200708_Dataleakbro_DE:CLS7924 data leak bro.qxd - All

Der Verlust vertraulicher Daten:
Versteckte Gefahren der
Geschäftskommunikation
Unternehmen und Organisationen haben in den
vergangenen Jahren viel über den Umgang mit
Gefahren gelernt, die aus dem Internet oder per Email
in das Unternehmensnetzwerk kommen: Bösartige
Inhalte wie Viren, Trojaner, Spyware und Spam.
Der Einsatz von Firewalls sowie Anti-Viren- und Anti-SpamSoftware an den Gateways zum Unternehmensnetzwerk
allein reicht jedoch nicht aus, um sich gegen eine Gefahr zu
schützen, deren Bedeutung und Ausmaß beinahe unbemerkt
zugenommen hat: Der Verlust vertraulicher Daten.
Datenverluste dieser Art treten auf, wenn vertrauliche
Geistiges Eigentum und andere sensible Daten
Geschäftsinformationen wie Unternehmenspläne, Budgetdetails,
Prognosen, Kundendaten, Quellcode oder Produktspezifikationen
In jedem Unternehmen hat der Schutz von Patenten, Marken,
unbemerkt das Unternehmen verlassen oder Mitarbeiter und
Geschäftsgeheimnissen, Designs, Systemarchitekturen,
Außenstehende Zugang zu Informationen erhalten, die nicht für sie
Urheberrechten, Algorithmen, Softwarecode, Bauplänen, Erfindungen,
bestimmt sind, z. B. Daten zu Mitarbeitervergütungen, Entlassungen
Geschäftsprozessen und vielen anderen Unternehmenswerten höchste
und andere personalbezogene Informationen. Der Verlust vertraulicher
Priorität. Die Zeiten jedoch, in der geistiges Eigentum und
Daten kann einen Verstoß gegen rechtliche Bestimmungen darstellen,
Geschäftsinterna in verschlossenen Schränken hinter bewachten
weil in diesem Fall die gesetzlich geforderte Protokollierung und
Türen sicher verwahrt werden konnten, gehören jedoch der
Überprüfbarkeit des Informationsflusses im Unternehmen nicht
Vergangenheit an. Nahezu alle Unternehmensinformationen liegen
gegeben ist.
heutzutage in elektronischer Form vor und sind fast jedem Mitarbeiter
zugänglich. Hinzu kommt, dass Email de facto für die meisten
Vertrauliche Daten können auch verloren gehen, wenn das
Informationen zum Standard-Kommunikations- und damit auch
Unternehmen keine Kontrolle über die Veröffentlichung von Inhalten
Ablagesystem geworden ist, was die kritische Bedeutung von
durch Mitarbeiter über Web 2.0-Anwendungen wie Blogs, Wikis und
Sicherheitsfunktionen für den ausgehenden Nachrichtenverkehr
Social Networking-Websites hat.
zusätzlich erhöht.
Compliance – die gestiegenen Konformitätsanforderungen im
Zusammenhang mit Gesetzen und Bestimmungen ist einer der
Hauptgründe dafür, warum die Problematik der Datenverluste heute
derart an Brisanz gewonnen hat. Führungskräfte von Unternehmen
haben eine rechtliche und soziale Verantwortung, den Verlust
vertraulicher Daten zu verhindern. Wenn sie dieser Verantwortung nicht
gerecht werden, drohen die Haftung für entstandene Schäden,
Kündigung oder strafrechtliche Verfolgung mit möglichen Haftstrafen.
Vom Vorstand bis zur Poststelle müssen alle Mitarbeiter sicherstellen,
dass unternehmenseigene Informationen zu jeder Zeit geschützt,
konsistent, zutreffend, transparent und (für Befugte) zugänglich sind.
Auf welchen Wegen vertrauliche
Daten verloren gehen
Der Verlusts vertraulicher Daten kann über verschiedene Arten des
Im Dezember 2006 teilte das US-Einzelhandelsunternehmen TJX mit, dass
Daten von 45 Millionen Kredit- und Bankkarten zu Transaktionen aus dem
Jahr 2003 von Hackern gestohlen worden waren, die in die
Computersysteme des Unternehmens eingedrungen waren. Das
Unternehmen konnte zunächst weder das Ausmaß des Diebstahls und die
Art der gestohlenen Kundendaten genau ermitteln, noch Aussagen zur
Höhe der finanziellen Schäden machen. Ein Bankenverband forderte The
TJX Companies zu einer Schadenersatzzahlung in Höhe von 590.000 USDollar auf, die dem Finanzdienstleistungsunternehmen nach eigener
Aussage durch finanzielle Einbußen und Rufschädigung in Folge des
Sicherheitslecks entstanden waren.
Quellen: http://www.vontu.com/uploadedFiles/global/PonemonVontu_US_Survey-Data_at-Risk.pdf
(http://www.computerworld.com/action/article.do?command=viewArticleBasic
&articleId=295516&source=rss_topic82
Datenverkehrs erfolgen – ausgehenden, internen und eingehenden.
Verlust von Daten mit ausgehendem
Datenverkehr
Verschiedene Arten von Informationen können das Unternehmen mit
ausgehenden Daten (Email, Internetnutzung, Instant Messaging)
unbemerkt verlassen:
Geistiges Eigentum und andere sensible
Unternehmensinformationen wie Finanzprognosen, Budgets,
wettbewerbsrelevante Informationen, Marketing-Pläne, usw.
Ein US-amerikanisches Software-Unternehmen machte Schlagzeilen, als
Source-Code und elementare Design-Unterlagen aus seinem indischen
Forschungs- und Entwicklungszentrum gestohlen wurden. Ein neuer
Mitarbeiter hatte einen Web-Account für die Versendung der Daten benutzt.
Die Entwicklungsaktivitäten im Zentrum wurden vorübergehend
unterbrochen, während das Management versuchte, die Spur des Codes zu
verfolgen und die Weiterverbreitung zu verhindern. Aber die Meldung war
inzwischen rund um die Welt gegangen.
