Cyber-Ark gibt zehn Tipps zum Schutz vor Datenpannen

Unternehmen haben in den letzten Jahren viel Geld in IT-Security-Software investiert – angefangen von Antivirensoftware über Spamfilter bis zum Schutz vor Trojanern. Das alles ist notwendig, reicht aber nicht aus. Denn heute drohen die weit größeren Gefahren nicht von außen, sondern von innen. In wirtschaftlich turbulenten Zeiten haben Datenklau und Industriespionage Hochkonjunktur. Mitarbeiter, denen etwa gekündigt wurde, lassen nicht selten vertrauliche Daten mitgehen. Eine weitere Sicherheitslücke: Viele haben auch nach Ende des Arbeitsverhältnisses mit ihren Passwörtern immer noch Zugang zu internen Daten – kein Wunder, dass sensible Informationen die Unternehmen dann ungehindert verlassen können.

„Durch die ständig steigende Zahl von Datenskandalen sind Öffentlichkeit und Unternehmen für die Risiken des Datenmissbrauchs von innen sensibilisiert“, erklärt Jochen Koehler, Deutschland-Chef von Cyber-Ark. „Der erste Schritt ist getan, die Gefahr ist erkannt. Nun muss der zweite folgen: die Risiken minimieren. Um Sicherheitslücken zu schließen, müssen Unternehmen mehr tun als bislang.“

Die zehn Tipps von Cyber-Ark zum Schutz vor Datenpannen auf einen Blick:

1. Es muss eine unternehmensweite IT-Sicherheitsstrategie entwickelt, festgelegt und umgesetzt werden. Sie umfasst Regeln für Mitarbeiter, Geschäftsprozesse und den Einsatz von Technologien.

2. Unternehmen müssen die vorhandenen Datenbestände in Sicherheitsklassen einordnen: geheim, vertraulich, intern, öffentlich. Aus dieser Kategorisierung leiten sich die organisatorischen und technischen IT-Sicherheitsmaßnahmen ab. Je sensibler die Daten, desto strenger die Sicherheitsvorkehrungen.

3. Abgeleitet aus den Sicherheitsklassen werden verschiedene Sicherheitsstufen zur Speicherung von Daten festgelegt. Die geheimen und vertraulichen Daten werden in einem „virtuellen Tresorraum“ (Digital Vault) abgelegt. Dabei handelt es sich um einen speziellen Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet.

4. Für jeden Mitarbeiter im Unternehmen gibt es eindeutige Regeln, die festlegen, wer welche Daten lesen, ändern und auf welchen Kommunikationswegen übermitteln darf. Damit sinkt das Risiko, dass vertrauliche Informationen das Unternehmen unkontrolliert verlassen können.

5. Alle unternehmenskritischen Systeme, Applikationen und Datenbanken werden identifiziert, einschließlich der vorhandenen Zugänge von Administratoren. Ferner ist zu ermitteln, wer aktuell Zugang zu Passwörtern von privilegierten Benutzerkonten hat und tatsächlich Zugang haben sollte.

6. Es muss ein umfassendes Passwortmanagement eingeführt werden. Dazu gehört eine Lösung, mit der privilegierte Accounts automatisch verwaltet und regelmäßig geändert werden. Die Passwortnutzung wird revisionssicher protokolliert. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat.

7. Das gesamte Passwortmanagement muss zentral administriert und überwacht werden. Mögliche Sicherheitslücken durch Insellösungen, die in der Vergangenheit installiert wurden, werden damit geschlossen.

8. Die im Unternehmen auf Servern und Storagesystemen jeder Art gespeicherten Daten müssen verschlüsselt sein. Durch die automatische Verschlüsselung sind vertrauliche Informationen zu jedem Zeitpunkt vor unautorisiertem Zugriff sicher. Allerdings nur dann, wenn gleichzeitig umfassende Security-Maßnahmen im Bereich der privilegierten Benutzerkonten getroffen werden.

9. Sämtliche vertraulichen Daten, die das Unternehmen beispielsweise per E-Mail oder als Attachment verlassen, müssen verschlüsselt sein. Damit ist gewährleistet, dass auch eine aus Versehen an den falschen Adressaten verschickte E-Mail verschlüsselt ist und sensible Daten vor unautorisiertem Zugriff sicher bleiben.

10. Überall dort, wo es auf besonders hohe Sicherheit ankommt, müssen ergänzend Verfahren und Techniken zur physischen Zugangskontrolle für Rechenzentren eingerichtet werden. Beispiele dafür sind Smartcards, Fingerprint-Reader, biometrische Erkennungsverfahren, Tokens und die Videoüberwachung.

Diese Presseinformation kann unter www.pr-com.de abgerufen werden.