Data Loss Prevention, der Schutz vor dem Abfluss vertraulicher Daten, ist keine rein technische Angelegenheit. Ohne Einbezug der Mitarbeitenden funktioniert es nicht. Diese Ansätze versprechen Erfolg.
Text: Andreas Heer, 18. Juni 2019, aktualisiert am 13.02.2024
Ein Datenverlust ist schnell passiert: In der Eile den falschen Empfänger im Mail ausgewählt, und schon ist die vertrauliche Produktepräsentation draussen. Oder geschäftliche Daten im Cloud-Speicher werden mit der gesamten Aussenwelt geteilt. Dazu kommen Cyberkriminelle, die mittels Social-Engineering und Phishing versuchen, an Zugangsdaten für geschäftliche Informationen zu gelangen.
Der Schutz vertraulicher Firmendaten ist eine ebenso wichtige wie vielschichtige Angelegenheit, wie diese Beispiele zeigen. Data Loss Prevention (DLP) oder Data Leakage Prevention bezeichnet alle Massnahmen, die einen unerwünschten Abfluss von Unternehmensinformationen verhindern sollen. Die Compliance-Anforderungen aufgrund von Regulatorien und Datenschutzgesetzen wie dem neuen Schweizer DSG spielen dabei eine wichtige Rolle. Denn bei Verletzung dieser Regeln drohen empfindliche Bussen. Doch ebenso wichtig ist die Reputation als Basis fürs Kundenvertrauen. «Kunden erwarten zurecht, dass Firmen mit den anvertrauten Daten vertrauensvoll umgehen», sagt Raffael Peluso, Head of Product Management Cybersecurity bei Swisscom. Ein Datenabfluss kann deshalb auch einen Kundenabfluss zur Folge haben.
Gleichzeitig steigt im Zuge der Digitalisierung die Bedeutung von Daten für die Unternehmen. Das digital gespeicherte geistige Eigentum muss ebenso vor fremden Augen verborgen bleiben wie eine Produkte-Roadmap, die einem Konkurrenten einen Wettbewerbsvorteil verschaffen könnte. Auch hierzu sind DLP-Massnahmen nötig.
Die einleitenden Beispiele mit dem falschen Mail-Empfänger und der unvorsichtigen Datenfreigabe zeigen, dass DLP eine Kombination aus technischen Massnahmen, Prozessen und der Sensibilisierung der Mitarbeitenden umfassen muss. Vielleicht hat sich der Versand der Produktepräsentation technisch noch verhindern lassen. Aber Mitarbeitende, die im Umgang mit vertraulichen Daten geschult sind, wissen, dass sie solche Dokumente weder per Mail verschicken noch ungeschützt teilen sollen.
Dass Sensibilisierung nötig ist als Ergänzung zu technischen Massnahmen, zeigt die Studie «Cost of a Data Breach» von IBM: 2023 war bei 60 Prozent aller Datendiebstähle weltweit auch menschliches Verhalten im Spiel. Wenn sensibilisierte Mitarbeitende ihr Wissen im Alltag umsetzen, minimiert diese Security Awareness das Risiko. Oder anders gesagt: Bewusstsein schützt.
Für die Schulung von Mitarbeitenden gibt es unterschiedlich aufwändige Ansätze. «Ich habe die Erfahrung gemacht, dass sich E-Learning gut eignet. Beispielsweise in Form von Lernvideos mit abschliessenden Testfragen oder mit Phishing-Training», sagt Raffael Peluso. «Die Schulung sollte von weiteren Informationskampagnen begleitet sein, beispielsweise im Intranet.»
Solche Security-Awareness-Massnahmen helfen, das Verständnis für den Umgang mit vertraulichen Daten zu fördern – und auch dasjenige für die nötigen Richtlinien, Prozesse und technischen Schutzmassnahmen.
Eine absolute Sicherheit gibt es jedoch nicht. Wenn ein Mitarbeitender eine genügend hohe kriminelle Energie an den Tag legt, wird er Wege finden, die Schutzmassnahmen zu umgehen. Da macht sich auch Raffael Peluso keine Illusionen: «Data Loss Prevention ist, wie jede Sicherheitsmassnahme, ein Abwägen zwischen Aufwand und Restrisiko.»
Den Schlüssel für das erfolgreiche Verhindern eines Datenabflusses sieht er in der Art der Umsetzung: «Die Massnahmen dürfen das Business nicht behindern. Sonst ist die Akzeptanz nicht gegeben, und die Mitarbeitenden werden kreative Wege finden, um DLP zu umgehen.»
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?