Sensible Kundendaten wie Kreditinformationen oder Daten zum
Kaufverhalten
Verstoß gegen den Datenschutz
Personengebundene Daten wie z. B. Versicherungsnummern
Eine Liste mit den persönlichen Daten von 4.500 AIDS-Patienten und
weiteren 2.000 HIV-positiv getesteten Personen wurde irrtümlich an 800
Mitarbeiter medizinischer Einrichtungen in Kalifornien gesendet.
Umfassendes Filtern der ausgehenden Inhalte hätte diesen Verstoß gegen
eines der ältesten Datenschutzgesetze überhaupt – das Arztgeheimnis –
verhindern können.
oder Patientendaten
Verlust von geistigem Eigentum
Unkontrollierte Publikation von Inhalten in Social NetworkingWebsites und anderen Web 2.0-Websites
Compliance
Die Gefahren des ausgehenden Datenverkehrs gehen über den
möglichen Verlust von Kundendaten und Preislisten weit hinaus.
Jedes Mal, wenn ein Mitarbeiter auf „Senden“ klickt, entsteht ein
Beweisstück, das für oder gegen das Unternehmen verwendet
werden kann. Nach dem Rechtsprinzip der stellvertretenden
Haftung kann der Arbeitgeber für fahrlässige Handlungen oder
Versäumnisse der Mitarbeiter bei der Erfüllung beruflicher
Aufgaben zur Rechenschaft gezogen werden, auch wenn diese
Handlungen nicht vorsätzlich begangen wurden.
Viele Unternehmen müssen sich der schwierigen Aufgabe stellen,
Konformität mit mehreren, komplexen Regelwerken gewährleisten
zu müssen. Dabei gilt es, sicherzustellen, dass keiner der
Mitarbeiter versehentlich oder vorsätzlich gegen rechtliche Auflagen
verstößt. Unternehmen sind gesetzlich verpflichtet,
Geschäftsprozesse wie die Email-Kommunikation revisionsfähig zu
dokumentieren, um den Nachweis erbringen zu können, dass
Bestimmungen zu finanzieller Berichterstattung und zum
Datenschutz eingehalten werden.
Es sind jedoch nicht nur unerfahrene oder böswillige Mitarbeiter,
die ein Haftungsrisiko darstellen. Kaum eine Woche vergeht, ohne
dass nicht wenigstens einem Vorstandsvorsitzendem,
Finanzvorstand, Börsenmakler oder Anwalt (erfahrene und hoch
qualifizierte Führungs- und Fachkräfte, die eigentlich besser
informiert sein müssten) eine ernstliche Email-Panne unterläuft, die
unterschiedliche schwerwiegende Folgen haben kann: Dramatische
Kurseinbrüche, offizielle Untersuchungen, die Verhängung von
Geldbußen in Millionenhöhe, sensationshungrige
Medienberichterstattung. Die unabsichtliche Verbreitung
vertraulicher Daten macht tatsächlich den Löwenanteil der Verstöße
aus. Hierzu gibt es die interessante Aussage, dass mit geeigneter
Software zur Filterung ausgehender Daten 80 Prozent der
unabsichtlichen oder aus Unwissenheit begangenen
Datenschutzverstöße wirksam verhindert werden können. Nach
Einschätzung der IDC stehen Mitarbeiterfehler unter den
Bedrohungen der Unternehmenssicherheit an vierter Stelle.
Interna aus dem Kernkraftwerk
Im Juni 2005 wurden von einem vireninfizierten Computer geheime
Informationen über japanische Atomkraftwerke im Internet verbreitet.
Die vertraulichen Berichte wurden in einer File-Sharing-Site gepostet,
nachdem der Laptop eines Ingenieurs bei der Arbeit zuhause mit einem
Virus infiziert worden war. Die verlorenen Daten umfassten Fotos aus
dem Inneren der Atomkraftwerke und Adressen von Ingenieuren.
Gesetzliche Bestimmungen und Vermeidung von
Datenverlusten
Sarbanes-Oxley Act: Ein Sicherheitsinstrument für staatlich
Wirtschaftsprüfungsunternehmen, die Bilanzprüfungsverfahren in
börsennotierten Unternehmen durchführen, und für Unternehmen, die im
Bereich Wertpapieranalyse und Investment-Banking tätig sind.
Rechnungsprüfer und Bilanzbuchhalter müssen alle Dokumente und
Aufzeichnungen 5 Jahre lang aufbewahren.
Gramm-Leach-Bliley Act (GLBA): Mit diesem Gesetz wurden in den USA
Richtlinien für den Schutz der Privatsphäre und die Sicherheit der Kunden
von Finanzdienstleistern festgelegt. Das Gesetz verlangt effiziente
technische Sicherheitssysteme für den Schutz gegen Verlust oder
Vernichtung von Daten.
Richtlinien der US-Börsenaufsicht SEC: Diese schreiben vor, dass Belege
für den gesamten elektronischen Nachrichtenverkehr von
Wertpapierhändlern und Brokern für die Dauer von drei Jahren aufbewahrt
werden müssen; davon 2 Jahre in leicht zugänglichem, unveränderlichen
Format.
Richtlinien der NASD: Die NASD (National Association of Securities
Dealers) beaufsichtigt im Auftrag der SEC geschäftliche Praktiken in der
Wertpapierbranche. Sie fordert von Mitgliedsunternehmen die
Implementierung einer Richtlinie (Policy) sowie die Überprüfung des
Schriftverkehrs auf die Einhaltung der „Codes of Conduct“
(Verhaltensregeln).
Regeln der NYSE (New Yorker Börse): Diese Regeln schreiben den an der
New Yorker Aktienbörse tätigen Gesellschaften vor, die Richtlinien der SEC
zur Aufbewahrung von rechnungslegungsrelevanten Dokumenten
einzuhalten und Regeln zu Geschäftspraktiken und –kommunikation im
Vorfeld zu überprüfen.
