Der jüngste Sicherheitsskandal, von den britischen Medien kurz das "Datendesaster" genannt, stimmt auch deutsche Unternehmen und Behörden nachdenklich. Der Vorfall zeigt eindringlich, wie gefährlich es ist, das Sicherheitsrisiko "Mitarbeiter" zu unterschätzen. Der britischen Steuerbehörde HMRC sind zwei selbst gebrannte CDs auf einer nicht registrierten Kurierfahrt abhanden gekommen. Mit diesen CDs gingen die persönlichen Daten von rund 25 Millionen britischen Kindergeldempfängern verloren und dies, obwohl es offensichtlich entsprechende Sicherheitsrichtlinien gegeben hat.
So sehr die Öffentlichkeit auch über das wie und warum diskutiert, über eines sind sich alle einige: Dieser Skandal zeugt von bodenlosem Leichtsinn, der aber offensichtlich kein Einzelfall ist. Laut einer Umfrage der Datensicherheitsexperten bei Utimaco unter 1.100 Geschäftsanwendern sind vier von fünf mobilen Speichermedien nicht ausreichend verschlüsselt. Gut jeder vierte Befragte hat schon einmal ein Wechselmedium wie eine CD oder einen Memory-Stick verloren. Utimaco rät deshalb jedem Unternehmen dringend zu einem ganzheitlichen Sicherheitskonzept. "Mit einem zentral festgelegten Firmen- oder Benutzerschlüssel sind die Daten innerhalb des Unternehmens überall zu nutzen, können aber von einem unternehmensfremden Rechner nicht eingesehen und verwendet werden", erklärt Martin Wülferts, CEO von Utimaco.
Technische Lösungen und Gesetze
Dennoch reicht ein Sicherheitskonzept allein noch nicht aus – auch wenn es ganzheitlich angelegt ist. Für Andreas Zeitler, Vice President und Regional Manager Zentraleuropa bei Symantec, ist das britische Datendesaster ein typisches Beispiel dafür, dass die entsprechenden Richtlinien zwar verfasst, jedoch nicht umfassend umgesetzt wurden. "Das übergeordnete Konzept zur Datensicherheit wurde nicht wirklich gelebt", stellt er fest. "Sicherheitsrichtlinien sind nur dann wirksam, wenn sicher gestellt ist, dass die Richtlinien an jedem Punkt und von jedem Mitarbeiter konsequent beachtet werden", ergänzt er. Dies sei allerdings nicht durch Verbote zu erreichen. Vielmehr müssen die Mitarbeiter sensibilisiert werden und es bedarf technischer Lösungen, die die strikte Einhaltung der Sicherheitsrichtlinien gewährleisten.
Utimaco-Chef Wülferts geht noch einen Schritt weiter. Er fordert: "Es bleibt abzuwarten, wann die Politik endlich reagiert und ähnlich scharfe Gesetze erlässt, wie diese seit wenigen Jahren in den USA gelten." Seit dort die Pflicht bestehe, Verstöße gegen die Datensicherheit zu veröffentlichen, hätten Unternehmen und Behörden ganz erheblich in die Absicherung sensibler Daten investiert. (mf)