Produzierende Unternehmen sowie ihre Dienstleister und Partner müssen für den Schutz ihrer Daten und IT-Systeme gesetzliche Vorgaben und branchenspezifische Regelungen umsetzen. Hilfsmittel dafür sind DLP-Lösungen, die nicht nur Datenabfluss und den Eintrag von Schadcode verhindern, sondern für den Nachweis von Compliance auch die Umsetzung von Richtlinien erfassen und Datenübertragungen dokumentieren.
Digitalisierung und Vernetzung in Industriebetrieben erleichtern und vereinfachen Arbeitsabläufe und erhöhen die Produktivität. Der daraus entstehende rasante Anstieg des Datenvolumens vergrößert jedoch die Angriffsfläche erheblich, nicht nur für Angriffe von außen, sondern auch für Fehler und Versehen von Mitarbeitern sowie für Aktivitäten böswilliger Insider. Dazu kommt eine wachsende Zahl von Tools und Devices für Kommunikation und Zusammenarbeit, die ebenfalls Datenlecks begünstigen können. Gesetzliche Regelungen, Vorgaben zum Schutz sensibler Unternehmensdaten sowie branchenspezifische Prüf- und Bewertungsmodelle sollen die Risiken des datengeschützten Arbeitens verringern. Ein Großteil der Produktionsunternehmen muss mehr als eine der folgenden Regelungen umsetzen:
DSGVO
Die DSGVO gilt unabhängig vom Wirtschaftszweig EU-weit für alle Unternehmen und Organisationen und regelt den Schutz von personenbezogenen Daten. In Form von Kunden-, Partner-, Dienstleister- und Mitarbeiter-Daten fallen sie auch in Industriebetrieben an. Unter anderem muss sichergestellt sein, dass diese Daten nicht unkontrolliert abfließen und unbefugten Personen nicht zugänglich sind bzw. nicht offengelegt werden.
IT-Sicherheitsgesetz
Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme regelt den Schutz der IT-Infrastruktur in den für das Wohlergehen der Bevölkerung wichtigen Branchen, darunter den KRITIS-Unternehmen und weiterhin deren Partnern und Dienstleistern. Die geplante Novelle, das IT-Sicherheitsgesetz 2.0, soll die Anforderungen auf eine weitere KRITIS-Branche und eine neue Kategorie besonders wichtiger Unternehmen ausdehnen.
Geschäftsgeheimnisschutzgesetz
Das Geschäftsgeheimnisschutzgesetz (GeschGehG) räumt mit der Gemengelage von Regelungen zum Schutz von Geschäftsgeheimnissen auf. Allerdings knüpft es die Möglichkeit der Inhaber von Geschäftsgeheimnissen, Ansprüche gegen den Rechteverletzer geltend zu machen, an Voraussetzungen: Die Unternehmen müssen ihre Geschäftsgeheimnisse identifizieren und technische und organisatorische Maßnahmen (TOMs) einführen, die geeignet sind, interne und externe Verletzungen der Geheimhaltung zu verhindern.
TISAX
TISAX (Trusted Information Security Assessment Exchange) ist ein von der Automobilindustrie verwendeter Standard für Informationssicherheit. Der Verband der Automobilindustrie (VDA) hat dafür einen Fragenkatalog zu den Komplexen Informationssicherheit, Anbindung Dritter, Datenschutz und Prototypenschutz entwickelt, der auf ISO 27001 beruht und an die Anforderungen der Automobil-Branche angepasst wurde.
ISO 27001 und 27701
Im Kontakt mit Partnern ab einer gewissen Größe und im internationalen Kontext ist sehr häufig eine Zertifizierung nach ISO 27001 erforderlich. ISO 27001 beschreibt die Anforderungen an ein Informations Security Management System (ISMS, Managementsystem für Informationssicherheit). Es definiert die Verfahren, Regeln und Maßnahmen, mittels derer Unternehmen Informationssicherheit definieren, steuern, kontrollieren, aufrechterhalten und optimieren können. Da personenbezogene Daten kaum berücksichtigt werden, hat die ISO-27000-Familie mit der Ergänzungsnorm ISO 27701 ein ISMS speziell für den Datenschutz erhalten.
Schutz durch DLP-Lösung
Sicherheitsrichtlinien auf Papier sind für den Schutz sensibler Daten nur der erste Schritt. Für Konformität mit den Regelungen müssen sie mit TOMs umgesetzt werden. Die Überwachung von Vorgaben mittels Data Loss Prevention erlaubt die Kontrolle, ob Policies eingehalten werden, sowie Reaktionen auf Verstöße. Typische TOMs einer DLP Lösung ergänzen einander nahtlos:
- Eine Inhaltskontrolle prüft bei Datentransfers via E-Mail, Web-Browser oder anderen Online-Diensten die Inhalte der Dateien. Unerwünschte Übertragungen werden unterbunden.
- Sensible Inhalte, die sich entgegen der Richtlinien lokal auf Arbeitsplatzrechnern befinden, werden via eDiscovery-Funktion entdeckt.
- Device Control-Funktionalität stellt sicher, dass Mitarbeiter ausschließlich firmeneigene bzw. vom Management zugelassene USB-Sticks am Arbeitsplatzrechner verwenden. Dies verhindert das Ausschleusen von Daten bzw. das Eindringen von Schadcode über Datenträger.
- Mittels erzwungener USB-Stick-Verschlüsselung ist der Schutz der Daten auf den zugelassenen Datenträgern gewährleistet.
Revisionssichere Erfüllung von Nachweispflichten
Gute DLP-Lösungen protokollieren alle Dateiübertragungen revisionssicher. Auswertungen der Logfiles sind als Reporte Grundlage für die Erfüllung von Nachweispflichten bei Audits und gegenüber der Datenschutzbehörde. Die Reporte können auch unkompliziert an SIEM-Systeme übergeben werden. Bei einem Datenleck sind Unternehmen in der Lage, Verursacher und Umfang des Schadens sowie Austrittspunkte zu ermitteln, Meldepflichten entsprechend DSGVO und IT-Sicherheitsgesetz zu erfüllen und forensische Untersuchungen zu betreiben.
DLP-Lösungen wie Endpoint Protector sind ausgereifte Systeme. Mit einer solchen Lösung können Produktionsunternehmen TOMs zum Schutz sämtlicher sensiblen Daten umsetzen und die Nachweispflichten den Regelungen, Vorgaben und Standards entsprechend erbringen.