Basel II: Mit dem Ziel der Schaffung einheitlicher Wettbewerbsbedingungen
entwickeltes Regelwerk, das europäische Standards für ein effektiveres
Risikomanagement von Kredit- und Finanzdienstleistungsinstituten
durchsetzen soll, welche die Einhaltung strenger Richtlinien zum
Datenmanagement und Offenlegungspflichten zu dem Umgang mit
Eigenkapital beinhalten.
Health Insurance Portability and Accountability Act (HIPAA): Fordert die
vertrauliche und sichere Behandlung persönlicher medizinischer Daten bei
der elektronischen Speicherung, Archivierung oder Übertragung. Der HIPAA
sieht bei Verstößen Geldbußen von bis zu 250.000 US-Dollar und
Haftstrafen von bis zu 10 Jahren vor.
Datenschutzgesetz (Richtlinie der Europäischen Union): Die europäische
Richtlinie zum Datenschutz regelt den Schutz persönlicher Daten innerhalb
der Europäischen Union und gilt für alle Organisationen des öffentlichen
und privaten Sektors (abgesehen von Gesetzesvollzugsbehörden und
anderen, nationaler Gesetzgebung unterliegenden Instanzen).
FSA: Die Britische Finanzaufsichtsbehörde (Financial Services Authority):
hat eine weitreichende Vollmacht zur Erlassung von Richtlinien,
Durchführung von Untersuchungen und Durchsetzung der Richtlinien
erhalten, um die Erfüllung der vier gesetzgeberischen Ziele zu
gewährleisten: Vertrauen der Marktteilnehmer, Schaffung eines öffentlichen
Bewusstseins, Verbraucherschutz und die Bekämpfung von
Wirtschaftskriminalität
Verlust von Kundendaten: „Zwei AOL-Mitarbeiter wurden entlassen und der
Chief Technology Officer legte sein Amt nieder, nachdem die
Veröffentlichung (vertraulicher) Internetrecherche-Daten von Tausenden der
AOL-Mitglieder in weiten Kreisen als inakzeptables Verhaltens des
Unternehmens kritisiert wurde.“ ZDNet August 2006
Das Ausmaß des Problems
Interne Datenverluste
Bei einer aktuellen Umfrage des US-amerikanischen Ponemon Institute
Eine Email muss das Netzwerk nicht einmal verlassen, um
zu Sicherheitsvorfällen in der Kommunikation (Data at Risk, Ponemon
Reputationen, Karrieren, Aktienpreise oder die Zukunft eines
Institute, August 2006) berichteten 69 der befragten Unternehmen von
Unternehmens zu ruinieren. Die Versendung von Informationen
ernsten Problemen durch Informationsverluste, die durch vorsätzliche
innerhalb des Unternehmens an die falschen Abteilungen – die
oder versehentliche Sicherheitsverstöße der Mitarbeiter ausgelöst
diesjährigen Bonuszahlungen an den leitenden Manager, Pläne für
wurden. Überwiegend waren die Vorfälle auf Fehlverhalten der
Entlassungen oder die Absicht, einen Teil des Unternehmens an einen
Mitarbeiter und laxe Regeln für den Zugang zu vertraulichen
Mitbewerber zu veräußern – kann katastrophale Folgen haben.
Informationen zurückzuführen.
Nach Angaben der IDC nehmen die Risiken der internen
Kommunikation in Unternehmen aller Größen zu. Zur Illustration hier
Geschäftsinformationen
einige Ergebnisse einer aktuellen Umfrage der IDC:
53 Prozent der sehr großen Unternehmen (10.000 und mehr
Mitarbeiter) und 41 Prozent der großen Unternehmen (1.000 bis
27 Prozent der Vorfälle betrafen persönliche Informationen zu
Kunden
39 Prozent der Vorfälle betrafen vertrauliche
14 Prozent betrafen den Verlust von geistigem Eigentum sowie
Software-Quellcode
10 Prozent betrafen persönliche Informationen zu Mitarbeitern
9.999 Mitarbeiter) haben schon einmal einem Mitarbeiter oder
Dienstleister wegen interner Sicherheitsverstöße gekündigt.
Fazit der Umfrage: Vier Arten von Unternehmensinformationen
27 Prozent der sehr großen Unternehmen und 11 Prozent der
beinhalten das höchste Risikopotenzial: Geistiges Eigentum,
großen Unternehmen haben schon einmal einen Mitarbeiter
vertrauliche Geschäftsinformationen, Kunden- und Verbraucherdaten
wegen interner Sicherheitsverletzungen verklagt.
sowie Mitarbeiterdaten. Das größte Risiko für die Verletzung geistiger
Eigentumsrechte besteht demnach für Excel-Tabellen,
Gefahren durch eingehenden
Datenverkehr
wettbewerbsrelevante Informationen und Quellcode.
Die Risiken des eingehenden Datenverkehrs sind anderer Art als die
des ausgehenden und internen Datenverkehrs. Sie beinhalten Spam,
Spyware- oder Phishing-Gefahren in eingehenden Email- oder IMNachrichten oder die Gefahr ungewollter „Drive-by-Downloads“, d. h.
sich selbst installierender Malware nach dem Besuch manipulierter
Websites. Diese Schadprogramme greifen den PC des Benutzers an,
um Daten herauszuschleusen. Eine aktuelle Untersuchung des
Suchmaschinen-Betreibers Google („The Ghost In The Browser –
Analysis of Web-based Malware”, Juni 2007) ergab, dass 10 Prozent
der analysierten Webseiten (450.000 von 4,5 Millionen) „Drive-byDownloads“ und mehr als 15 Prozent der Seiten (ungefähr 700.000
URLs) Schadprogramme verschiedener Art enthielten.
Der Schutz gegen Schadprogramme aus dem Internet ist daher ein
unerlässlicher Teil des Schutzes gegen den Verlust von Informationen.
Schäden durch Verlust von Daten
Die wirtschaftlichen Schäden durch den Verlust vertraulicher Informationen
können verheerend sein und beinhalten:
Ansehensverlust:: Das Vertrauen von Kunden und Geschäftspartnern in
Unternehmen und Marken ist ein wichtiges Gut, das durch den Verlust
vertraulicher Daten gefährdet sein kann.
