InfoWatch stellt den DLP-Jahresreport vor

Anzahl der Datenverluste auf konstant hohem Niveau – meiste Datenlecks in öffentlichen Einrichtungen
InfoWatch stellt den DLP-Jahresreport vor

Moskau/Ettlingen, 31. Mai 2012

Seit 2004 pflegt InfoWatch eine Datenbank, in der alle weltweit bekannt gewordenen Fälle von vorsätzlichen oder fahrlässigen Datenverlusten erfasst werden. Diese Datenbank ist mittlerweile eine der verlässlichsten Quellen für Analysen zur Data Leakage Prevention (DLP) weltweit.

Ziel dieser Datenbank ist auf der einen Seite die Planbarkeit in der Entwicklung von DLP-Software kontinuierlich zu verbessern, auf der anderen Seite aber auch Aufklärungsarbeit leisten zu können. „Gegen aggressive Angriffe von Hackern wird mittlerweile viel Geld ausgegeben und der Schutz ist wirksam. Fahrlässiger Verlust von großen Datenmengen, die durch einfache Anwenderfehler geschehen, sind aber nach wie vor nicht im Mittelpunkt des Interesses“, fasst Natalya Kaspersky, CEO von InfoWatch, die Situation zusammen. „Wenn ich die Sicherheitssituation in einem Unternehmen mit einer Baustelle vergleichen müsste, würde ich feststellen, dass es keine Helmpflicht gibt, die Gerüste keine Geländer haben und die Arbeiter keine Sicherheitsunterweisung bekamen. Dafür wären Überwachungskameras installiert worden, hohe Sicherheitszäune rund um die Baustelle aufgestellt worden und Sicherheitspersonal würde nachts patrouillieren, um zu verhindern, dass die Baustelle sabotiert werden könnte, sowie um sich gegen Diebstahl zu schützen. Solch ein Verhalten ist unternehmerisch irrsinnig und kann nur dadurch erklärt werden, dass Sicherheitsrisiken durch Fahrlässigkeit offenbar anders wahrgenommen werden als Bedrohungen von außen.“

Anzahl von Datenverlusten stagniert auf extrem hohem Niveau

Die Zahlen des Reports sind eindeutig. 800 Fälle von Datenverlust gab es im vergangenen Jahr, das sind jedoch nur die 800 Fälle, die bekannt wurden und von den Medien aufgegriffen wurden. Vorsichtig geschätzt dürften somit an die 80.000 Vorfälle tatsächlich stattgefunden haben, jeden Tag 200. „Die Tatsache, dass diese Zahl seit 2009 nicht mehr wesentlich steigt, sollten Sicherheits-Unternehmen nicht für sich als Werbung verbuchen können“, kritisiert Kaspersky diesen Trend. „Ganz im Gegenteil bedeutet dies viel mehr, das durch Schlamperei und Fahrlässigkeit entstandene Sicherheitslücken auf einem extrem hohen Niveau stagnieren.“

Den ersten Hoffnungsschimmer zeigt die Statistik im Verhältnis von vorsätzlichen zu fahrlässigen Datenverlusten. Allmählich aber stetig reduziert sich der Anteil fahrlässiger Datenverluste. Mittlerweile sind rund die Hälfte aller Datenverluste als vorsätzlich einzustufen. Vorsätzlich bedeutet jedoch in diesem Zusammenhang nicht, dass eine hohe kriminelle Energie dahinterstecken würde, die nur durch aufwendige Security-Lösungen in den Griff zu bekommen wäre. Ein Beispiel für vorsätzlichen Datenverlust wäre, wenn etwa Mitarbeiter aus Bequemlichkeit sich Kundendaten auf ihren Privatrechner kopieren und nach einem Job-Wechsel für eine Provision diese Kundendaten für die neue Firma nutzen. Es ist leicht nachvollziehbar, dass technische Hürden, die fahrlässige Fehler verhindern, auch Missbrauch solcher Art deutlich einschränken oder verhindern können.

