Tipps, Tricks und Tools zum Schutz sensibler Daten

Praktisch jedes Unternehmen arbeitet mit sensiblen Daten – seien es Kundendaten, Konstruktionspläne oder wichtige Strategie-Papiere. Diese Daten vor unbefugtem Zugriff zu schützen, ist eine Herausforderung, der sich die zuständigen IT-Experten bewusst sein sollten. Kriminalität und Wirtschaftsspionage finden heute oft per Netzwerk statt, und auch staatliche Behörden überschreiten bei der Telekommunikations-Überwachung häufig ihre Kompetenzen und gefährden so den Datenschutz. Glücklicherweise gibt es viele Erfolg versprechende Möglichkeiten zur digitalen Selbstverteidigung. Mit der richtigen Hard- und Software (sowie gezielten Schulungen der Mitarbeiter zum sicherheitsbewussten Verhalten) lässt sich die eigene Infrastruktur deutlich sicherer machen und so das Risiko eines Datenverlustes erheblich senken.

(Foto: deyangeorgiev, photocase.de)

(Foto: deyangeorgiev, photocase.de)

Das Problem mit der Cloud

Wer sensible Daten schützen will, sollte einen möglichst großen Teil seiner IT-Infrastruktur selbst verwalten. So lässt sich am ehesten sicher stellen, dass Dritte nicht unbefugt zugreifen und mitlesen können.

Dazu gehört eine sichere Ablage von Daten. Statt in einem externen Rechenzentrum sollten diese nach Möglichkeit auf eigenen Servern gespeichert werden. So wird der – für viele Manipulationen nötige oder zumindest sehr hilfreiche – physische Zugriff durch Unbefugte stark erschwert. Zudem lassen sich die Server dann ohne Einschränkungen so konfigurieren, wie es dem eigenen Sicherheitsbedürfnis entspricht, beispielsweise in Bezug auf ein sicheres Betriebssystem, Verschlüsselungs-Lösungen und die richtige Sicherheits- und Monitoring-Software zum Schutz der sensiblen Daten.

Für größere Unternehmen wird statt einer herkömmlichen Server-Infrastruktur häufig ein Cloud-Setup bevorzugt. Die Datenwolke bietet größere Leistung und fast unbegrenzten Zugriff durch die Mitarbeiter. Die Cloud-Lösungen großer Anbieter wie Amazon, Google oder Microsoft sind jedoch die reinsten „Black Boxes“: Die Nutzer können nicht kontrollieren, was genau mit ihren Daten geschieht.

Zudem handelt es sich bei den Genannten und vielen weiteren Cloud-Anbietern um US-Unternehmen. Damit gelten für die dort gespeicherten Daten – unabhängig vom Server-Standort – die US-Gesetze. Diese berücksichtigen den Datenschutz weitaus weniger als die Gesetzgebung in Deutschland und dem Rest der EU. Gerade durch den zur Terrorismus-Bekämpfung eingeführten „USA PATRIOT Act“ wurde der Datenschutz in den USA nach den Terroranschlägen des 11. September 2001 massiv eingeschränkt und den Ermittlungsbehörden wurden umfangreiche, durch demokratische Prozesse kaum kontrollierte Zugriffe auf sensible Daten erlaubt. Das ist um so problematischer, als sich mittlerweile die Hinweise darauf häufen, dass US-Behörden auch Wirtschaftsspionage gegen europäische Unternehmen betreiben, um deren US-Konkurrenten einen Wettbewerbsvorteil zu verschaffen.

Alternative Private Cloud

Website von Your Secure Cloud

Website von Your Secure Cloud

Besser ist daher eine sogenannte „Private Cloud“: Das ist ein Cloud-Setup, das nur für das eigene Unternehmen genutzt wird. Zahlreiche Anbieter bieten entsprechende Lösungen an. Achten Sie bei der Auswahl eines Anbieters nicht nur auf Leistung, Preis und Service, sondern auch auf eine transparente Datenschutz-Politik und einen Geschäftssitz sowie Server-Standort in Europa, idealerweise in Deutschland. Anbieter wie Adacor, Strato und YourSecureCloud garantieren einen Server-Standort in Deutschland und sind somit auf jeden Fall einen Blick wert.