Rechtliche Risiken: Unternehmen können sich durch die interne oder
externe Verbreitung geschützter Daten oder Informationen aus der
Finanzberichterstattung strafbar machen.
Verlust von Wettbewerbsvorteilen: Der Verlust wichtiger Produktentwürfe,
Marketing-Pläne oder Preisgestaltungsstrategien kann die
Wettbewerbsfähigkeit eines Unternehmens stark beeinträchtigen.
Compliance-Verstöße: Durch neue Gesetze und Richtlinien besteht eine
Rechenschaftspflicht für Unternehmen hinsichtlich der Speicherung,
Verwendung und Verbreitung von Daten. Ohne Risikomanagement gibt es
für Unternehmen keine Rechtssicherheit mehr.
Warum vertrauliche Daten verloren
gehen
Noch vor wenigen Jahren hatte ein Großteil der Informationen in den
Unternehmens eine strukturierte Form und existierte in der geschützten
Umgebung von Unternehmensanwendungen und –datenbanken.
Mittlerweile sind über 80 Prozent aller Inhalte unstrukturiert – die Daten
befinden sich in Emails, Textdateien, PDFs, Präsentationen und
Tabellen. Dieser unstrukturierte Content kann die Grenzen der meisten
Unternehmenseinheiten mit dem eingehenden, ausgehenden und
internen Datenverkehr frei und unkontrolliert passieren – meist in Form
von freiem Text in Emails, web-basierten Emails oder Email-Anhängen.
Man schätzt, dass 16 Prozent aller Datenverluste auf die externe
Email-Kommunikation zurückzuführen sind und weitere fünf Prozent
auf den Nachrichtenverkehr innerhalb des Unternehmens.
Dieses Problem für die Email-Kommunikation allein zu lösen, wäre
schon schwierig; aber dies ist nicht der einzige Weg, auf dem Daten
verloren gehen. In den letzten Jahren ist die Zahl der
Kommunikationskanäle, über welche Daten das Unternehmen
verlassen können, sprunghaft gewachsen. Durch Instant Messaging,
Web-Mail, Einträge in Foren und Blogs und die Nutzung moderner
Dienste zum Beispiel von Social Networking-Websites sind die Risiken
des Verlusts sensibler Daten enorm gestiegen.
Gefahren im Zeitalter von Web 2.0
Während sich im Internet ein Entwicklungssprung von informativen
oder E-Commerce-Websites hin zu einer Plattform für Dienste und
Applikationen der nächsten Generation (Online-Zusammenarbeit,
Konsumentenapplikationen und geschäftliche Dienste) vollzieht,
zeichnet sich ab, dass das Risiko der Datenverluste durch Web 2.0Technologien eine neue Brisanz erhält.
Blogging-Leck
Clearswift hat vor kurzem in den USA und Großbritannien die weltweit
erste Umfrage unter Unternehmensanwendern zum Thema Nutzung
von Web 2.0-Diensten durch die Mitarbeiter durchgeführt: „Content
Security 2.0 - The Impact of Web 2.0 on Corporate Security”. Die
Zahlen aus Amerika zeigen eine etwas größere Verbreitung der Web
2.0-Anwendungen im Vergleich zu Großbritannien.
87 Prozent der (Büro)Angestellten greifen regelmäßig jede
Ein großes Einzelhandelsunternehmen aus Großbritannien entließ
einen Mitarbeiter wegen rufschädigender Äußerungen in einem
privaten Blog. Seine Verteidigung: Der Arbeitgeber hatte „keine
klaren Vorgaben“ zum Bloggen.
Eine Assistentin des Beauty-Ressorts beim Magazin Ladies Home
Journal verlor ihren Job, weil sie persönliche Kommentare über ihre
Arbeit, Vorgesetzten und Kollegen in ihrem Blog „Jolie in NYC“
veröffentlichte.
MSNBC, Juli 2005
Woche auf Web 2.0-Websites zu und 63 Prozent besuchen
solche Websites ein- oder mehrmals täglich
51 Prozent der Angestellten verbringen eine oder mehrere
Stunden pro Woche mit der Nutzung und dem Besuch von Web
2.0-Websites während der Arbeitszeit
46 Prozent der Angestellten tauschen sich in Social NetworkingWebsites und Online-Communities auch über berufliche Themen
aus
71 Prozent der Angestellten nutzen web-basierte Email am
Arbeitsplatz zu privaten Zwecken
Eine weitere Erkenntnis: Obwohl Web 2.0-Applikationen und –Dienste
wie Blogs, Wikis, Social Networking und RSS (Real Simple
Syndication) Feeds aus Consumer-Diensten entstanden sind, werden
sie mittlerweile von einer wachsenden Zahl von Organisationen und
Unternehmen für die netzwerkweite Verbesserung der OnlineZusammenarbeit und intensivere Teilnahme der Mitarbeiter an
Geschäftsprozessen genutzt. Da die Nutzung von Web 2.0Applikationen aber weitestgehend noch ohne den Schutz durch
Filtering- oder Überwachungslösungen erfolgt, ist auch bei beruflicher
Nutzung mit den gleichen Risiken und Einschränkungen der
Mitarbeiterproduktivität zu rechnen.
Maßnahmen gegen den Verlust
vertraulicher Daten
Für einen wirksamen Schutz gegen Datenverluste ist eine Kombination
von Sicherheitsmaßnahmen notwendig: Eine Richtlinie, in der
festgelegt wird, welche Nutzungsformen und Technologien akzeptabel
sind, sowie Technologien, Personen und Prozesse, welche die
unternehmensweit einheitliche und dynamische Umsetzung dieser
Richtlinie für alle betroffenen Kommunikationsprotokolle sicherstellen.
Risiko portable Endgeräte
Forschungsergebnisse zeigen, dass rund 10 Prozent aller
Datenverluste im Zusammenhang mit portablen Endgeräten wie
Laptops, PDAs, externen Festplatten und Wechselspeichermedien
wie wiederbeschreibbaren CDs, DVDs, Floppy Disks und iPods
auftraten. Diese Art des Datenverlusts ist die vielleicht am
schwersten zu bekämpfende und ähnelt eher der „traditionellen“ Art
des Diebstahls.
