Security-Lösungen auf der it-sa 2017

Personenbezogene Daten

Sonderfall Personaldaten

Datenverlust bedeutet Vertrauensverlust

Quelle: Varonis

Mitarbeiter und Bewerber setzen großes Vertrauen in ihre Arbeitgeber, sobald sie ihnen ihre personenbezogenen Daten wie Name, Adresse, Sozialversicherungsnummer und Bankverbindung überlassen. Es versteht sich von selbst, dass es sich hierbei um äußerst sensible Daten handelt. In den falschen Händen können sie – etwa durch Identitätsdiebstahl – enormen Schaden anrichten. Kaum ein Bewerber fragt dabei, wie der Schutz konkret aussieht und wie lange welche Daten wo gespeichert werden.

Unstrukturierte Daten

Quelle: Varonis

Der erste Tag im neuen Traumjob. Gerade hat man noch alle nötigen Unterlagen ausgefüllt, seine Bankverbindung und Sozialversicherungsnummer angegeben und freut sich auf die neuen Kollegen, den Arbeitgeber und spannende Aufgaben – bis man feststellt, dass seine sensiblen Personaldaten im Unternehmensnetzwerk in einem Ordner gespeichert sind, auf den jeder authentifizierte Nutzer (also im Grunde alle, die Zugang zu diesem Netzwerk haben) zugreifen kann. Die Motivation und das Vertrauen in den Arbeitgeber sind dahin.

Und genau hierin liegt ein zentrales Problem: Wie die meisten Transaktionsdaten werden diese Informationen in Datenbanken oder den HR-Systemen des Arbeitgebers gespeichert, sei es vor Ort oder in der Cloud. Oft wird jedoch übersehen, dass persönliche Informationen auch außerhalb dieser Systeme zu finden sind, etwa in Dateien oder E-Mails, wie der Scan eines Zeugnisses oder eine Excel-Liste mit Mitarbeiterdaten. Diese Dateien und Mails sind dann gespeichert mit Millionen anderer Dateien in gemeinsam genutzten Ordnern, auf SharePoint- und Exchange-Plattformen – tausende Nadeln in Millionen Heuhaufen. All diese Speicherorte dienen einer einfachen Zusammenarbeit, sind jedoch nicht auf Sicherheit ausgelegt und nicht in der Lage, sensible Dateien zu überwachen, zu schützen oder gar gesetzliche Vorgaben einzuhalten.

Ein weiterer Aspekt dieser unstrukturierten Daten auf verteilten Speicherorten: Viele Unternehmen wissen gar nicht, wo überall Mitarbeiterdaten gespeichert sind und wie sie genutzt werden (also etwa wer darauf zugreifen kann). Eine im Auftrag von Varonis durchgeführte Forrester-Studie kam zu dem Ergebnis, dass lediglich 41 Prozent der Sicherheitsverantwortlichen wissen, wo diese Daten zu finden sind, und sie basierend auf ihren Inhalten klassifizieren. Und nur 45 Prozent überprüfen die Nutzung dieser Dateien und analysieren sie hinsichtlich Datenschutzverstößen.

Erschreckenderweise sind diese Zahlen im Vergleich zum Umgang mit anderen sensiblen Daten wie Kunden- oder Unternehmensinformationen noch recht ordentlich. Dennoch besteht kein Anlass zur Freude: Die Studie fand nämlich überdies heraus, dass nur 38 Prozent ein Privilegienmodell auf Basis der minimalen Rechtevergabe umsetzen. Mit anderen Worten: In 62 Prozent der Unternehmen haben Mitarbeiter Zugriff auf diese Dateien, obwohl sie ihn nicht benötigen! Auf diese Weise steigt natürlich auch das Risiko für die Offenlegung der Dateien und Missbrauch.

Kosten gestohlener Daten

Neben den einfach zu errechnenden Kosten durch eine Datenschutzverletzung wie erhöhte Versicherungsprämien, Schadensersatzzahlungen oder Strafgelder, entstehen weitere, nicht so einfach zu bemessene. Dazu zählen insbesondere Reputationsschäden und eben der Vertrauensverlust seitens aktueller und potenzieller Mitarbeiter. Welcher hochqualifizierte Bewerber würde bei einer Firma arbeiten wollen, deren Umgang mit sensiblen Informationen zu wünschen übrig lässt, oder für einen Chef, der wegen seines fahrlässigen Umgangs mit E-Mails in die Schlagzeilen geraten ist?

