Datenpanne bei 15 deutschen Meldeämtern: Utimaco rät zur Verschlüsselung

Nur umfassende Verschlüsselung schützt vertrauliche Personen- und Behördendaten verlässlich vor Missbrauch

(04.07.08) - "Internet-Nutzer konnten jetzt die Meldedaten von 15 deutschen Städten und Gemein-den abrufen. Nutzerkennung und Passwort für die Datenbank waren zwischen Mitte März und vergangenem Freitag auf einer Website offen einsehbar.” Diese aktuelle Schlagzeile verdeutlicht einmal mehr: Vertrauliche Daten sollten immer und überall abgesichert werden, damit sie nicht in falsche Hände geraten können. Um persönliche und sensible Informationen jederzeit zu schützen, rät Utimaco - The Data Security Company zu einem "Sechs-Punkte-Vorsorge-Plan gegen Daten-missbrauch". Hier werden die sechs folgenschwersten und häufigsten Datenmissbrauchszenarien mit ihren Abwehrmaßnahmen vorgestellt:

1. Bermuda-Dreieck der verschwundenen Notebooks

Leider ist die erwähnte Datenpanne kein Einzelfall: Eine Verschlüsselung der auf mobilen oder stationären Geräten gespeicherten Daten verhindert den Zugriff durch Diebe oder Schnüffler. Wertvolle Informationen wie Ministeriumsunterlagen, Personaldokumente, Steuerdaten oder Forschungsergebnisse sollten grundsätzlich nie ungeschützt gespeichert werden. Ein elektro-nischer Safe, welcher als virtuelles Laufwerk dargestellt wird, verschlüsselt und speichert alle Inhalte sicher und vertraulich. Dieser Safe kann sowohl auf lokalen Festplatten und Netzwerk-verzeichnissen, auf dem PDA, aber auch auf mobilen Medien wie USB- und Flash Speicherkarten, CD-ROM und DVD erstellt werden.

2. Datenwirrwarr Outsourcing

Die organisatorische Absicherung beim Outsourcing regelt vertraglich, wie mit sensiblen Daten umgegangen werden muss und welche Strafen im Schadensfall oder bei Vertrauensbruch anstehen. Besonders kritische Informationen wie Finanzdaten werden gar nicht erst ausgelagert. Der technische Schutz ist beim Einsatz einer qualitativ hochwertigen Verschlüsselungssoftware gewährleistet: Das Unternehmen oder die Behörde behält die Schlüsselhoheit und die Kontrolle über die Daten. Durch die Rollenteilung von Netzwerk- und Sicherheitsadministrator haben unautorisierte Personen keine Chance, sich Zugriff auf vertrauliche Daten zu verschaffen.

3. Sicherheitsfalle elektronische Post

Neben dem Viren- und Spamschutz zählen Daten- und Inhaltskontrolle ebenso zur Absicherung der elektronischen Kommunikation wie die Verschlüsselung von E-Mails und ihren Anhängen. Ziel eines unternehmensweit gültigen Sicherheitskonzepts ist der integrierte Schutz von Endpunkt-Geräten und der Kommunikation. Durch die Verknüpfung grundlegender Anwenderinformationen wie Name, E-Mailadresse und Unternehmens-Zuordnung mit einem Zertifikat zur Identität, sind Geschäfts-interessen auch bei der E-Mail-Kommunikation abgesichert. Ein E-Mail-Gateway verschlüsselt Nachrichten und Anhänge, die über das E-Mail-System eines Unternehmens versandt und empfangen werden.

4. Bodyguards für kleine Geheimnisträger

Mit einer umfassenden Verschlüsselung sind Daten jederzeit sicher, selbst wenn das Speicher-medium, zum Beispiel der USB-Stick, entfernt wird oder verloren geht. Je nach Sicherheitsrichtlinie ist eine vollständige Verschlüsselung des Datenträgers oder die bewusste Mischung von Klartext sowie chiffrierten Dateien möglich. Datenverschlüsselung mit einem zentral festgelegten Benutzerschlüssel ermöglicht, dass Daten zwar innerhalb der Behörde überall zu nutzen sind, sie sich aber nicht von einem unternehmensfremden Rechner einsehen lassen. Eine ideale Lösung besteht aus verschiedenen Modulen, die die sehr komplexen und anspruchsvollen Aufgaben zu Verschlüsselung, Zugriffsschutz, Sicherung von Backups sowie eine Vielzahl weiterer Pflichten erfüllt.

5. Die Gefahr von Innen

Nicht selten sitzt die Gefahr im eigenen Unternehmen, der eigenen Organisation - eingeschleuste Praktikanten, gefrustete Mitarbeiter oder neugierige Putzfrauen können unregistriert auf Daten zugreifen, diese manipulieren oder weiterverbreiten. Auch Pannen wie bei den Meldeämtern sind immer wieder vorstellbar. Professionelle Verschlüsselungslösungen sorgen für einen effektiven Schutz von sensitiven Daten wie Forschungs- und Entwicklungsplänen, besonderen Angeboten oder Kundendaten. Gleichzeitig garantieren sie, dass diese Informationen nur für berechtigte Personengruppen zugänglich sind. Doppelten Schutz bietet dann eine Mehrfach-Authentisierung mittels einer Kombination aus sicherem Passwort und Smart Card.

6. Risiko Verschlüsselungsschlüssel

Selbst wenn ein ausgeklügeltes Sicherheitsgefüge im Unternehmen oder der Organisation besteht, bleibt ein Restrisiko durch ungesicherte Verschlüsselungsschlüssel. Ein manipulationsresistentes Hardware-Sicherheitsmodul (HSM) verhindert den Fremdzugriff auf Verschlüsselungscodes. Die Datensicherheit in einer Organisation hängt von der Unangreifbarkeit der Keys ab. Das HSM sorgt für die sichere Generierung, Speicherung und Anwendung von kryptographischen Schlüsseln.

(Utimaco: ra)