Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

neuartigen Transparenz umzugehen, denn zweifelsohne wird man sich ihr nicht völlig entziehen können.

14 Die Fünf-Prozent-Daten ins Handgepäck – mehr Sicherheit für Unternehmen
    Ein Stromausfall in den Abendstunden kann für Privatpersonen durchaus etwas Romantisches haben, zumindest kurzfristig. Endlich kann man den Kindern bei Kerzenlicht in Ruhe eine Geschichte vorlesen und ist ungestört von PlayStation oder Radiomusik. Unternehmen unterliegen anderen Zwängen und damit Risiken, die durch Hacking und Ausspähung oder Sabotage entstehen. Der Stromausfall, der zum Ausfall einer Lackierstraße führt, kann eine Firma schon in erhebliche Schwierigkeiten bringen. Während der Privatmann beim Befall seines Computers mit einem « BKA -Trojaner» zur Not mit einer Neuinstallation das Problem aus der Welt schafft, können Angriffe auf die Verfügbarkeit eines Webshops ein Unternehmen schnell an den Rand des Ruins bringen. Schlimmer noch: Zielt eine solche Attacke auf strategische Firmeninformationen oder gar auf das Firmen-Know-how, besteht die Gefahr, dass das Unternehmen langsam ausblutet, ohne es zu merken.
    Herkömmliche Schutzmechanismen wie Firewall und Virenschutz reichen längst nicht mehr aus im Kampf gegen die Angreifer. Aber es gibt neben technischen auch organisatorische Verbesserungsmöglichkeiten.
    Bei meinen Kontakten mit Firmen stelle ich immer wieder fest, dass, je nach Unternehmensgröße, das Thema Sicherheit mehr oder weniger in die Teile «physische Sicherheit», « IT -Sicherheit» und «Datenschutz» unterteilt wird. Oft werden die einzelnen Sicherheitssektionen auch noch unterschiedlichen Bereichen wie Personal, IT oder Finanzen zugeordnet.
    Dringend notwendig wäre eine Konsolidierung der jeweiligen Sicherheitssparten, da sonst die eine Hand nicht weiß, was die andere tut. Informationssicherheit beispielsweise ist nicht nur IT -Sicherheit, wenngleich die Begriffe heutzutage gern synonym verwendet werden. Ein Beispiel: Landet der Ausdruck einer Kundendatenbank im Mülleimer (Informationssicherheit), so ist das kein IT -Problem.
    Wenn Unternehmen aber die Informationssicherheit innerhalb der IT -Abteilung verorten, dann geschieht etwas, das ich anhand einer Grafik verdeutlichen möchte. Dabei gehe ich von folgenden Voraussetzungen aus:
    Jedes Unternehmen besitzt Unternehmensinformationen.
Es gibt Geschäftssituationen, in denen ein Informationstransfer erwünscht ist (S.  216 ).
Darüber hinaus existieren Situationen, in denen Unternehmen Daten verlieren, obwohl sie das nicht wollen (S.  216 ). 

Deutlich wird: Unternehmen, die die Informationssicherheit in den IT -Bereich delegieren,
müssen
scheitern. Doch sie merken erst, was geschehen ist, wenn es bereits zu spät ist.
    Wesentliche Voraussetzung für einen ungewollten Informationsabfluss ist, dass man die Informationen beobachtet, die das Unternehmen nicht verlassen sollen. Um das tun zu können, muss man wissen, welche Daten welchem Schutz unterliegen. Dazu ist es nötig, vorhandene Daten in Klassen wie beispielsweise
offen
,
intern
,
vertraulich
oder
geheim
zu unterteilen, also Wichtiges von Unwichtigem zu trennen. Meist sind es nicht mehr als fünf Prozent der gesamten Unternehmensdaten, die den allerstrengsten Richtlinien unterliegen. Häufig werden diese Informationen auch als «Kronjuwelen» bezeichnet. Sie aber sind es, die über Erfolg und Niederlage im Geschäftsleben entscheiden, sie sind es, die geschützt werden müssen. Für den Rest reichen Maßnahmen, die State of the Art sind.
    Informationssicherheit muss zu dem werden, was das Wort beinhaltet: Sie muss an der Information selbst ansetzen. Ich kenne Chemieunternehmen, die Boten mit der neuesten Formel im Handgepäck ins Flugzeug setzen, nur um sicherzugehen, dass ihre «Kronjuwelen» ständig unter Kontrolle sind. So weit muss man im Normalfall nicht gehen, aber ein abgestuftes Sicherheitssystem je nach Schutzbedarf ist zwingend erforderlich.
    Was einfach klingt, ist in Wahrheit jedoch eine der schwierigsten Aufgaben überhaupt, da es keine Anleitungen, keine Prozessbeschreibungen und keine automatisierten Verfahren für eine Identifizierung der Fünf-Prozent-Daten gibt. Bei der Klassifizierung sind Teamkonferenzen und eine abteilungsübergreifende Zusammenarbeit nötig.
    Weiterhin sollte man den Informationsfluss beobachten. Das hört sich ebenfalls leichter an, als es in Wahrheit ist, denn der Fluss hat sich in Zeiten moderner Vernetzung zu einem reißenden Strom