USB-Sticks und Smartphones mit enormen Speicherkapazitäten stellen zunehmend eine Gefahr für Unternehmensdaten dar. Darauf weist das Datensicherheitsunternehmen Varonis in Zusammenhang mit der neuen Dell-Studie »Consumerization of IT: A Survey of IT Professionals« hin. Demnach sorgen sich zwei Drittel aller IT-Verantwortlichen um die Sicherheit unternehmenseigener Daten, wenn Mitarbeiter am Arbeitsplatz private Geräte benutzen. Darüber hinaus belegt die Studie die Tatsache, dass heute Daten genauso mobil sind wie die Geräte auf denen sie abgelegt wurden.

Ein weiteres – besorgniserregendes – Ergebnis der Studie ist, dass 90 Prozent aller Angestellten ihren privaten Laptops, Tablets und Mobiltelefone auch für Aufgaben im Büro verwenden. »Tatsächlich beobachten wir diese Entwicklung bereits seit Jahren und sehen besonders, was die Sicherheit angeht, zunehmende Probleme«, erläutert David Gibson, Leiter Technisches Marketing und Strategisches Kundenmanagement bei Varonis. »Einerseits bieten mobile Geräte verlockende Vorteile: für Mitarbeiter ist es normal, Dateien aus zentralen Datenspeichern zu kopieren, diese zu bearbeiten und anschließend wieder zurück zu speichern. Andererseits verschärfen sie mit genau dieser Arbeitsweise die Sicherheitslage.«

Viele Mitarbeiter haben oft zu viele Zugriffsrechte

Nach Meinung von Gibson sei es deshalb entscheidend, dass Unternehmen ihre Daten heute besser als jemals zuvor schützen müssten. Dabei bestünden nach Beobachtung von Varonis in der zentralen Collaboration-Infrastruktur bereits große Probleme, die zu viele Angriffsflächen böten.

»Wir beobachten, dass Mitarbeiter oft zu viele Zugriffsrechte auf File-Shares, Sharepoint-Sites, Exchange-Mailboxen und öffentliche Ordner haben. Deshalb können sie Daten frei und ohne digitales Protokoll herunterladen«, befürchtet Gibson. »Und mit wachsendem Speicherumfang von Tablets und Smartphones – 16 oder 32 GBytes Speicher entwickeln sich schnell zum neuen Standard – wird es immer einfacher, immer größere Datenvolumen aus der zentralen Ablage zu kopieren. Diese Daten wandern dann auf Geräte, auf denen es noch viel weniger Kontrollen gibt.«

Vor allem der Zugriff auf sensible Daten sollte begrenzt sein

Um sicher zu arbeiten, müssten Organisationen wissen, welche Daten aktiv sind, wer diese Daten benutzt, wer Zugriff auf die Daten hat und welche Daten als sensibel und vertraulich eingestuft sind. »Genau dies sind eigentlich die Grundlagen jedes IT-Sicherheitskonzeptes«, führt Gibson weiter aus. »Und trotzdem kümmern sich viele IT-Sicherheitsbeauftragte nicht ausreichend um diese Aufgaben – solange nicht, bis es zu massiven Problemen kommt. Wenn aber die Basis der Informationstechnologie nicht gut gemanagt und geschützt wird, ist die Kontrolle von mobilen Geräten im Arbeitsumfeld noch schwieriger.«

Nach Gibsons Meinung sollte der Zugriff auf sensible Daten begrenzt sein – und zwar schon lange, bevor sie auf irgendein mobiles Gerät geladen werden können: »Vor genau dieser Herausforderung stehen Organisationen schon sehr lange. Denn ihre grundlegenden Kontrollen sowie ihre manuellen Prozesse zur Begrenzung des Datenzugriffs liegen viel zu oft in den Händen der IT-Mitarbeiter. So treffen häufig IT-Mitarbeiter anstelle der verantwortlichen Datenbesitzer grundsätzliche Entscheidungen über Zugriffsrechte. Ungeprüfte und zu großzügige Zugriffsrechte erlauben es den Mitarbeitern dann, alle ihnen zugänglichen Daten auf jedes ihrer Geräte zu kopieren.«

Unternehmensdaten wandern mit Mitarbeitern durch die Gegend

Für IT-Sicherheitsbeauftragte sei die Vorstellung schlimm, dass die Unternehmensdaten gemeinsam mit den Mitarbeitern auf deren tragbaren Geräten durch die Gegend wandern. Ein weit ernsteres Problem für IT-Manager sind jedoch die immensen Mengen an Daten, die täglich produziert und unkontrolliert ins System eingegeben werden.

Und dies sei laut Gibson der Punkt, an dem ein automatisiertes Data-Governance-System seine Stärken zeigen kann. Denn so ein System prüfe und dokumentiere nicht nur die Verteilung von enormen Mengen unstrukturierter Daten, sondern alarmiere auch die verantwortlichen Mitarbeiter, wenn etwas Ungewöhnliches oder Unerlaubtes passiert.

Alarmglocken: Download vieler Daten kurz vorm Jahresurlaub

»Wenn zum Beispiel der Vertriebsleiter kurz vor seinem Jahresurlaub die gesamten Inhalte der Marketing-Datenbanken, der Fileserver oder der Sharepoint-Site auf sein Laptop herunterlädt, sollten die Alarmglocken losgehen«, erläutert Gibson. »Bedenken Sie, dass es bei einer unstrukturierten digitalen Dateiablage praktisch unmöglich ist festzustellen, welche Daten kopiert oder gelöscht worden sind.«

Mit den heutigen mobilen Geräten und dem Gigabit-Ethernet könnten laut Gibson riesige Schneisen in die Unternehmensdaten geschlagen werden: »Große Mengen an Daten können innerhalb eines relativ kurzen Zeitfensters transferiert werden. Diese Daten spazieren dann einfach – gespeichert auf dem Smartphone – in der Hosentasche des Mitarbeiters aus der Tür.«

.