Hardware-Auswahl

Auch bei der Hardware-Auswahl können Sie Sicherheit und Datenschutz berücksichtigen. Insbesondere kann der Einbau von Trusted-Platform-Modulen sinnvoll sein, die den Computer um bestimmte Sicherheitsfunktionen ergänzen. Entsprechende Chips werden von namhaften Hardware-Herstellern wie Intel, Infineon und Gigabyte angeboten und lassen sich unter Windows ebenso wie unter Linux und Unix nutzen.

Spektakuläre Schlagzeilen machten Fälle, in denen aufgedeckt wurde, dass Geheimdienste Hardware bereits vor dem Verkauf manipulierten, um so die Daten der späteren Nutzer abgreifen zu können. NSA-Whistleblower Edward Snowden veröffentlichte beispielsweise Dokumente, die belegen, dass die NSA Cisco-Netzwerk-Hardware, die für den Verkauf nach China bestimmt war, entsprechend manipulierte. Solche Manipulationen können Laien leider unmöglich erkennen oder ausschließen. Es bleibt lediglich, die Nachrichten aufmerksam zu verfolgen und auf (hoffentlich) vertrauenswürdige Hersteller sowie eine ansonsten solide Sicherheits-Strategie zu setzen.

Bleiben Sie auf dem Laufenden

Bleiben Sie auf dem Laufenden

Wenn Ihnen dieser Artikel gefällt, bestellen Sie doch unseren Newsletter. Wir haben jede Woche einen neuen, ausführlichen und nützlichen Beitrag für Sie, geschrieben von Fachjournalisten und Experten. Themen: E-Business, Online-Marketing, Social Media und mehr. Mit uns bleiben Sie auf dem Laufenden und lernen jedes Mal etwas Neues hinzu. Aktueller Themenschwerpunkt: „Influencer“.

Jetzt E-Mail eintragen...

„Bring Your Own Device“

Derzeit ein großes Thema in der Berufswelt ist „Bring Your Own Device“, kurz BYOD. Dabei bringen Angestellte ihre eigenen Laptops, Tablets oder Smartphones mit zur Arbeit. Dieses Konzept bietet einige Vorteile: Für den Arbeitgeber ist es finanziell günstiger, die Mitarbeiter müssen sich nicht zwischen verschiedenen Geräten umstellen und sind so häufig zufriedener und produktiver. Aus Datenschutz-Sicht ist BYOD aber eher nicht zu empfehlen. Nur schwer lässt sich sicherstellen, dass die mitgebrachten Geräte in Bezug auf Betriebssystem, Konfiguration und regelmäßige Installation von Updates den Sicherheits-Anforderungen des Unternehmens genügen. Zudem steigt durch eine private Nutzung unter Umständen das Risiko, dass das Gerät mit einem Computer-Schädling (etwa einem Virus oder Trojaner) infiziert und dieser dann im Unternehmen eingeschleppt wird.

Wollen Sie im Unternehmen nicht auf BYOD verzichten, ist es empfehlenswert, ein separates, weniger vertrauenswürdiges Netzwerk für die mitgebrachten Geräte einzurichten. So kommen diese Geräte nicht mit den besonders sensiblen Daten in Berührung und die Verbreitung eventueller Schadsoftware wird eingeschränkt.

Virtual Private Network (VPN)

Website von Open VPN

Website von OpenVPN

Arbeiten Angestellte viel von unterwegs, ist auch die sichere Übertragung vertraulicher Daten und die geschützte Kommunikation mit Vorgesetzten und Kollegen wichtig. Die eleganteste und zuverlässigste Lösung dafür ist ein sogenanntes VPN (Virtual Private Network). Hierbei werden Daten über einen verschlüsselten Tunnel übertragen und sind so vor unbefugten Zugriffen geschützt, auch wenn sie über eigentlich unsichere Netzwerke wie das Internet geleitet werden.

