Besonders schützenswerte Informationen

Diese Daten sollte jedes Unternehmen verschlüsseln



Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum Thema E-Mail-Verschlüsselung.
Welche Daten sind eigentlich besonders zu schützen? Darauf haben zu wenige IT-Entscheider eine klare Antwort. Für welche Daten sich Verschlüsselung fast schon aufzwingt, zeigen die folgenden Beispiele.

Vier von zehn CISOs (Chief Information Security Officers) haben keinen klaren Überblick, über welche Datenbestände sie verfügen und wo diese Informationen liegen. Lediglich 28 Prozent werden regelmäßig selbst aktiv, um die vorhandenen Daten im Unternehmen zu kategorisieren und zu bewerten. Das sind nur zwei der beunruhigenden Erkenntnisse, welche die Sicherheitsberater von IRM in ihrem „Risky Business 2016 Report“ gewonnen haben. Ausführlich berichtete im vergangenen Juli die SecurityWeek über die Untersuchung.

Diese Schlüssel schützen Gebäude. Digitale Verschlüsselung schützt das wirtschaftliche Gut von Unternehmen.
Diese Schlüssel schützen Gebäude. Digitale Verschlüsselung schützt das wirtschaftliche Gut von Unternehmen.
Foto: optimarc - shutterstock.com

Sinn und Zweck der Verschlüsselung bezweifelt niemand. Viele Menschen erkennen allerdings nicht, wann sie im eigenen Wirkungsbereich Daten verschlüsseln müssen. In vielen Unternehmen ist sogar der Glaube verbreitet, dass gar keine Daten existieren, die sehr sensibel und vertraulich sind. An eine Verschlüsselung dieser Informationen denken IT-Entscheider konsequenterweise nicht.

Systematisches Suchen und Sortieren

In den allermeisten Fällen liegen IT-Verantwortliche mit dieser Haltung schlichtweg falsch. Jedes Unternehmen hat wertvolle Daten und die vorhandenen Informationen müssen systematisch auf den Prüfstand. In den meisten Fällen finden Firmen dabei viel mehr schützenswerte Daten als gedacht. Wenn sich sensible und vertrauliche Daten einer bestimmten Kategorie zuordnen lassen, dann folgen daraus Entscheidungsgrundlagen für die Verschlüsselung. Bei den infrage kommenden Daten lohnt es sich, vor allem die folgenden Arten näher zu betrachten.

Personaldaten im Fokus

Jede Firma – abgesehen von der Einpersonen-Firma – hat Angestellte, wodurch viele sensible Daten anfallen, die vertraulich zu behandeln sind. Das betrifft persönliche und finanzielle Informationen, Verträge, Stundenzettel, Krankmeldungen und so weiter. Vor allem Hacker interessieren sich für Personendaten, weil sich mit ihnen auf verschiedenen kriminellen Wegen möglicherweise Geld verdienen lässt.

Es ergeben sich jedoch Situationen, in denen Personendaten gezielt das Unternehmen verlassen müssen. Das geschieht beispielsweise, wenn eine Firma einen Arbeitsvertrag mit einer externen Anwaltskanzlei besprechen will oder an Lohnbüros und Steuerberater übermittelt. Diese Übermittlung vertraulicher, personenbezogener Informationen muss vor Unbefugten besonders gut geschützt sein.

Auch intern sollten Unterlagen wie Lohnabrechnungen immer verschlüsselt versendet werden. Firmen, die Abrechnungen, Stundenzettel und Krankmeldungen per E-Mail über das HR-Informationssystem versenden, sind hier nicht automatisch auf der sicheren Seite. Beim Versand aus der Applikation heraus müssen die Daten korrekt verschlüsselt werden.

Lesetipp: Ratgeber Verschlüsselung: So schützen Sie Ihre Daten

Das eigene Geschäft basiert oft auf sensiblen Daten

Kundeninformationen, Lieferantenverträge, Angebote und Ausschreibungen sind nur einige Beispiele für Geschäftsdaten, die jedes Unternehmen in irgendeiner Form besitzt. Diese Datenkategorie deckt ein weites Feld ab, zu dem nur Befugte Zugang haben dürfen. Doch was nützt der beste Zugangsschutz zum besonders gesperrten Serverbereich, wenn die Daten anschließend im Klartext per E-Mail quer durchs Internet wandern?

Es braucht nicht allzu viel Fantasie, um sich mögliche Schadenszenarien auszumalen. Es empfiehlt sich, auch Geschäftsanwendungen zu überprüfen. Denn automatisierte Reports und Berichte per E-Mail, wie sie von CRM-Systemen generiert werden, sollten nicht ungeschützt transportiert werden.

Rechtlich relevante Informationen

Die dritte schützenswerte Datenart lässt sich mit „rechtlich relevante Informationen“ beschreiben. Viele Firmen sind nach einer Überprüfung überrascht, über welch große und umfassende Datenbestände sie eigentlich verfügen. Zu verschlüsseln sind zum Beispiel strategische Absprachen zu Fusionen und Übernahmen. Selbst wenn der Vorstand per Mail nur intern über Standortfragen diskutiert, die Teile der Belegschaft betreffen, ist Verschlüsselung dringend anzuraten. Natürlich gehört die Kommunikation mit Rechtsanwälten und Patentämtern ebenso in diese Kategorie.

Antwort auf die Schlüsselfrage

Immer mehr gesetzliche Vorschriften – wie das Bundesdatenschutzgesetz – schreiben Verschlüsselung für gewisse Daten bereits zwingend vor. Die Anforderungen können sich bald auf viele weitere Rechtsräume ausdehnen, bis hin zur generellen Verschlüsselungspflicht, die sich möglicherweise aus EU-Regeln wie GDPR oder speziellen Branchenvorschriften ableiten lässt.

Lesetipp: Unternehmen im Fadenkreuz von Cyber-Kriminellen

Zur Startseite