Auf dem gerade beendeten CIO Europe Summit 2011 in Berlin präsentierte der Security-Lösungsanbieter InfoWatch führenden Wirtschaftsvertretern Informationen und neueste Statistiken zu Data Leakage Prevention (DLP). Neben der Diskussion über vermeidbare Daten-Verluste im vergangenen Jahr wurde ergänzend das enorme Potenzial von DLP-Technologien beim Einsatz in Unternehmen und Institutionen erläutert.
Als einer der Marktführer bei DLP-Produkten bietet InfoWatch nicht nur professionelle Lösungen, sondern analysiert seit 2004 aktiv die globale Situation bei bewussten oder unbewussten Daten-Lecks, die Unternehmen und Behörden zu schaffen machen. Eine umfangreiche Datenbank erlaubt so detaillierte Statistiken, deren Zahlen alles andere als beruhigend sind.
Durchschnittlich alle 11 Stunden werden Millionen von Datensätzen entwendet. 654 Millionen Datensätze geraten so jährlich in falsche Hände. Allein der finanzielle Schaden ohne Reputationsverlust liegt im dreistelligen Millionenbereich. Dies sind nur die offiziellen Zahlen. Die Dunkelziffer soll in Deutschland um das 10 bis 20-fache höher liegen.
Aufklärung im Kampf gegen Datenverluste
"Datenschutz ist ein großes Thema und Data Leakage Prevention steht bei jedem Unternehmen auf der Agenda. Wo liegen die Probleme? Bei Data Leakage haben wir es immer noch mit sehr viel Aufklärungsarbeit zu tun", erklärt Natalya Kaspersky, Mitbegründer von Kaspersky Lab und CEO von InfoWatch, die Situation. "In Gesprächen mit Vertretern auch größerer Unternehmen erleben wir immer wieder, dass Data Leakage als ärgerliches und durchaus kostspieliges Übel wahrgenommen wird, gegen das sich nichts ausrichten lässt, nicht einmal mit modernster Verschlüsselung und Firewalls. Diese Auffassung ist insofern richtig, als dass die klassischen Maßnahmen zur IT-Security nicht unbedingt gegen Data Leakage wirken. Mails werden an falsche Empfänger geschickt, Daten landen ungeschreddert im Altpapier und ganze Datenbanken gehen versehentlich mitsamt Notebook verloren. Wer solche Lücken hat, braucht Hacker auch nicht mehr zu fürchten." Aus diesen Gründen unterstreicht das Unternehmen immer wieder, dass es nutzlos ist, wenn Server kostspielig und mit viel Aufwand gegen alle Arten von Angriffen geschützt werden und auf der anderen Seite allerdings die Daten im Altpapier auftauchen, denn mit guten DLP-Lösungen werden selbst Drucker überwacht.
CIO Summit Europe als Treffpunkt für Entscheidungsträger - Bewusstsein schaffen
Der diesjährige CIO Summit Europe bot hier sowohl die passende Gelegenheit als auch die richtigen Kontakte, um Mitarbeiter in Unternehmen über DLP zu informieren, die Entscheidungen in ökonomischer und in politischer Hinsicht treffen. Einer der Sprecher, Vadim Zdor, Chief Information Security Consultant bei InfoWatch machte vor allem deutlich, dass DLP immer eine individuelle Komplett-Lösung sein muss. Diese wird dabei systematisch und vollständig in die gesamte IT-Infrastruktur und den Workflow integriert. Seine Aufgabe auf dem CIO Summit Europe sah Zdor dabei vor allem darin "ein Bewusstsein dafür zu schaffen, wie groß die Gefahren tatsächlich sind und dass klassische IT-Security um DLP-Software nicht herum kommt. DLP ist dabei kein Hochleistungsschutz, der mit viel krimineller Energie nicht überwunden werden könnte. DLP erfüllt seinen Zweck, wenn niemand unbeabsichtigt Daten für Fremde zugänglich machen kann. Eine gute Firewall und gut geschützte Rechenzentren ergänzen DLP folglich sinnvoll, können DLP aber nie ersetzen."
Politischer und ökonomischer Druck fehlen beim Thema Datenschutz
Die Untersuchungen des Security-Unternehmens InfoWatch zeigten weiter, dass fehlende Information und falsche Vorstellungen von Datensicherheit aber nicht die einzigen Faktoren sind, die für die extrem hohe Anzahl von Datenverlusten verantwortlich sind. Weitere Gründe für mangelhaften Datenschutz sind eben auch gesetzliche Rahmenbestimmungen, die in vielen Ländern erlauben DLP eher stiefmütterlich zu behandeln. "Wenn Vorfälle von Datenverlust nicht öffentlich gemacht werden müssen, wenn Opfer eines solchen Vorfalles rechtlich schlecht gestellt sind und wenn es keine Verpflichtung für Unternehmen gibt, erprobte günstige Standard-Programme zur Datensicherheit zu verwenden, dann darf es nicht wundern, wenn beim Thema Datenschutz im günstigsten Fall das Prinzip Hoffnung gilt", ergänzt Kaspersky.
