„Wir brauchen keine Lösung für Data Loss Prevention, wir vertrauen unseren Mitarbeitern.“ Diese Aussage hören wir immer wieder, wenn wir mit Unternehmen über den Schutz von sensiblen Daten sprechen, und wahrscheinlich kennen Sie diese Behauptung auch. Wenn sie überhaupt jemals eine Berechtigung hatte, dann sind diese Zeiten seit langem vorbei. Die IT, die Kommunikationstechniken und die Arbeitswelt haben sich in den vergangenen Jahren grundlegend verändert, und diese Entwicklungen machen die Mitarbeiter zu einer erheblichen Bedrohung für die Daten.
Das Datenaufkommen wächst
Da ist zunächst einmal das wachsende Datenaufkommen. Wir wollen hier nicht über Big Data sprechen, sondern über die ganz gewöhnlichen Datenmengen, die die Angestellten tagtäglich durch ihre Arbeit erzeugen: neue Verträge, Listen, Entwürfe, Protokolle und so weiter. Allein die zunehmende Menge an Daten vergrößert die Möglichkeit, dass Teile davon wegkommen. Zugleich steigt der Anteil an sensiblen Daten am Gesamtaufkommen, und immer mehr Mitarbeiter haben im Rahmen ihrer Aufgaben mit solchen Daten zu tun.
Neue Geräte und Tools gelangen in die Büros
Auch die IT hat sich verändert. Über das Internet gelangen wir an Dienste und Anwendungen, die die Kommunikation und den Austausch von Informationen und Dateien vereinfachen. Daten werden zwar immer noch auf USB-Sticks durch die Gegend getragen, aber zusätzlich verfügt inzwischen nahezu jeder über ein Smartphone, Laptop oder Tablet. Und noch bevor die Unternehmen die Risiken, die mit der Benutzung dieser mobilen Geräte verbunden sind, restlos in den Griff bekommen haben, taucht mit Fitness-Armbändern und Smartwatches eine neue Geräte-Generation auf. Die übernächste Generation steht ebenfalls schon vor der Tür – in Form von Geräten des Internet der Dinge (IoT, Internet of Things).
Die Nutzer setzen IT-Lösungen eigenständig ein
Zudem gehen die Mitarbeiter anders mit IT-Lösungen um als früher. Sie sind IT-affiner und erfahrener im Umgang mit Computern, jüngere Angestellte sind mit Smartphones und Social Media groß geworden. Für sie ist es selbstverständlich, ohne Absprache mit der IT-Abteilung sowohl private Geräte am Arbeitsplatz als auch cloud-basierte Tools für die Übermittlung von Informationen und Dateien zu benutzen.
Zusammengenommen vergrößern das Nutzerverhalten, die wachsenden Datenmengen und die Vielzahl von Geräten und Tools die Ausgangsbasis für Fehler: E-Mail an den falschen Adressaten, Gerät verloren, Datei mit sensiblen Daten in den Cloud-Speicher und so weiter. Oder Angestellte wissen einfach nicht, dass diese Informationen der Datenschutzgesetzgebung unterliegen oder jene unternehmenskritisch sind und deshalb nicht auf einen USB-Stick kopiert oder per E-Mail an den Rechner zuhause geschickt werden dürfen. Wobei wir berücksichtigen sollten, dass Wissen und Handeln zwei Paar Stiefel sind. Weil die Zeit drängt oder gerade niemand greifbar ist, bei dem man sich rückversichern kann, tut man dann doch Dinge, von denen man eigentlich weiß, dass man sie nicht tun sollte.
Der Einsatz einer Lösung für Data Loss Prevention im Unternehmen hat nichts mit Vertrauen zu tun, denn die meisten Datenverluste beruhen nicht auf Datendiebstahl, sondern auf Versehen, Unachtsamkeit und Nichtwissen. Mit einer DLP-Lösung schützen Unternehmen ihre Daten vor den Unwägbarkeiten menschlichen Verhaltens und bewahren ihre Mitarbeiter vor verhängnisvollen Fehlern.