Die richtige Policy
In dieser Policy muss eindeutig festgelegt werden, welche
Ausdrucksweise und Inhalte zulässig bzw. welche unerwünscht sind.
Der Schutz gegen den Verlust sensibler Daten beginnt mit der
Bestehen Sie auf einem professionellen Verhalten der Mitarbeiter und
Einführung einer Policy (Richtlinie), die wenige, aber wichtige Kriterien
stellen Sie die Einhaltung externer Auflagen und interner Regeln zum
erfüllen muss:
Content-Management sicher. Führen Sie eine „Etikette“ für die Nutzung
von Email-, IM-, Internet- und Web 2.0-Anwendungen ein, um
Sie muss klar und deutlich sein; das heißt, jeder weiß, was
sicherzustellen, dass sich die Mitarbeiter auch in diesem Umfeld höflich
erlaubt ist und was nicht
und professionell verhalten.
Sie muss praxisgerecht sein; das heißt, Arbeitsabläufe werden
dadurch nicht behindert
Vor Gericht werden Unternehmen wohlwollend betrachtet, die über
Sie muss anwendergerecht sein, das heißt, der
eine schriftliche Internet-Sicherheitsrichtlinie verfügen und ihre
unterschiedlichen Arbeitsweise der Abteilungen wird Spielraum
Mitarbeiter über die Risiken, Regeln und Compliance-Anforderungen
gegeben
der Email-Nutzung aufklären. Ein strategisch angelegtes Programm mit
den Komponenten Policy und Mitarbeiterschulung kann ein
Entscheidend für die Wirksamkeit einer Policy zum Schutz gegen
Unternehmen unter Umständen vor strafrechtlichen Konsequenzen
Datenverlust ist es, einen ausgewogenen Kompromiss zwischen
oder Geldbußen bewahren.
Freiheit und Sicherheit für die unterschiedlichen Bedürfnisse der
betrieblichen Einheiten eines Unternehmens zu finden. Nur selten kann
Schließlich sollte die Einführung einer Policy für akzeptables
eine allgemeingültige, undifferenzierte Policy genügend Flexibilität für
Benutzerverhalten im Unternehmen nicht als einmalige Maßnahme,
alle Personen, auf allen Ebenen, in allen Abteilungen und allen
sondern als langfristiger Prozess angesehen werden, der ständiger
Regionen bieten. Ein Personalleiter muss die Möglichkeit haben,
Weiterentwicklung Raum bietet. Die Mitarbeiter sollten regelmäßige
vertrauliche Personalakten zu versenden, die ein Angehöriger des
Schulungen und Erinnerungen erhalten und das verwendete Content
Vertriebs noch nicht einmal lesen darf. Die Marketingabteilung muss
Security-Produkt sollte gepflegt und aktualisiert werden, um
möglicherweise häufiger umfangreiche Bilddateien und andere Medien
sicherzustellen, dass die auf die Anforderungen des Unternehmens
herunterladen, auf die andere Mitarbeiter keinen Zugriff haben sollen.
zugeschnittene Policy langfristig umgesetzt werden kann. Und wenn
neue Technologien aufkommen – wie zum Beispiel Instant Messaging
In der Praxis hat sich die Einführung einer schriftlich niedergelegten
oder Blogs – muss die Policy angepasst und die Benutzer darauf
Sicherheitsrichtlinie für akzeptables Benutzerverhalten im Kombination
hingewiesen werden.
mit der Aufklärung der Mitarbeiter bewährt. (Die eigene
Sicherheitspolicy von Clearswift als ein anschauliches Beispiel sowie
Wenn Sie sich ausführlicher informieren möchten, werden Sie vielleicht
eine Reihe von praktischen, technischen und rechtlichen Tipps können
unsere neuen Leitfäden für Anwender (zu Instant Messaging, Blogs,
Sie unter www.clearswift.com/resources nachlesen). Es ist ratsam,
etc.) hilfreich finden, die unter www.clearswift.com/resources kostenlos
dass eine neue Policy von einem Mitglied der Geschäftsleitung
zum Download bereitstehen.
eingeführt wird, damit ihr genügend Bedeutung beigemessen wird.
Durch die Einführung eines umfassenden Regelwerks und die
Implementierung eines strategischen Management-Programms –
technisch abgesichert durch richtlinienbasierte Content SecuritySoftware – können sich Arbeitgeber gegen fünf große Gefahren der
elektronischen Kommunikation schützen:
Allgemeine Risiken der Email- und Internetnutzung
Unsachgemäßes Benutzerverhalten der Mitarbeiter
Vorsätzlicher Missbrauch
Email-Pannen
Beschränkung kostenintensiver Haftungsrisiken
Die richtige technologische
Infrastruktur
Woran man gutes Content Filtering
erkennt
Weil das Internet und die Kommunikationssysteme von Unternehmen
Content Filtering ist eine Grundvoraussetzung für eine DLP-Lösung,
auf komplexen Strukturen basieren, ist es natürlich keine einfache
die umfassenden Schutz bietet. Über folgende Fähigkeiten sollte eine
Aufgabe, ein effizientes Sicherheitssystem zu implementieren. In
gute Lösung außerdem verfügen:
Unternehmensnetzen müssen mehrere Schnittstellen zum Internet und
verschiedene Protokolle geschützt werden. Darum ist eine Lösung
Detaillierte Richtlinienverwaltung: Die Fähigkeit der
gefragt, die mehrstufige Sicherheit für den protokollübergreifenden
unternehmensweiten Umsetzung von Richtlinien und der differenzierten
Schutz gegen verschiedenartige Risiken bietet. Die
Umsetzung für verschiedene Abteilungen, Regionen oder Benutzer.
Schlüsselanforderungen an eine effiziente DLP (Data Leak Prevention)-
Content Analyse bis in die Tiefe: Für vollständige Content Security
Lösung – eine Lösung für den Schutz gegen Datenverlust – sind:
muss es möglich sein, eine Vielzahl unterschiedlicher Dateiformate
sowie verschlüsselte und passwortgeschützte Dateianhänge oder
Konformität mit externen Auflagen: Mittel zur Gewährleistung der
Dateien, die in andere eingebettet sind, zu analysieren.
