Ein bisschen Schadenfreude können wir uns kaum verkneifen, wenn wir von Datenlecks bei der NSA erfahren. Neulich gab es wieder einmal Anlass dazu: Bei einem ehemaligen Mitarbeiter des größten US-amerikanischen Auslandsgeheimdienstes wurden massenweise geheime Daten gefunden. Der des Diebstahls Verdächtigte will die Unterlagen zum Arbeiten und zur Weiterbildung mit nach Hause genommen haben. Aufgedeckt wurde der Diebstahl, weil Geheimdaten der NSA im Internet zum Verkauf angeboten wurden, die sich aber auch Dritte unbemerkt bei dem NSA-Mitarbeiter beschafft haben könnten.
Nun nehmen nicht nur NSA-Mitarbeiter Arbeit mit nach Hause. In Deutschland soll das ein Viertel aller Angestellten machen. Die Wahrscheinlichkeit ist also hoch, dass das auch in Ihrem Unternehmen passiert. Auch wenn so viel Engagement der Angestellten auf das Wohlwollen der Vorgesetzten stößt: Die Sache hat einen Haken. Sind die Unterlagen erst einmal ausgedruckt oder kopiert oder in einen Cloud-Speicher geladen, hat das Unternehmen keinerlei Kontrolle mehr darüber, wer die Daten einsehen kann und was mit ihnen passiert.
Bei zwei Arten von Daten ist der Kontrollverlust besonders schwerwiegend: bei personenbezogenen Daten und bei Daten, die aus unternehmerischer Sicht besonders wertvoll sind, denn dabei werden Fragen des Datenschutzes beziehungsweise der Wahrung von Betriebsgeheimnissen berührt. Aber während es bei den unternehmenskritischen Daten dem Unternehmen überlassen ist, wie sie geschützt werden, hat bei personenbezogenen Daten der Gesetzgeber die Hand im Spiel mit Schutzpflichten, die im Bundesdatenschutzgesetz und künftig in der EU-Datenschutz-Grundverordnung geregelt sind.
Welche Risiken kommen ins Spiel?
- USB-Sticks, auf die sie kopiert wurden, können verloren gehen oder gestohlen werden. Wenn die Daten nicht verschlüsselt sind, kann sie sich jeder Finder ansehen.
- Laden die Mitarbeiter die Unterlagen beispielsweise in einen Cloud-Speicher, um das Risiko USB-Stick auszuschalten, ist das Problem möglicher unbefugter Zugriffe nicht vom Tisch: Wer hat Zugriff auf den Cloud-Speicher? Wo, in welchem Land steht das Rechenzentrum, in dem das Angebot gehostet wird, und welche Regelungen gelten dort für eine etwaige Datenherausgabe? Wer kommt an den Master-Key heran?
- Der größte Risiko-Faktor ist der private Rechner. Dort werden die Unterlagen gespeichert und bearbeitet, wie auch immer sie dahin gekommen sind. Selbstverständlich stellt sich auch hier die Frage nach den Zugriffsberechtigten. Zudem ist er häufig weniger gut vor Angriffen von außen geschützt als ein Rechner in einer professionellen Unternehmensumgebung. Und zu guter Letzt: Löscht der Mitarbeiter die Arbeitsunterlagen wieder sachgerecht aus allen Speichern, sobald er sie ins Unternehmen zurücktransportiert hat? Was, wenn der Rechner ausrangiert wird und ein gewiefter IT-Bastler in wiederhergestellten Unternehmensdaten eine Möglichkeit für den schnellen Nebenverdienst sieht?
Wie können sich Unternehmen schützen?
- Unternehmens-Policies überprüfen, ob sie Regelungen zur Mitnahme von Arbeitsunterlagen enthalten, sie gegebenenfalls ergänzen und die Angestellten darauf verpflichten, dass sie die Zustimmung des Arbeitsgebers einholen müssen.
Soweit die Theorie. In der Praxis sieht das häufig anders aus: Selbst wenn jeder in der Firma über die Vorschriften, ihre Hintergründe und die Folgen von Verstößen informiert ist, müssen Sie davon ausgehen, dass Mitarbeiter eigenmächtig handeln und darauf verzichten, die Zustimmung einzuholen: weil die Zeit drängt, gerade niemand greifbar ist, der entscheiden kann, ob die Unterlagen mitgenommen werden dürfen oder nicht, oder sie sich eingeschränkt oder gegängelt fühlen.
Erheblich mehr Kontrolle über ihre Daten gewinnen Unternehmen, die mit einer Software für Data Leak Prevention arbeiten. Der technische Ansatz stellt sicher, dass die Regeln für jedermann zur Geltung gebracht werden können und Ausnahmen zentral gesteuert werden müssen und dadurch nachvollziehbar sind. Hier die Möglichkeiten, die einzeln oder auch in Kombination den Schutz verbessern:
- Tragbare Speichergeräte überwachen. In den meisten Unternehmen sind nur wenige Arbeitsprozesse von USB-Geräten abhängig. Für Mitarbeiter, die nichts damit zu tun haben, sollte ihre Verwendung blockiert werden.
- Verschlüsselung erzwingen. So sind die Daten geschützt, falls doch einmal ein USB-Gerät unterwegs wegkommt.
- Dateien auf ihren Inhalt prüfen. Neben den USB-Geräten gibt es jede Menge anderer Möglichkeiten, Daten aus der Firma zu bringen. Eine Inhaltsprüfung verhindert beispielsweise, dass Mitarbeiter sensible Daten per E-Mail an ihren privaten Account schicken oder in einen privaten Cloud-Speicher laden.
