Noch sind wir nicht so weit wie die Polizisten in Dubai, die seit kurzem einen Roboter als Kollegen haben. In unserem Büro wird die Arbeit noch ganz traditionell von Menschen erledigt, und in Ihrem wahrscheinlich auch. Das hat den Vorteil, dass man mit ihnen nach der Arbeit mal auf ein Bier gehen kann und Gespräche witzig und unterhaltsam sein können, aber auch Nachteile: Menschen machen Fehler, auch im Umgang mit sensiblen Daten. Die Möglichkeiten dazu nehmen zu; vor allem vier Faktoren erhöhen das Risiko für eine versehentliche Datenweitergabe oder einen versehentlichen Datenverlust:
Mehr Daten
Das weltweite Datenaufkommen wächst rasant, Statista prognostiziert einen Anstieg von gut 16 Zettabyte im Jahr 2016 auf 163 Zettabyte bis zum Jahr 2025. Unternehmen gehören zu den Treibern dieser Datenvermehrung, denn an jedem PC-Arbeitsplatz in einem mittelständischen Unternehmen entstehen laut einer 2014 von Techconsult und QSC erstellten Studie täglich durchschnittlich 4 GB. 600 MB davon, so die Untersuchung weiter, werden täglich von jedem PC aus an Stellen außerhalb des Unternehmens übertragen, beispielsweise an Kunden, Partner oder nicht an das interne Netz angebundene Standorte. Allein das zunehmende Datenvolumen vergrößert gewissermaßen die Angriffsoberfläche und damit die Möglichkeit, dass Teile davon abhandenkommen. Der Anteil der personenbezogenen oder aus anderen Gründen zu schützenden Daten an der übertragenen Menge wird in der Techconsult-/QSC-Studie mit rund zwei Dritteln, also 400 MB angegeben.
Mehr Zugriff
Zugleich steigt der Anteil der Mitarbeiter, die im Rahmen ihrer Aufgaben mit sensiblen Daten zu tun haben. Einer Varonis-Studie zu Insider-Bedrohungen aus dem Jahr 2016 zufolge benötigen 88 Prozent der befragten Endanwender für ihre Arbeit Zugriff auf sensible Daten wie Kunden- und Mitarbeiterdaten, Finanzberichte, vertrauliche Unternehmensdokumente und andere, 12 Prozent mehr als noch zwei Jahre zuvor. 62 Prozent der Endanwender können zusätzlich auf Firmendaten zugreifen, die wahrscheinlich nicht für sie bestimmt sind. Umgekehrt wird nach den Angaben der befragten IT-Profis nur in 29 Prozent der Unternehmen die Vergabe von Zugriffsrechten restriktiv gehandhabt, so dass die Mitarbeiter ausschließlich auf die Daten zugreifen können, die sie tatsächlich für ihre Aufgaben benötigen. Da die Angestellten im Rahmen ihrer Tätigkeit mit Kollegen, Kunden und Partnern kommunizieren und Daten austauschen, erhöhen die umfassenden Zugriffsmöglichkeiten das Risiko von Datenverlust und Datendiebstahl.
Mehr Anwendungen
Auch wenn die E-Mail immer wieder totgesagt wird, gehört sie immer noch zu den gebräuchlichsten Anwendungen. Im laufenden Jahr sollen, so die Prognose von Statista, allein in Deutschland mehr als 730 Milliarden E-Mails verschickt werden. Zudem haben sich seit der ersten E-Mail vor mehr als 40 Jahren die Möglichkeiten, Dateien zu übermitteln, vervielfältigt: Neben einer Vielzahl von E-Mail-Programmen stehen massenhaft Cloud-Speicher, Kollaborations- und Synchronisationswerkzeuge, Messaging-Dienste und andere zur Verfügung. Ein Moment der Unaufmerksamkeit, ein vorschneller Klick, schon ist das Dokument weitergegeben oder an den falschen Adressaten übermittelt.
Mehr Geräte
Mit zunehmender Mobilität werden vermehrt mobile Geräte wie Smartphones, Tablets, Laptops eingesetzt, auf denen die Angestellten Daten zum Arbeiten unterwegs oder zuhause mitnehmen. Laut dem Digital-Index 2016 bekommen 44 Prozent der Büro-Arbeiter von ihrem Arbeitgeber ein Smartphone oder einen Tablet-PC zur Verfügung gestellt; weitere 22 Prozent haben private Endgeräte in die Firmenstruktur integriert. Zudem sind in Deutschland Millionen von USB-Sticks im Umlauf, 2016 kamen mehr als 16 Millionen neu dazu. Geringe Größe und geringes Gewicht machen die Geräte transporttauglich, allerdings sind sie im öffentlichen Raum ungeschützt vor Verlust und Diebstahl, und die darauf gespeicherten Daten können, sofern sie nicht verschlüsselt sind, von Unbefugten eingesehen werden.
Unterm Strich: Für mehr Sicherheit sorgen
Menschen machen Fehler, aber als vernunftbegabte und lernfähige Wesen können sie ihr Verhalten ändern und an neue Anforderungen anpassen. Durch Schulungen und Trainings werden sie aufmerksam auf Bedrohungen und Risiken, Richtlinien geben ihnen Handlungsrahmen vor. Allerdings klappt die Einhaltung von Regeln meist nur bis zu einem gewissen Grad, dann kommen ihnen andere Eigenschaften in die Quere. Aus Neugier wird ein gefundener USB-Stick an den Rechner angeschlossen oder auf Dateien zugegriffen, die nichts mit der Arbeit zu tun haben; in der Eile werden Daten auf dem USB-Stick nicht verschlüsselt oder, obwohl nicht erlaubt, schnell in einem Cloud-Speicher abgelegt.
Unternehmen im digitalen Zeitalter tun gut daran, ihre Daten so gut zu schützen wie Bargeld. Diese Denkweise ist ausschlaggebend für erfolgreiche Prävention. In Anwendungen und Prozessen sollte deshalb Sicherheit von Beginn an berücksichtigt und eingebaut werden. Lösungen für Data Loss Prevention übernehmen dabei die Aufgabe, durch die Überwachung der Datentransfers die Einhaltung der Sicherheitsrichtlinien für alle Mitarbeiter gleichermaßen sicherzustellen, bei riskanten Datentransfers zu warnen und sie gegebenenfalls zu blockieren.