Konformität mit internen Richtlinien und externen Bestimmungen
Erfassung des Datenverkehrs in allen Richtungen: Eine gute Lösung
für Auditoren, Entscheidungsträger und alle Interessengruppen
muss den eingehenden, ausgehenden und internen Datenverkehr aus
des Unternehmens.
allen Anwendungen wie Email, IM und Internetnutzung erfassen
Schutz von Geschäftsinformationen: Herstellung vollständiger
können.
Transparenz und Kontrolle über den gesamten Fluss
Integration von Anti-Spam- und Anti-Viren-Lösungen: Content Filtering
unternehmenskritischer Daten
steigert die Leistung und Genauigkeit integrierter Lösungen für Spam-
Überwachung, Sicherheit und Kontrolle: Detaillierte
und Viren-Schutz, und verbessert den Schutz gegen noch unbekannte
inhaltsbasierte Kontrolle lässt legitime Handlungen zu, ohne den
Gefahren („Zero Day“).
normalen Geschäftsablauf zu behindern
Lösung der Enterprise-Klasse: Eine gute Content Filtering-Lösung
Automatische Durchsetzung der Policy: Eine richtlinienbasierte
erfüllt mit hoher Stabilität, Performance, Verwaltungsfreundlichkeit und
Lösung automatisiert die flächendeckende Durchsetzung der
Workflow-Unterstützung die Anforderungen großer Unternehmen.
Richtlinie für akzeptables Benutzerverhalten
Anwenderfreundlichkeit: Komfort in Bereitstellung, Betrieb und
Schutz aller Schnittstellen zum Internet: Email, Internet und IM –
Aktualisierung; übersichtliche, intuitiv bedienbare Management-Tools;
einheitliche Richtlinienumsetzung und Schutz aller
aussagekräftige, aber einfach anzuwendende Reporting-Funktionen
Datenübertragungen auf Basis mehrerer Protokolle
und automatisierte Updates
Das Besondere an Clearswift
Clearswift bietet Unternehmen umfassend ausgestattete Lösungen,
Gateway-Schutz der EnterpriseKlasse
welche die Anwendung von Best-Practice-Verfahren für den Schutz
Clearswift bietet Content Security-Lösungen für den Schutz aller von
gegen Datenverluste ermöglichen und Content Security für die interne
den Benutzern erzeugten, im Netzwerk übertragenen Daten sowie den
und externe Email-Kommunikation, Internetnutzung sowie Web 2.0 und
Datenaustausch mit dem Internet.
IM-Anwendungen durch die konsistente Durchsetzung einheitlicher
Richtlinien für alle Datenübertragungen gewährleisten.
Die Lösungen des Portfolios decken den SMTP-Datenverkehr über
Exchange-Systeme, den HTTP-Internetdatenverkehr sowie webbasierte Email, Instant Messaging und Domino ab. Richtlinien können
Zentrales Policy-Management
Ein klarer Vorteil der Clearswift-Lösungen ist die Fähigkeit des
zentralen Policy-Managements über eine einheitliche Oberfläche für
alle verschiedenen Kommunikationskanäle.
bei Bedarf bis auf Benutzerebene und für verschiedene Datenformate
definiert werden. Der gesamte Datenverkehr wird auf Basis der
festgelegten Policy überprüft. Je nach Prüfungsergebnis und den
Regeln der festgelegten Policy können unterschiedliche Maßnahmen
erfolgen:
Die zentrale Richtlinienumsetzung für interne und externe EmailGateways über eine einzige Management-Konsole bieten wir für die
Kombination unserer Email-Sicherheitslösung MIMEsweeper for SMTP
und EXCHANGEmanager.
1) Weiterleitung zur Verschlüsselungskomponente, wenn vertrauliche
Inhalte erkannt wurden
2) Weiterleitung an ein Archiv, wenn in den Richtlinien vorgesehen
3) Benachrichtigung eines Compliance-Beauftragten bei einem
möglichen Verstoß gegen die Policy.
Enterprise Content Governance
Enorme Mengen unstrukturierter Daten werden innerhalb der
unternehmenseigenen Netzwerke und zwischen Unternehmen
ausgetauscht. Ursache ist die allgemeine Zunahme der
elektronischen Kommunikation. Der Umfang und die
Komplexität dieses Phänomens erfordert von Unternehmen
den Einsatz von Best-Practice-Verfahren für die sichere
Nutzung von Email, Internet und IM, damit gewährleistet ist,
dass der gesamte von den Benutzern erzeugte Datenverkehr
geschützt wird und somit internen Nutzungsrichtlinien sowie
allen von außen auferlegten Vorgaben wie behördlichen,
rechtlichen und Datenschutzbestimmungen entspricht.
Clearswift fasst die verschiedenen Verfahren, die umfassende
Content Security und Compliance ermöglichen, unter dem
Begriff Enterprise Content Governance (ECG) zusammen.
ECG ist die Vision von Clearswift für Content Security. ECG
beinhaltet die Kontrolle, Überwachung und Protokollierung
aller übertragenen Inhalte auf Basis aller
Kommunikationsprotokolle, Systeme und Unternehmensdaten
und ist gekennzeichnet durch die einheitliche Durchsetzung
einer allgemeingültigen Policy. Das Ziel von ECG ist die
Unterstützung der konsistenten Durchsetzung einer
Unternehmensrichtlinie für alle übertragenen Daten.
Bidirektionaler Schutz gegen den
Verlust vertraulicher Daten
Interne Risiken:
Zielsetzung für die Einführung unserer integrierten Email und Web
Schutz der internen Email-Kommunikation in ExchangeUmgebungen
Appliances war die Fähigkeit der konsistenten Anwendung von
Diese Lösung wurde für die konsistente Durchsetzung von Policies für
Content-Richtlinien an der Grenze zum Netzwerk.
