Gastbeitrag Datenschutz
Auch Datenschutz und Datensicherheit müssen Schritt halten
Digitale Transformation im Unternehmen
Im digitalen Wandel darf die Informationssicherheit nicht auf der Strecke bleiben. Die meisten Unternehmen übertragen Daten auch im Cloud-Zeitalter per E-Mail. Wenden sie sichere Lösungen an? Ein Überblick zeigt, warum und wann Firmen sensible Informationen verschlüsseln sollten.
Die Geschäfts- und Techniklandschaft entwickelt sich in rasanter Geschwindigkeit. Das zwingt Unternehmen zu Investitionen in die digitale Transformation, in Cloud-Migration und Enterprise Mobility. Ansonsten können sie mit den tiefgreifenden Veränderungen nicht Schritt halten. Entscheidend jedoch ist, dass sie gleichzeitig die Richtlinien anpassen, mit denen sie die Sicherheit ihrer Informationen in der neuen digitalen Welt managen.
Den meisten IT-Entscheidern ist bewusst, dass traditionelle Ansätze nicht mehr greifen, um Informationen zu sichern und den betrieblichen Datenschutz zu gewährleisten. Dennoch haben relativ wenige Unternehmen Systeme im Einsatz, mit denen sie sensible Daten an der Unternehmensgrenze auf angemessene Weise sichern und schützen – insbesondere wenn Daten via E-Mail übertragen werden. Vielen im Unternehmen dämmert zwar die Gefahr, dass Kriminelle ihre Daten abfangen könnten. Tatsächlich bewusst entgegengesteuert wird jedoch zu wenig.
Wirkungsvolle Verschlüsselung
Dabei mangelt es nicht an technischen Möglichkeiten. Verschlüsselung ist heute das probate Mittel, Daten sicher zu übertragen und vor unbefugtem Zugriff zu schützen. Allerdings werden die seit Jahren auf dem Markt verfügbaren Technologien erst in letzter Zeit verstärkt genutzt. Doch jedes Unternehmen – egal welcher Größe und Branche – hat Bedarf für Verschlüsselungstechnologien, auch wenn er (noch) nicht immer erkannt ist. Denn jedes Unternehmen hat sensible Informationen, die nur geschützt intern und extern übertragen werden dürfen. Personalakten und geschäftliche Informationen besitzt schließlich jede Firma. Und selbst intern sollte nur ein ausgewählter Kreis die Berechtigung haben, auf diese Daten zuzugreifen.
Personendaten unterliegen der Vertraulichkeit, was ein verschlüsseltes Übermitteln an Mitarbeiter oder externe Geschäftspartner wie das Steuerbüro oder die Anwaltskanzlei einschließen muss. Genauso gilt es zu verfahren, wenn Kundeninformationen, Lieferantenverträge, Angebote, Ausschreibungen und rechtlich relevante Informationen ausgetauscht werden. Verschaffen sich unberechtigte Personen dennoch Zugang zu diesen geschäftskritischen Informationen, können sie mit diesen Daten nichts anfangen – vorausgesetzt sie sind ordentlich verschlüsselt.
Daneben leiten sich aus dem Geschäftsmodell in bestimmten Branchen besondere Anforderungen an eine Verschlüsselungslösung ab. So hängt der Geschäftserfolg in der Pharmaindustrie sowie in herstellenden und in Technologieunternehmen entscheidend vom geistigen Eigentum ab, das in den Entwicklungs- und Forschungsabteilungen „produziert“ wird. Dort fallen Unmengen an Daten an, die intern und extern verteilt werden. In solchen Situationen muss eine Verschlüsselung zum Einsatz kommen, die auch große Datenvolumen sicher überträgt.
Nur leicht zu handhabende Sicherheit setzt sich durch
Wer hingegen viel mit Endkunden per E-Mail kommuniziert, kommt oft nicht weit, wenn er auf S/MIME (Secure/Multipurpose Internet Mail Extensions) und PGP (Pretty Good Privacy) setzen will. Die wenigsten Privatpersonen haben einen der beiden etablierten Verschlüsselungsstandards installiert. Die E-Mail-Kommunikation lässt sich dennoch schützen, zum Beispiel mit der Pull-Methode. Der Empfänger holt sich hierbei seine verschlüsselte Nachricht bei einem sicheren Web-Portal ab.
Neben dem Übertragen muss auch die Speicherung der Daten sicher erfolgen. In der Praxis haben sich Sicherheitslösungen bewährt, die vertrauliche Daten vor dem Speichern immer verschlüsseln – unabhängig vom Speicherort. Generell empfiehlt es sich, dass Unternehmen ihre Mitarbeiter im betrieblichen Datenschutz und zur Datensicherheit schulen. Bei der Umsetzung im Geschäftsalltag sind zudem sichere, zuverlässige und benutzerfreundliche Lösungen gefragt, die den Anwender nicht in seinem Arbeitsalltag stören. Wer seine wichtigsten Aufgaben immer wieder unterbrechen muss, um eine komplizierte Lösung einzusetzen, ist eher geneigt im Eifer des Gefechts auf die Verschlüsselung zu verzichten. In den meisten Unternehmen können daher neue, moderne Anwendungen das Informationssicherheitsmanagement von E-Mails inklusive Verteilung und Weiterleitung von Dateianhängen verbessern.
Mit Partner End-to-End-Verschlüsselung angehen
Rund 80 Prozent der Unternehmen nutzen bereits Cloud-Computing oder planen den Einsatz. Diese Zahl ist seit Beginn 2014 um zwei Drittel angestiegen. In Gesprächen räumen CIOs und IT-Fachkräfte Probleme mit der langfristigen Sicherung von Daten und Informationen ein. Diese treten insbesondere auf, wenn Unternehmen Cloud-basierte E-Mail-Plattformen und Dokumentenmanagementsysteme einsetzen wie etwa Office 365. Denn in diesem Fall werden die E-Mails selbst nicht mehr auf den unternehmenseigenen Servern abgelegt, sondern auf den Servern des Cloud-Providers. Daher ist eine Lösung gefragt, bei der die Sicherheit auf einer starken Verschlüsselung beruht und nicht vom Standort der Datenspeicherung abhängt.
Allerdings: Unternehmen sollten sich hier keinesfalls auf Standard-Verschlüsselungstechnologien der Cloud-Anbieter verlassen. Vielmehr gilt es, ein unternehmensübergreifendes Sicherheitsnetz zu schaffen, in dem auch die Cloud integriert ist. Die Basis dafür schafft eine Verschlüsselungstechnologie, die durch das Unternehmen selbst kontrolliert wird. Im Idealfall werden alle E-Mails direkt am E-Mail-Client oder am mobilen Endgerät ver- und entschlüsselt. Das bedeutet, nicht nur der Transport, sondern auch die Ablage in der Cloud erfolgt verschlüsselt.
Entscheidend für die Sicherheit ist, dass die Schlüssel ausschließlich beim Unternehmen liegen, also nicht in der Cloud. Denn so hat der Cloud-Provider keinen Zugriff auf die Schlüssel – und kann sie selbst dann nicht herausgeben, wenn er gerichtlich dazu verpflichtet werden sollte. Generell empfiehlt es sich für die Verantwortlichen im Unternehmen, im ersten Schritt ein allgemein wirksames und machbares Fallbeispiel aus dem Geschäftsalltag auszuwählen. Anhand dieses Szenarios sollten sie anschließend die Schwierigkeiten einer End-to-End-Implementierung schrittweise mit einem vertrauenswürdigen Partner oder Anbieter abarbeiten.
