In kleineren und grösseren Unternehmen häufen sich die ungewollten oder kriminellen Datenabflüsse. Das stellt die Melde- und Analysestelle Informationssicherung MELANI in ihrem am 26. April 2018 veröffentlichten Halbjahresbericht 2017/2 fest. Im Schwerpunktthema der Publikation geben die amtlichen Datensicherheitsprofis wertvolle Tipps, wie man ungewollte oder kriminelle Datenabflüsse vermeidet.

Das sind Datenabflüsse

Im Halbjahresbericht MELANI 2017/2 werden die Datenabflüsse bei Unternehmen wie folgt definiert: «Datenabflüsse sind Sicherheitsvorfälle, bei denen sich unbefugte Drittpersonen Personendaten, Geschäftsgeheimnisse oder andere Daten beschaffen, die nicht für sie bestimmt sind. Der Begriff ‘Datenabfluss’ ist dabei sehr offen definiert und beinhaltet neben Datendiebstahl und Spionage auch Datenpannen, bei welchen Daten unabsichtlich zugänglich gemacht werden.»

Vorbereitung auf ein Datenleck

Bei Unternehmen führt unerwünschter Datenabfluss laut MELANI neben dem Aufwand und den Kosten vor allem zu Reputationsverlust. Dabei ist die Kundenkommunikation von entscheidender Bedeutung. Aus diesem Grund ist es für ein Unternehmen äusserst wichtig, sich gut auf ein mögliches Datenleck vorzubereiten. Dies beinhaltet eine Notfallplanung, vorbereitete Kommunikation und klare Verantwortlichkeiten. MELANI empfiehlt bei Datenabflüssen generell eine möglichst hohe Transparenz gegenüber den betroffenen Kunden und Personen. Es ist wichtig, diese so rasch wie möglich zu informieren, um Folgeschäden möglichst klein zu halten. Dabei liegt die Kunst darin, nüchtern und unaufgeregt zu kommunizieren.

Tipps von MELANI zur Verhinderung von Datenabflüssen

• Tipp 1: Keine Datenleichen
  Der Mensch neigt dazu, alle einmal erhobenen Daten irgendwo zu speichern, auch wenn diese schon lange keinen Nutzen oder keine Gültigkeit mehr haben. So finden sich wohl in jedem Adressbuch eines Mobiltelefons Kontakte, die schon lange nicht mehr gültig sind. Besonders bei einer Migration eines Servers ist darauf zu achten, dass die Daten auf den alten Systemen anschliessend gelöscht werden. Ebenfalls sollte jedem Datensatz eine Lebenszeit zugeordnet werden, damit dieser periodisch auf seine Gültigkeit überprüft wird. Auch sollten nur die Daten abgefragt und gespeichert werden, die wirklich notwendig sind.
• Tipp 2: Zugriffsmöglichkeit auf das Minimum beschränken
  Zugriffe von aussen sollten auf ein Minimum beschränkt, besonders geschützt und überwacht werden. Jedes Unternehmen muss sich überlegen, wer Zugriff auf welche Daten benötigt und wie dieser Zugriff geschützt wird. Zum Beispiel sollten nicht verwendete Ports geschlossenen werden. Der Einsatz eines zweiten Faktors für die Authentisierung ist bei Zugriffen von aussen dringend empfohlen. Für den breiten Einsatz haben sich Verfahren mit «One Time Password (OTP)» bewährt, wie beispielsweise der weit verbreitete «Google Authenticator», der als App auf dem Smartphone installiert wird. 
  Auch ausgehender Verkehr sollte auf die nötigen Verbindungen reduziert werden. Viele Angriffe beruhen darauf, dass ein infizierter Computer Codes vom Internet nachlädt. Dies geschieht oft automatisiert. Das Verbieten von ausgehendem Verkehr erhöht somit die Hürde für einen Angreifer beträchtlich. 
  Generell sollten die vom Benutzer eingegebenen Daten so rasch als möglich an ein Backend-System weitergereicht werden, das nicht direkt vom Internet her erreichbar ist.
• Tipp 3: Updates automatisch einspielen
  Jede Software und Applikation muss stets automatisch auf dem neuesten Stand gehalten werden. Gibt es für eine Schwachstelle keinen Patch oder kann dieser nicht eingespielt werden, sind entsprechende risikomindernde Massnahmen zu treffen.
• Tipp 4: Backups machen und verschlüsselt speichern
  Backups gehören zur Lebensversicherung jedes Unternehmens. Sie müssen den gleichen Sicherheitsanforderungen genügen, wie die produktiven Daten. Alle archivierten Daten auf externen Festplatten sollten verschlüsselt gespeichert werden.
• Tipp 5: Passwörter mit Hashfunktion
  Befinden sich unter den abgeflossenen Daten Passwörter, sollten diese nicht auf einfache Weise entschlüsselt werden können. Dies bedingt den Einsatz einer Hashfunktion sowie eines sogenannten Salts. Eine Hashfunktion ist eine Abbildung, die effizient eine Zeichenfolge beliebiger Länge, hier das Passwort, auf eine Zeichenfolge mit fester Länge, dem Hashwert, abbildet. Beim «Salzen» wird das Passwort mit einem weiteren, nur dem System bekannten Wert ergänzt und erst dann der Hashfunktion unterzogen.
• Tipp 6: Datendiebstahl durch Insider verhindern
  Daten werden zuweilen durch noch aktive oder ehemalige Mitarbeitende entwendet, die aus Unzufriedenheit dem Unternehmen schaden oder sich einen persönlichen Vorteil verschaffen wollen. Dem entgegenwirken kann man, indem ein gutes und offenes Arbeitsklima geschaffen wird und indem über Probleme offen gesprochen werden darf. Wichtig ist aber auch dafür zu sorgen, dass die Mitarbeitenden nur auf Daten zugreifen dürfen, die sie für die Erledigung ihrer Arbeit benötigen. Ehemaligen Mitarbeitenden müssen umgehend alle Zugänge entzogen werden, was eine saubere Zugriffs-Policy voraussetzt.