Symantec-Statement zum Datenverlust in Großbritannien
„Die Nachricht über den Verlust persönlicher Daten von rund 25 Millionen Bürgern in Großbritannien schlägt derzeit hohe Wellen. Die Diskussion über die politische Verantwortung überdeckt jedoch die eigentliche Problematik: Wie ist es möglich, dass ein Mitarbeiter eine solche Menge sensibler Daten auf zwei CDs brennen und dann per Kurier durch das Land schicken kann? Es darf als sicher gelten, dass die entsprechende Stelle über Richtlinien zur Datensicherheit verfügt. Jedoch zeigt der Vorfall, dass diese Maßnahmen offensichtlich nicht umfassend umgesetzt worden sind und ein übergeordnetes Konzept zur Datensicherheit nicht wirklich „gelebt“ wird. Das Argument, die Daten taugten nicht für kriminelle Aktivitäten, überzeugt in diesem Zusammenhang kaum – was wirklich schwer wiegt, ist der Vertrauensverlust als zwangsläufige Folge solcher Ereignisse. Handelte es sich in diesem Fall um ein Unternehmen, wären die Folgen katastrophal – erst recht, wenn auch der Kapitalmarkt davon betroffen wäre.
Tatsächlich erleben wir immer wieder, dass sich Unternehmen mit der Problematik möglicher Datenverluste an uns wenden. Dabei bestätigt sich, was aktuell auch in Großbritannien der Fall war: Die meisten Fälle von Datenverlust beruhen auf Umständen, die nur schwer vorherzusehen sind. Genau solche Faktoren sind jedoch keineswegs als höhere Gewalt, als Schicksalsschlag zu sehen, sondern können mithilfe wirksamer IT-Sicherheits-Richtlinien weitgehend ausgeschlossen werden. Das können sie aber nur dann, wenn sicher gestellt ist, dass die Richtlinien an jedem Punkt und von jedem Mitarbeiter konsequent beachtet werden. Wie aber kann dies gewährleistet werden – schließlich sind Richtlinien ja bereits verpflichtend formuliert?
In einigen Unternehmen hat sich die Einsicht durchgesetzt, dass es nicht reicht, den Mitarbeitern dieses und jenes Verhalten einfach vorzuschreiben. Vielmehr installieren diese Unternehmen technische Maßnahmen, die beispielsweise den Zugriff auf Anwendungen beziehungsweise bestimmte Vorgänge auf einen autorisierten Personenkreis beschränken. Mehr noch als ein Verbot können technische Lösungen im Rahmen einer ganzheitlichen Strategie für das IT-Risikomanagement die strikte Einhaltung der Sicherheitsrichtlinien gewährleisten. Nur so kann der Gefahr der Nicht-Beachtung durch Einzelne begegnet werden – ganz gleich, ob dies aus Nachlässigkeit oder böser Absicht geschieht.
Als weltweit führender Anbieter von Infrastruktur-Software, mit der wir Unternehmen dabei unterstützen, die Sicherheit und Verfügbarkeit ihrer Daten zu gewährleisten, haben wir bereits im Frühjahr 2007 im Rahmen einer Studie zu IT-Risiken, dem IT Risk Management Report, auf den immer noch stiefmütterlichen Umgang vieler Unternehmen mit IT Risiken hingewiesen. Und das, obwohl die Unternehmen mehrheitlich der Ansicht sind, sicherheitsrelevante Ereignisse oder Verstöße gegen Compliance-Richtlinien würden sich massiv auf ihre Geschäftstätigkeiten auswirken. Was können Unternehmen dagegen tun? Die Implementierung einer ganzheitlichen IT-Risikostrategie, wie sie in erwähntem Report beschrieben wird, ist hier die Lösung. Dies gilt für mittelständische Unternehmen genau so wie für Konzerne. Dazu gehören Faktoren wie die Priorisierung und Quantifizierung des Risikopotenzials, dazu gehört vor allem aber auch die kontinuierliche Überprüfung der Richtlinien-Wirksamkeit und -Einhaltung.
Ob eine solche Strategie einen Vorfall wie den in Großbritannien immer und überall verhindern kann, sei dahingestellt. Mit den entsprechenden Maßnahmen hätte im Zweifelsfall jedoch dafür gesorgt werden können, dass der Mitarbeiter entweder keinen Zugriff auf die Daten oder aber keine Möglichkeit gehabt hätte, sie ohne weiteres auf die CDs zu brennen.“
Tatsächlich erleben wir immer wieder, dass sich Unternehmen mit der Problematik möglicher Datenverluste an uns wenden. Dabei bestätigt sich, was aktuell auch in Großbritannien der Fall war: Die meisten Fälle von Datenverlust beruhen auf Umständen, die nur schwer vorherzusehen sind. Genau solche Faktoren sind jedoch keineswegs als höhere Gewalt, als Schicksalsschlag zu sehen, sondern können mithilfe wirksamer IT-Sicherheits-Richtlinien weitgehend ausgeschlossen werden. Das können sie aber nur dann, wenn sicher gestellt ist, dass die Richtlinien an jedem Punkt und von jedem Mitarbeiter konsequent beachtet werden. Wie aber kann dies gewährleistet werden – schließlich sind Richtlinien ja bereits verpflichtend formuliert?
In einigen Unternehmen hat sich die Einsicht durchgesetzt, dass es nicht reicht, den Mitarbeitern dieses und jenes Verhalten einfach vorzuschreiben. Vielmehr installieren diese Unternehmen technische Maßnahmen, die beispielsweise den Zugriff auf Anwendungen beziehungsweise bestimmte Vorgänge auf einen autorisierten Personenkreis beschränken. Mehr noch als ein Verbot können technische Lösungen im Rahmen einer ganzheitlichen Strategie für das IT-Risikomanagement die strikte Einhaltung der Sicherheitsrichtlinien gewährleisten. Nur so kann der Gefahr der Nicht-Beachtung durch Einzelne begegnet werden – ganz gleich, ob dies aus Nachlässigkeit oder böser Absicht geschieht.
Als weltweit führender Anbieter von Infrastruktur-Software, mit der wir Unternehmen dabei unterstützen, die Sicherheit und Verfügbarkeit ihrer Daten zu gewährleisten, haben wir bereits im Frühjahr 2007 im Rahmen einer Studie zu IT-Risiken, dem IT Risk Management Report, auf den immer noch stiefmütterlichen Umgang vieler Unternehmen mit IT Risiken hingewiesen. Und das, obwohl die Unternehmen mehrheitlich der Ansicht sind, sicherheitsrelevante Ereignisse oder Verstöße gegen Compliance-Richtlinien würden sich massiv auf ihre Geschäftstätigkeiten auswirken. Was können Unternehmen dagegen tun? Die Implementierung einer ganzheitlichen IT-Risikostrategie, wie sie in erwähntem Report beschrieben wird, ist hier die Lösung. Dies gilt für mittelständische Unternehmen genau so wie für Konzerne. Dazu gehören Faktoren wie die Priorisierung und Quantifizierung des Risikopotenzials, dazu gehört vor allem aber auch die kontinuierliche Überprüfung der Richtlinien-Wirksamkeit und -Einhaltung.
Ob eine solche Strategie einen Vorfall wie den in Großbritannien immer und überall verhindern kann, sei dahingestellt. Mit den entsprechenden Maßnahmen hätte im Zweifelsfall jedoch dafür gesorgt werden können, dass der Mitarbeiter entweder keinen Zugriff auf die Daten oder aber keine Möglichkeit gehabt hätte, sie ohne weiteres auf die CDs zu brennen.“