Um ein VPN für Ihr Unternehmen einzurichten, benötigen Sie zunächst die richtige Server-Software. Empfehlenswert ist OpenVPN, weil es nicht nur quelloffen ist (so dass der Programmcode durch unabhängige Dritte auf Fehler oder Hintertüren überprüft werden kann), sondern auch seit Jahren als stabil und zuverlässig gilt. Die Einrichtung ist gut dokumentiert und daher mit überschaubarem Aufwand zu leisten.

Ist das VPN eingerichtet, benötigen die Mitarbeiter eine entsprechende Client-Software, um sich mit dem Netzwerk zu verbinden. Eine solche Software gibt es mittlerweile nicht nur für alle gängigen Desktop-Betriebssysteme, sondern auch für die meisten Mobilgeräte. VPN-Clients sind für iOS, Android sowie Windows-Mobilgeräte mit Windows Phone 8.1 und neuer verfügbar.

In einem früheren UPLOAD-Artikel ist Jan Tißler übrigens bereits darauf eingegangen, wie man sich unterwegs in öffentlichen WLANs schützt. Das ist sicherlich ergänzend interessant.

Daten verschlüsseln: Auf dem Rechner

Website von VeraCrypt

Website von VeraCrypt

Damit sensible Daten nicht in die falschen Hände gelangen, ist es sinnvoll, diese auf der Festplatte zu verschlüsseln. Das gilt in noch größerem Ausmaß für Laptops und Mobilgeräte wie Smartphones und Tablets, die eher gefährdet sind, durch Vergessen oder Diebstahl Unbefugten in die Hände zu fallen.

Auf heutiger Hardware spielt die Leistungseinbuße durch die Nutzung einer Verschlüsselung praktisch keine Rolle mehr. Möglich machen das SSDs und schnelle Prozessoren, die noch dazu größtenteils über eine AES-Befehlssatzerweiterung wie etwa Intels AES-NI verfügen. Dem kaum noch messbaren Leistungsverlust gegenüber steht der massive Sicherheitsgewinn.

Moderne Desktop-Betriebssysteme (Windows, Mac OS X und Linux-Distributionen wie Ubuntu) verfügen mittlerweile ausnahmslos über eingebaute Lösungen, um das Benutzer-Verzeichnis zu verschlüsseln. Diese lassen sich einfach in den Einstellungen oder schon beim Installieren des Betriebssystems aktivieren und schützen dann die Daten automatisch.

Im Gegensatz zur Onboard-Lösung von Linux-Systemen sind die Verschlüsselungs-Lösungen von Windows („BitLocker“) und Mac OS X („FileVault“) nicht quelloffen, das heißt, ihr Programmcode kann nicht von unabhängigen Dritten überprüft werden. Somit ist es theoretisch möglich, dass sie Hintertüren für die Geheimdienste (insbesondere die US-Behörden) enthalten; dergleichen ist in der Vergangenheit vorgekommen. Einen ausreichenden Schutz gegen Kriminelle stellen diese Lösungen trotzdem dar. Wer sich jedoch über die Möglichkeit einer Kompromittierung durch die (US-)Behörden sorgt, der sollte eventuell auf quelloffene Alternativen wie VeraCrypt zurückgreifen. VeraCrypt erlaubt neben dem Verschlüsseln des Benutzerverzeichnisses auch benutzerfreundlich das Verschlüsseln anderer Verzeichnisse, Dateien oder Datenträger und lässt sich somit auch beispielsweise für externe Festplatten oder USB-Sticks benutzen.