Content Security und den Schutz vertraulicher Daten für den SMTPund den internen Datenverkehr in Exchange-Umgebungen über eine
Dieser Lösungsansatz wurde entwickelt, um eine komplexe Aufgabe zu
zentrale Konsole entwickelt. Sie erleichtert Unternehmen die
vereinfachen: Die Definition, Durchsetzung und Verwaltung von
Umsetzung von Best-Practice-Verfahren für Email Content Security, die
benutzerbasierten Richtlinien für Content Security und den Schutz
Kontrolle der Inhalte in ausgehenden Nachrichten, die Abwehr von
gegen Datenverluste an den SMTP- und HTTP-Internet-Gateways
Spam und Schadprogrammen sowie die Gewährleistung der
durch die Kombination einer einzigartigen Auswahl weltweit führender
Konformität des gesamten eingehenden, ausgehenden und internen
Email- und Internetsicherheitstechnologien mit den Funktionen der
Email-Nachrichtenverkehrs mit der geltenden Policy des Unternehmens
MIMEsweeper Policy- und Content-Engines für die vollständige
und externen Auflagen.
rekursive Zerlegung sämtlicher Inhalte, die lexikalische Analyse, die
Erkennung von Schlüsselwörtern und den Musterabgleich.
Über die neue zentrale Konsole können integrierte Richtlinien für den
Email- und Internet-Datenverkehr verwaltet werden, um die Konformität
des ein- und ausgehenden Datenverkehrs mit der Policy für
akzeptables Benutzerverhalten zu gewährleisten.
Interne Risiken:
Schutz für Lotus Domino-Umgebungen
MIMEsweeper for Domino ist die weltweit umfassendste Content
Security-Lösung für Lotus Domino-Umgebungen. Die policy-basierte
Lösung bietet Schutz gegen Gefahren in allen Domino Mail- und
statischen Datenbanken – in R6 oder R7-Umgebungen.
Produkte und Lösungen von
Clearswift
Die MIMEsweeper Web Appliance ist eine Internet-Sicherheitslösung
der Enterprise-Klasse, die alle Funktionen für den Schutz gegen die
Risiken der Internet-Nutzung im ein- und ausgehenden Datenverkehr in
Unsere preisgekrönten MIMEsweeper Email-Sicherheitslösungen sind
einer kompakten Appliance mit hohem Anwenderkomfort bei
in drei Implementierungsformen verfügbar – Software, Appliance und
Installation, Verwaltung und Wartung vereint. Erhältlich als Standalone-
Managed Service – und können in einer mehrstufigen
Lösung oder als Teil eines Lösungsverbunds mit weiteren Web
Sicherheitsumgebung kombiniert werden, um die bestmögliche
Appliances oder der Email Appliance.
Durchsetzung von Sicherheitsrichtlinien für alle Arten von
Datenübertragungen zu gewährleisten.
MIMEsweeper for Web ist die Internetsicherheitslösung in der
Software-Ausführung. Sie ist mit der gleichen neuen Content Engine
Die MIMEsweeper Email Appliance deckt alle eingehenden Gefahren
wie die Web Appliance-Lösung ausgestattet und bietet zusätzlich die
und Content Compliance-Anforderungen für den ausgehenden SMTP-
Flexibilität der Integration mit den URL-Filter- und Anti-Viren-
Datenverkehr in einer kompakten Linux-Appliance ab, die hohen
Technologien eigener Wahl. Durch die höhere Auflösung der Content
Anwenderkomfort bei Installation, Verwaltung und Wartung bietet. Die
Analyse-Funktionalität im Vergleich zur Appliance empfiehlt sie sich
Appliance ist als Stand-Alone-System oder als integrierte Lösung in
besonders für den Einsatz in Umgebungen mit sehr komplexen
Kombination mit der Web Appliance und einer zentralen Konsole für die
Anforderungen hinsichtlich der Kontrolle von Inhalten.
konsistente Umsetzung von Richtlinien für Content Security und den
Schutz gegen Datenverlust erhältlich.
MIMEsweeper for SMTP schützt Unternehmen gegen alle Gefahren
der Email-Kommunikation durch die Integration von Anti-Spam-, AntiVirus- und umfassende Outbound Content Security-Funktionen in einer
Lösung. Diese Lösung kann mit EXCHANGEmanager und einer
zentralen Konsole kombiniert werden, um die konsistente Anwendung
von Content Security- und Datenverlust-Richtlinien für den
ausgehenden und internen Email-Nachrichtenverkehr zu gewährleisten.
EXCHANGEmanager verhindert die Verbreitung ungeeigneter Inhalte
im Exchange-basierten Email-Verkehr zwischen den Standorten,
Abteilungen und Mitarbeitern von Unternehmen.
MIMEsweeper for Domino ist eine policy-basierte Lösung, welche die
Verbreitung ungeeigneter Inhalte und Dateianhänge über DominoEmail-Systeme verhindert.
MIMEsweeper Email Managed Services wehren alle Email-Gefahren
ab, bevor sie das Netzwerk schädigen können, und gewährleisten
Richtlinienkonformität und Geschäftskontinuität durch EmailArchivierung.
MIMEsweeper schützt den gesamten Datenverkehr der Benutzer eines
Unternehmensnetzwerks und gewährleistet Konformität mit internen
Richtlinien und alle internen Kontrollmöglichkeiten, die durch staatliche,
gesetzliche oder branchenspezifische Auflagen vorgeschrieben
werden. Die MIMEsweeper-Lösungen bieten hohen Komfort bei
Bereitstellung, Verwaltung und Wartung. Es sind Email-, Internet- und
IM-Content Security-Systeme für kompromisslose Sicherheit im
gesamten ein- und ausgehenden sowie internen Email-Verkehr.
Die HTTP und IM-Internetsicherheitslösungen sind als Appliance- oder
Softwarelösungen erhältlich.
