-Projekt und gehen dann weiter in den Bereich der Klassifizierung.



 

Wer entwickelt die Klassifizierungsstufen in KMU‘s, die Fachabteilungen oder die IT?

Unserer Erfahrung nach kommt der Wunsch nach Klassifizierung eher aus den Fachabteilungen, zum Beispiel aus der Personal- oder Finanzabteilung. Das ist auch der sinnvollste Weg, denn die IT weiß nicht, wie die HR oder eine Finanzabteilung ihre Daten klassifiziert. Bestes Beispiel: die HR-Abteilungen, vor allem, wenn man auf das Thema DSGVO – oder international „GDPR“ schaut. Die HR-Abteilungen wissen genau, wo personenbezogene Daten sind und können ihre personenbezogenen Daten eingruppieren, klassifizieren und bestimmen, ob eine Information stark vertraulich, weniger vertraulich, nur für den internen Gebrauch oder sogar für die Öffentlichkeit geeignet ist. Wenn das Unternehmen schon über eine Datenklassifizierungsrichtlinie verfügt, lässt sich der Schutz sehr schnell umsetzen.

Was ist zu beachten bei der Entwicklung der Klassifizierungsrichtlinie?

In jedem Fall sollte man mit einfachen Hierarchien starten, nicht mit fünf oder zehn Labels und zig Unterklassifizierungen. Wenn der Kunde noch keinen konkreten Ansatz hat, begleiten wir ihn dabei. Wir haben auch dafür Templates, wie eine Richtlinie aussehen kann. Klar ist es nur ein Template, aber es muss ja immer noch vom Unternehmen abgesegnet werden, das heißt vom Datenschutz. Wir können aber Vorschläge machen, die auf einer Matrix basieren, die wir erstellt haben gemäß der Vertraulichkeitsstufe, die diese Daten bekommen sollten. Wenn der Kunde oder das Unternehmen damit einverstanden ist, können wir die Richtlinie schreiben und auch umsetzen. Um eine solche Richtlinie zu entwerfen starten wir in der Regel mit Klassifizierungs-Workshops für eine Fachabteilung.

Wieviel Zeit sollte man für den Roll-out einplanen?

Pauschal lässt sich das schwer sagen, da wir nicht wissen, ob der Kunde schon eine Datenklassifizierungsrichtlinie hat oder nicht. Bei einem einfachen Kunden mit einem einfachen Use Case kann man inklusive der Workshops schon innerhalb von fünf Tagen einen Piloten und den damit verbundenen Proof of Concept (PoC) starten. Danach kann der Kunde bereits mit Schutzmaßnahmen umgehen. Das Gute ist, dass man ein sogenanntes On-Boarding vornehmen kann, so dass noch nicht alle Anwender sofort damit arbeiten. Beim Aufbau des PoC stehen wir Kunden unterstützend zur Seite. Je nachdem, wie komplex die Strukturen beim Kunden sind, kann es etwas dauern, bis die Richtlinie entwickelt ist. Aber insgesamt kann man sagen, sobald die Klassifizierungsrichtlinie da ist, lässt sich Information-Centric Protection & Encryption im Unternehmen relativ schnell umsetzen und auf die Fachabteilungen adaptieren.


 

Falls auch Sie Ihr Unternehmen in Sachen IT-Sicherheit fit machen wollen, empfehlen wir von Mittelstand.Heute die exklusive Roadshow von All for One Steeb zum Thema Cybersecurity. Mehr Infos finden Sie hier. 

 

 

Quelle Titelbild: iStock/ Heiko119

Mittelstand.Heute Redaktion

Hier schreibt Mittelstand.Heute Redaktion für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf mittelstand-heute.com

Schreiben Sie einen Kommentar

Mit einem Netzwerk anmelden, oder das Formular ausfüllen. Die E-Mailadresse wird nicht veröffentlicht. Notwendige angaben sind mit * gekennzeichnet.