Auch moderne Smartphones und Tablets ermöglichen eine Verschlüsselung der gespeicherten Dateien. Dabei handelt es sich um Eigenentwicklungen der Betriebssystem-Entwickler, was die bereits angesprochene Möglichkeit einer undokumentierten Schwachstelle oder sogar einer heimlichen Kompromittierung mit sich bringt. Bislang fehlt es allerdings an nutzbaren Alternativen. Sinnvoll ist eine Verschlüsselung in jedem Fall, schon um verlorene, liegen gelassene oder gestohlene Geräte vor dem Zugriff Neugieriger oder Krimineller zu schützen. Nutzer sollten jedoch im Hinterkopf behalten, dass diese Verschlüsselung keinen absoluten Schutz darstellt.

In einem UPLOAD-Artikel von Markus Schaffrin finden Sie weitere Informationen rund um den Schutz von Smartphone und Tablets vor Angriffen.

Ein weiteres Thema, über das nachgedacht werden sollte, ist die Absicherung von Backups. Diese sind zwar in der Regel an einem physisch sicheren Ort hinterlegt (zumindest, wenn die Infrastruktur, wie oben angesprochen, in der Hand der eigenen Firma ist). Dennoch kann unter Umständen eine zusätzliche Absicherung durch Verschlüsselung sinnvoll sein. Manche Backup-Lösungen wie beispielsweise Apples FileVault beherrschen dies automatisch. Alternativ kommt eine Verschlüsselung des Backup-Datenträgers mit Hilfe von Tools wie dem bereits angesprochenen VeraCrypt in Frage.

Daten verschlüsseln: Im Netzwerk

Website von Open Whisper Systems

Website von Open Whisper Systems

Nicht nur auf dem Computer sind Daten durch unbefugte Zugriffe gefährdet: Auch und gerade während der Übertragung per Internet können Dritte die Daten abfangen und mitlesen. Dementsprechend müssen auch gegen diese Bedrohung angemessene Schutzmaßnahmen geplant und von den Mitarbeitern konsequent umgesetzt werden.

Von großem Vorteil ist, wenn ein Großteil der Kommunikation und des Datenaustauschs, wie bereits angesprochen, über ein VPN erfolgen kann. Daneben gibt es aber auch eine ganze Reihe von Möglichkeiten, Kommunikations-Software durch Verschlüsselung abzusichern.

So ist es in jedem Fall empfehlenswert, E-Mails mit Hilfe der Software GPG (Gnu Privacy Guard) zu verschlüsseln. Entsprechende Plugins gibt es mittlerweile sowohl für alle gängigen Mail-Clients wie Outlook und Thunderbird als auch für Webmail und sogar für das Mobiltelefon. Das Erstellen und Managen der Schlüssel kann ein wenig umständlich sein, ist aber gut dokumentiert und somit recht einfach zu erlernen. GPG ist eine starke und zuverlässige Möglichkeit der Verschlüsselung, die noch dazu eine ausgezeichnete Kompatibilität unter verschiedenen Betriebssystemen und Programmen aufweist.

Auch für die Kommunikation per Instant Messaging gibt es mittlerweile eine ganze Reihe sicherer Alternativen. Besonders empfehlenswert für unterwegs ist der Messenger „Signal“, der über eine sehr gute Sicherheit verfügt und mittlerweile sowohl für Android als auch für iOS angeboten wird.

Wer mehr darüber erfahren möchte: Ich selbst habe bei UPLOAD bereits darüber geschrieben, wie verschlüsselte Kommunikation per E-Mail und Messenger funktioniert.

Sichere Passwörter: Unabdingbar für sichere Daten

Auch die beste Infrastruktur und Software kann nur so gut funktionieren, wie der Zugriffsschutz, mit dem die sensiblen Daten abgesichert sind. In vielen Fällen handelt es sich dabei um Passwörter, da diese (trotz Alternativen wie Smart Cards und Biometrie) nach wie vor die am weitesten verbreitete und am leichtesten einsetzbare Möglichkeit zur Zugriffskontrolle darstellen. Daher ist es wichtig, dass die Mitarbeiter im Vergeben sicherer Passwörter geschult werden.