Öffentliche Träger mit schlechtem Beispiel voran

Der Ruf nach rechtlich verpflichtenden Richtlinien und Gesetzen, die DLP in Unternehmen vorschreiben, verhallt seit Jahren ungehört. Die nachvollziehbare Forderung, dass der Schaden für ein Unternehmen, welches Personen-bezogene Daten „verliert“, größer sein muss, als die Investitionen in ein professionelles DLP-System, scheint bislang nicht genug Entscheidungsträger überzeugt zu haben. Die Zahlen des DLP-Reports 2011 geben hier ebenfalls keinen Grund zur Hoffnung, dass von staatlicher Seite in dieser Sache ein besserer Schutz von Daten zu erwarten wäre. Während kommerzielle Unternehmen die absolute Anzahl an Datenverlusten leicht reduzieren konnten, sind Regierungsbehörden und Bildungseinrichtungen mittlerweile für mehr als die Hälfte aller Datenverluste verantwortlich. „Diese Zahlen wirken wie ein schlechter Scherz in einer Zeit, in der der Staat werbewirksam Datenpannen bei Unternehmen moniert und sich selbst anmaßt unzählige persönliche Daten der Bürger zu sammeln und zu speichern“, beschwert sich Nikolaj Fedotov, Chefanalytiker bei InfoWatch. Darüber hinaus relativiert Fedotov auch den vermeintlich positiven Rückgang der Datenverluste in kommerziellen Unternehmen: „Wenn Maßnahmen zur Verheimlichung von Datenverlusten billiger sind als Maßnahmen zur Vermeidung von Datenverlusten, dann werden Statistiken auch einen Rückgang der Datenverluste verzeichnen.“

Jeder vierte entwendete Datensatz wird aus dem Papiermüll gezogen

Auf die Frage, auf welche Weise Daten entwendet werden und über welche Kanäle sie abwandern, kann keine eindeutige Antwort gegeben werden. Gestohlene Datenträger, E-Mails mit vertraulichem Inhalt, versehentliche Veröffentlichung von Daten im Internet, schlecht geregelter Zugriff auf Archivdaten und nicht zuletzt das Altpapier sind die Lecks, die den Einsatz von DLP-Lösungen nach wie vor so dringend machen. Eine generelle Verschlüsselungspflicht von Datenträgern würde fahrlässige Datenverluste über diesen Verlustweg vollständig ausschließen. Denn allein die fahrlässigen Datenverluste durch verlorene USB-Sticks, Notebooks etc. machen immerhin rund 10% aller Datenverluste weltweit aus, und dabei wurden vorsätzliche Umgehungen dieser Verschlüsselung noch gar nicht mitgezählt.

„Besonders erschreckend ist aber die nach wie vor hohe Anzahl von Datenverlusten über Papierunterlagen“, äußert sich Fedotov zu diesem Ärgernis: „In der DLP-Branche hat man diese hohe Zahl schon vor Jahren registriert und in jeder guten DLP-Software gibt es darum Filter, die Druckersignale scannen können. Diese Zahlen lassen sich allein dadurch erklären, dass Sicherheitsbeauftragte in Firmen und Behörden, Papier nicht als Datenträger wahrnehmen und folglich Papier als Sicherheitsleck in kaum einem Strategiepapier auftaucht. Es scheint als würden sich die Sicherheitsverantwortlichen in erster Linie als IT-Mitarbeiter verstehen, die sich schlicht für Papiermüll als nicht zuständig erklären.“

Anwendungsfehler bei E-Mail besonders hoch

Ein weiteres interessantes Ergebnis des Reports ist das Verhältnis von vorsätzlichen und fahrlässigen Datenverlusten via Internet und E-Mail. Hier kommen auf einen Datendiebstahl, der vorsätzlich geschah, durch Fehler in der Anwendung oder durch grobe Fahrlässigkeit vier Vorfälle, die niemand beabsichtigte. 20 % aller weltweit vorkommenden Datenpannen geschehen, weil Mitarbeiter versehentlich Daten versenden oder veröffentlichen.

USA und Großbritannien am stärksten von Datenlecks betroffen

Weltweit scheinen Daten auf den ersten Blick in den USA und in Großbritannien am schlechtesten aufgehoben. Die Zahlen des DLP-Reports machen diese Aussage auch zunächst glaubhaft. Allerdings dürfte hinter diesen Zahlen eher die spezielle britische oder amerikanische Gesetzeslage stehen, die viel strengere Veröffentlichungspflichten bei Datenverlusten vorschreibt. Denn vor ein paar Jahren waren die USA allein noch unangefochten und mit großem Abstand die Verursacher der meisten Datenlecks gemessen an der Bevölkerung. Erst mit Einführung eines vergleichbaren Gesetzes in Großbritannien macht Großbritannien den USA in Hinblick auf Datenverluste plötzlich den Rang streitig. Es ist leicht absehbar, was ein solches Gesetz auch für Länder wie Deutschland bedeuten könnte. Nicht ganz ohne Ironie bleibt die Frage, welche Behörde sich für die Veröffentlichung von Datenlecks verantwortlich zeigen wird.

Fazit

Absolute Datensicherheit gibt es nicht. Dieser Satz ist grundsätzlich richtig und gerade in Bezug auf kriminellen Datendiebstahl leider wahr. Dieser Satz ist allerdings auch immer mehr zu einer Alibi-Aussage geworden um sich vor Investitionen zu drücken. Allein ein Tool, das beispielsweise die Maximal-Zahl von E-Mail-Adressen im CC-Feld begrenzt, würde Copy-Paste-Fehler verhindern können, bei denen versehentlich E-Mail-Adressen von mehreren 100 Personen für jeden Empfänger einsehbar würden. Hier mit der Unmöglichkeit absoluter Sicherheit zu argumentieren wirkt aberwitzig. Solche Beispiele für simple Mechanismen, wie die CC-Begrenzung lassen sich viele finden.

