Grundschutz - der Mindeststandard

Gartners Security-Analyst Carsten Casper empfiehlt kleinen und mittleren Unternehmen, sich auf drei Schritte zu konzentrieren, um zumindest einen Anfang zum Schutz ihrer geschäftskritischen Informationen zu machen. Das sind die drei Punkte "Klassifizieren", "Verschlüsseln" und "Datenlecks abdichten". Die anderen Punkte sollten Sie aber auch nicht aus den Augen verlieren.

Werthaltiges Wissen sichern: Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen.

Sicherheitskonzept erstellen: Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen.

Berater konsultieren: Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters.

Datentypen klassifizieren: Unternehmen müssen die Spreu vom Weizen trennen und festlegen, über welche Arten von Daten und Informationen sie verfügen. Schließlich sind Schutzmaßnahmen teuer, und es lohnt sich nicht, sie auf alle Formen von Informationen anzuwenden. In einem ersten Schritt gilt es, den Verantwortlichen und die Art der Klassifizierung zu definieren. Anschließend werden die Daten und Informationen aufgrund ihrer Vertrauenswürdigkeit in verschiedene Klassen eingeteilt. Hier machen Unternehmen häufig den Fehler, sehr detaillierte Schemen aus vier bis sechs Stufen zu erstellen. Drei Sicherheitsklassen reichen nach Ansicht von Gartner-Analyst Casper meist aus: öffentlich, intern und vertraulich.

Informationen verschlüsseln: Die Kryptografie spielt eine wesentliche Rolle, da man die weltweit kursierenden Informationen aus dem Unternehmen nicht konsequent schützen kann. Da man sich zudem nicht nur auf die Zugriffskontrollen des Betriebssystems verlassen sollte, rät Casper, Informationen nach Möglichkeit zu verschlüsseln. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder.

Datenlecks abdichten: Das Thema Data Leakage Protection beziehungsweise Data Loss Prevention (DLP) ist ein neuer Sicherheitstrend. Mit den Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren. Zudem sind die Lösungen eher für den Einsatz in größeren Unternehmen konzipiert.

Keylogging verhindern: Schützen Sie Ihr Unternehmen mit Virenschutz- und Anti-Spyware-Programmen möglichst gut gegen Keylogging-Angriffe ab.

Datenträger schützen: Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar.

IT-Profi beschäftigen: Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen.

Personal sensibilisieren: Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden.

Internes Risiko beachten: Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen.

Einbrüche analysieren: Reflektieren Sie jeden Einbruch und Diebstahl unter dem Aspekt möglicher Wirtschafts- oder Industriespionage.

Softwarediebstahl aufdecken: Installieren Sie Software-Tools, die Software-Diebstahl aufdecken.

Dienstleister überprüfen: Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte.

Spione antizipieren: Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte. (Computerwoche/mha)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.