MIMEsweeper IM Enterprise Edition – MIMEsweeper IM Enterprise
Edition ist das Resultat unserer erfolgreichen Kooperation mit
FaceTime. Die umfassende Sicherheitslösung ermöglicht die Nutzung
von öffentlichen IM-Systemen oder speziellen IM-Tools der
Unternehmens- und Finanzkommunikation für die Verbesserung der
geschäftlichen Zusammenarbeit und gewährleistet dabei Content
Security sowie Konformität mit Richtlinien und Gesetzen. Die Lösung
bietet außerdem Gateway-Sicherheitsfunktionen, welche die Kontrolle
der unerwünschten Nutzung anderer P2P (Peer-to-Peer)Anwendungen wie Skype, File Sharer und Proxy Anonymizer des Typs
„Evasive Applications“ ermöglicht, die von den meisten GatewaySicherheitslösungen nicht erfasst werden.
Das gemeinsame Merkmal aller Lösungen von Clearswift für den
Schutz der elektronischen Kommunikation ist ihr hoher
Anwenderkomfort: Übersichtliche, intuitiv bedienbare
Benutzeroberflächen, vollständig automatische Updates,
leistungsstarke Reporting-Tools und leicht verständliches PolicyManagement.
Weil wir unsere Content Security-Lösungen mit der Zielsetzung
höchstmöglicher Anwenderfreundlichkeit ständig weiterentwickeln,
können zahlreiche, weltweit erfolgreiche Unternehmen das Internet
bedenkenlos nutzen. In dem sicheren Wissen, dass das geistige
Eigentum des Unternehmens und alle vertraulichen Daten geschützt
sind; Malware, unerwünschte Inhalte oder Dateitypen nicht im
Netzwerk zirkulieren und das Netzwerk auch vor neuartigen Gefahren
geschützt ist, können Clearswift-Anwender die Chancen der
elektronischen Kommunikation in Wettbewerbsvorteile verwandeln.
Kein anderer Anbieter bietet ein Portfolio sicherer, integrierter und
policy-basierter Sicherheitslösungen für Unternehmen mit einer
vergleichbaren Vielfalt und Funktionalität bei attraktiven Preisen.
Clearswift vereinfacht das Content Management für den gesamten
Datenverkehr.
Wie Clearswift Unternehmen
unterstützt
Die Implementierung einer Lösung, die gegen den Verlust vertraulicher
Daten schützt und Compliance mit Gesetzen und Richtlinien aller Art
gewährleistet, wird in vielen Unternehmen als schwierige und
kostenaufwändige Aufgabe gesehen. Vor der Implementierung müssen
die möglichen Geschäftsauswirkungen bedacht werden:
Bereitstellung zusätzlicher Content Security-Lösungen am
Gateway und im Netzwerk
Bereitstellung einer Lösung für das Management von
Sicherheitsvorfällen bzw. eines Sicherheitswarnsystems
Zusätzlicher Personalbedarf im IT-Bereich
Notwendige Anpassungen der IT-Reporting-Struktur
Veränderung des Zugangskontrollsystems für das Netzwerk
Erhöhte Anforderungen bei Überwachung und Reporting der
Netzwerkfunktionen
Notwendige Veränderungen von Software- sowie Prozesse für
und Konfigurations- und Change-Management
Clearswift unterstützt Unternehmen bei diesen Veränderungsprozessen
mit einer Kombination von Consulting-Services und praxisbewährten
integrierten Content-Lösungen.
Weitere Informationen zu den Produkten und Services von Clearswift
sind auf der Clearswift-Website unter www.clearswift.com erhältlich.
Über Clearswift
Clearswift simplifies content security.
Die Produkte von Clearswift setzen Best Practice-Nutzung von Email,
Internet und IM-Anwendungen um. Sie stellen sicher, dass der
gesamte Datenverkehr internen Richtlinien sowie externen
Bestimmungen entspricht.
Unsere Content-Filtering-Lösunen erleichtern die Implementierung und
Verwaltung kompromissloser Email- und Internetsicherheit für den einund ausgehenden Datenverkehr.
Clearswift ist der einzige Anbieter von Sicherheitsprodukten, der
umfassende Lösungen in drei Implementierungsformen bietet – als
Software, Appliance oder Managed Service:
Alle drei Varianten für den Schutz der elektronischen Kommunikation
sind gekennzeichnet durch die unkomplizierte, komfortable Bedienung
mit den folgenden Merkmalen: Komfortable Implementierung,
Verwaltung und Betrieb dank klar strukturierter intuitiver
Benutzeroberfläche. Automatische Updates. Leistungsfähige ReportingFunktion und Policy-Management.
20 Jahre Erfahrung mit Implementierungen in 17.000 Unternehmen
ermöglichten es Clearswift, Sicherheitsstandards stets
weiterzuentwickeln und gleichzeitig das Sicherheitsmanagement
erheblich zu vereinfachen.
Mit Hilfe der Clearswift Lösungen können zahlreiche, weltweit
erfolgreiche Unternehmen das Internet bedenkenlos nutzen. Das Ziel
von Clearswift ist es, im Markt immer einen Schritt voraus zu sein und
seinen Kunden einen umfassenden Schutz gegen alle neuen Gefahren
zu bieten.
United States
United Kingdom
Germany
100 Marine Parkway, Suite 550
Redwood City, CA 94065
1310 Waterside, Arlington Business Park,
Theale, Reading, Berkshire, RG7 4SA
Tel : +1 800 982 6109
Fax : +1 888-888-6884
Tel : +44 11 8903 8903
Fax : +44 11 8903 9000
Amsinckstrasse 67, 20097
Hamburg
Tel : +49 40 23 999 0
Fax : +49 40 23 999 100
Spain
Australia
Japan
Cerro de los Gamos 1, Edif. 1
28224 Pozuelo de Alarcón, Madrid
Tel : +34 91 7901219 / 220
Fax : +34 91 7901112
Ground Floor, 165 Walker Street,
North Sydney, New South Wales, 2060
Tel : +61 2 9424 1200
Fax : +61 2 9424 1201
Hanai Bldg. 7F, 1-2-9, Shiba Kouen
Minato-ku, Tokyo 105-0011
Tel : +81 (3) 5777 2248
Fax : +81 (3) 5777 2249
www.clearswift.com