DLP-Software, die verschiedene solcher Lecks abdichtet ist verfügbar, getestet und zuverlässig. Dateien-Management, Datenträgerverwaltung, Druckerpool-Überwachung und Traffic-Filter sind dort inklusive. Und in erster Linie ist es nicht eine Scheu vor den Kosten, die den Einsatz vielfach verhindert, sondern ein fehlendes Bewusstsein, wo überhaupt eine Bedrohungslage für schützenswerte Daten existiert.

Natalya Kaspersky sieht aber auch den Gesetzgeber in der Verantwortung: „Gesetzliche Bestimmungen lassen wie unternehmerische Planung nicht erkennen, dass den Entscheidungsträgern bewusst ist, an welchen Punkten der stärkste Handlungsbedarf besteht. Hinzu kommt, dass gesetzgeberische Prozesse fast zwangsläufig der Entwicklung hinterherlaufen. Technische Vorschriften sind zwischenzeitlich obsolet geworden und neue Bestimmungen noch nicht geplant. So kommt es immer wieder zu absurden Gerichtsurteilen, die aktuelle Vorfälle nach Gesetzen beurteilen müssen, die die heutige Situation gar nicht adäquat erfassen.“

„Eine Veröffentlichungspflicht wie in den USA und grundsätzliche Verschlüsselungsvorschriften“, so Kaspersky weiter, „sind jedoch Gesetze, gegen die es nur sehr wenig einzuwenden gibt, und von denen man in Deutschland immer noch weit entfernt zu sein scheint. Bislang ist der unternehmerische Schaden und der Image-Verlust durch Datenpannen immer noch die stärkste Kraft, die zu Investitionen im Bereich DLP führt. Dies mag auch erklären, warum vor allem öffentliche Institutionen derzeit bereits für den Großteil aller Datenlecks verantwortlich sind.“

Den vollständigen ‚Global Data Leakage Report 2011‘ gibt es auf Deutsch zum Download unter

www.infowatch.ru/de/analytics/de-reports/2666

Das Security-Unternehmen InfoWatch wurde 2003 als Tochterunternehmen von Kaspersky Lab in Moskau gegründet. Nachdem 2007 eine Restrukturierung des Unternehmens stattfand und Natalya Kaspersky die Leitung des Unternehmens übernahm, wurde die internationale Positionierung verstärkt. Die Mitbegründerin und ehemalige Chefin des Antivirenspezialisten Kaspersky Lab zählt zu den bekanntesten Persönlichkeiten der IT-Industrie. Seit 2009 ist InfoWatch auf dem deutschen Markt vertreten und beschäftigt weltweit mittlerweile mehr als 100 Mitarbeiter.

In einer Zeit in der Firmennetzwerke immer offener und dadurch angreifbarer werden, bietet InfoWatch mehrstufige Lösungen zur Einhaltung von gesetzlich vorgeschriebenen Sicherheitsrichtlinien und zum Schutz vor Datenlecks in Unternehmen. Spezielle Server und Client-Agents schützten vor dem Verlust sensibler Daten, indem sie die Weitergabe vertraulicher und unternehmenskritischer Informationen unterbinden. Neben dem Schutz unternehmensinterner Assets vor Missbrauch und fahrlässigem Umgang sichern die InfoWatch-Lösungen auch persönliche Daten von Kunden und Mitarbeitern.

Die auf linguistischen Analysemethoden aufbauenden Monitoring-Server und Agents überprüfen den Datenfluss an verschiedenen Knoten des Unternehmensnetzwerks, wie beispielsweise E-Mail-Server, Internet-Gateway, Ports (Laufwerke, Drucker- und USB-Schnittstellen) sowie am Arbeitsplatzrechner. Das mehrstufige Konzept umfasst eine umfangreiche und maßgeschneiderte Beratung und Anpassung der Lösungen an die Sicherheitsrichtlinien und Anforderungen des Unternehmens.

InfoWatch
Svetlana Ilyuk
Geiselgasteigstr. 124a
81545 München
+7 495 22 900 22

http://www.infowatch.ru/de
sales-de@infowatch.com

Pressekontakt:
Prolog Communications GmbH – PR for the IT Industry –
Matthias Scholz
Geiselgasteigstr. 124a
81545 München
infowatch@prolog-pr.com
+49 89-800 77-0
http://www.prolog-pr.com/infowatch