Grundsätzlich zu vermeiden sind Passwörter mit einem offensichtlichen persönlichen Bezug wie der Geburts- oder Hochzeitstag, der Name des heißgeliebten Haustiers oder der Lieblings-Fußballverein. Nur wenig besser sind scheinbar kryptische Zeichen-Kombinationen, die ein leicht zu merkendes Muster auf einer handelsüblichen Tastatur ergeben – solche Konstruktionen landen regelmäßig unter den Top Ten der meistverwendeten Passwörter und sind für Angreifer dementsprechend einfach zu erraten. Grundsätzlich sind alle Begriffe, die im Wörterbuch zu finden sind, keine guten Passwörter. Besser ist es, Wörter abzuwandeln, indem man beispielsweise Buchstaben durch Zahlen oder Sonderzeichen ersetzt oder sich einen Satz ausdenkt und die Anfangsbuchstaben der Wörter als Passwort verwendet.

In Zeiten von leistungsstarker Hardware und leicht verfügbarer Cloud-Rechenleistung sollten Passwörter mindestens zehn Zeichen haben. So wird verhindert, dass sogenannte Brute-Force-Angriffe zum Erfolg führen, bei denen mit Hilfe von Scripts alle möglichen Zeichen-Kombinationen durchprobiert werden.

Weitere Tipps finden sich auf Websites zur Passwort-Sicherheit, beispielsweise bei „Wie sicher ist mein Passwort“. Davon, hier tatsächlich das eigene Passwort einzugeben, sollte aber eher abgesehen werden – es ist nie ganz auszuschließen, dass es sich bei solchen Projekten um einen sogenannten Honeypot handelt, der nichtsahnende Nutzer zur Herausgabe ihrer Daten verführen soll. Die Test-Funktion sollte vielmehr dazu verwendet werden, ein Gefühl für die Sicherheit verschiedener Arten von Passwörtern zu bekommen.

Neben einem guten Passwort ist natürlich auch ein sicherheitsbewusster Umgang mit diesem Passwort wichtig. Passwörter sollten nicht aufgeschrieben werden, wenn nicht sichergestellt werden kann, dass diese Gedächtnisstütze keinen Unbefugten in die Hände fällt. Nach einer gewissen Zeit (oder einer möglichen Kompromittierung, beispielsweise durch eine Infektion mit Schadsoftware oder das Verwenden des Passworts auf einem unsicheren Gerät) sollte ein neues Passwort vergeben werden. Unbedingt zu vermeiden ist das mehrfache Verwenden von Passwörtern – wird eines der Benutzerkonten kompromittiert, kann der Angreifer sonst mit demselben Passwort auch auf weitere Daten zugreifen. Da dieser Fehler häufig gemacht wird, ist es keineswegs unwahrscheinlich, dass Angreifer diese Möglichkeit ausprobieren.

Fazit

Nie war die Bedrohung für sensible Daten so groß wie heute. Zunehmend organisierte und professionell agierende Online-Kriminelle stellen ein ebenso großes Risiko für vertrauliche Unternehmens-Daten dar wie ihre Befugnisse überschreitende staatliche Behörden. Glücklicherweise ist jedoch auch die Zahl der Möglichkeiten, seine Daten effektiv abzusichern, in den letzten Jahren massiv gestiegen. Zudem hat sich zugleich die Benutzerfreundlichkeit der Sicherheits-Anwendungen in den letzten Jahren stark verbessert und die stetig steigende Hardware-Leistung macht die Nutzung von Verschlüsselung und anderen Schutzmaßnahmen leichter und komfortabler.

Es besteht daher kein Grund für Pessimismus: Mit der richtigen Sicherheitsstrategie ist es sehr wohl möglich, sensible Daten effektiv gegen unbefugte Zugriffe zu schützen und so die Vorteile einer digitalisierten Arbeitsweise zu genießen, ohne den Datenschutz zu vernachlässigen.

Artikel vom 23. Mai 2016