Jedes Unternehmen behauptet gerne von sich, den Schutz der Mitarbeiterdaten ernst zu nehmen. Vor einem Vorfall klingt dieser Satz großartig, nach einem Datenverlust eher nach Schadensbegrenzung. Unternehmen müssen den Worten Taten folgen lassen und Maßnahmen ergreifen und nicht bloß darauf hoffen und vertrauen, dass schon nichts passieren wird. Unternehmen, die den Schutz wirklich ernst nehmen, sind auch in der Lage, nicht nur zu sagen, dass sie das Problem ernst nehmen, sondern auch wie sie es adressieren. Und genau das verschafft ihnen einen Vorteil bei der Suche nach den besten Mitarbeitern und der Bindung bestehender Kräfte. Auf diese Weise wird eine Datensicherheits-Strategie zum Umsatz- und Wachstumstreiber.

Fünf Faktoren

Thomas Ehrlich ist Country Manager DACH bei Varonis; Quelle: Varonis

Es gibt fünf Schlüsselbereiche, auf die sich Unternehmen in Hinblick auf den Schutz der Mitarbeiterdaten konzentrieren sollten, um das Risiko einer Datenschutzverletzung deutlich zu reduzieren (dies gilt übrigens für sensible Daten im Allgemeinen, also auch für Unternehmensinformationen oder Kundendaten):

Klassifizierung: Zu allererst ist es von größter Bedeutung zu wissen, wo die Mitarbeiterdaten überhaupt im System zu finden sind um dann den Zugriff zu begrenzen und Missbrauch zu überwachen. Ab einer gewissen Unternehmensgröße ist es sehr aufwändig, die Dateien manuell zu taggen. Hier helfen dann automatische Klassifizierungssysteme, die in der Lage sind, potenziell vertrauliche Daten in Dateien zu finden, etwa Steuer- oder Bankinformationen.

Prinzip der minimalen Rechtevergabe: Reduzierung des Zugriffs auf Daten nach diesem bzw. dem „need to know“-Prinzip: Wer benötigt wirklich für seine Arbeit Zugriff auf diese Daten? Um diesen Ansatz wirkungsvoll umsetzen zu können, muss man kontinuierlich prüfen, ob sich an diesen Notwendigkeiten etwas geändert hat, da sich die Aufgaben und entsprechend die Rollen in Unternehmen verändern. Heute arbeite ich vielleicht in der Personalabteilung, morgen wechsele ich womöglich in den Marketing-Bereich, dementsprechend müssen meine Zugriffsrechte angepasst werden und stets auf dem aktuellen Stand sein.

Überwachung der Daten: Überwachung klingt immer ein wenig heikel, aber: Die Nutzung sensibler und vertraulicher Daten muss überwacht werden. Es ist nahezu unmöglich Missbrauch festzustellen und festzulegen, wer Zugriff haben sollte und wer nicht, wenn die Dateien oder Ordner nicht überwacht werden. Wenn ich zwar Zugriff auf jede Menge Mitarbeiterdaten habe, sie aber nie nutze, da es mittlerweile nicht mehr zu meinem Aufgabenfeld gehört, ist dies mittels meines Nutzerverhaltens einfach zu identifizieren. In den wenigsten Fällen werden Mitarbeiter von sich aus darauf hinweisen, dass sie gewisse Zugriffsrechte nicht mehr benötigen, alleine schon deshalb, weil sie schlicht und einfach in ihrer neuen Position anderes zu tun haben und nicht daran denken. Das Monitoring ist zudem ein Schlüsselelement in der Identifizierung von Missbrauch. Intelligente Nutzeranalysen sind in der Lage festzustellen, welche Nutzung normal und was verdächtig ist. Auf diese Weise können rasch entsprechende Maßnahmen zur Abwehr getroffen werden.

Aufbewahrungsrichtlinien: Dateien, die man nicht mehr nutzt, sind in hohem Maße dem Risiko des Verlusts, Diebstahls oder Missbrauchs ausgesetzt. Nahezu jedes Unternehmen, in dem ich gearbeitet und mit dem ich zu tun hatte, verfügt über Richtlinien für die Speicherung und Aufbewahrung von Personaldaten und ein System, das die Durchsetzung dieser Richtlinien durchsetzt, wie beispielsweise automatische Reviews von lange nicht genutzten Dateien (stale data) und Archivierungslösungen.

Schulung der Mitarbeiter: Egal, welche Kontrollsysteme und Technologien man einsetzt: Es ist immer sicherzustellen, dass die Mitarbeiter den Wert der Daten, mit denen sie arbeiten, erkennen! Jeder Mitarbeiter, der irgendwie in Kontakt mit potenziell sensiblen Informationen– insbesondere Personaldaten – kommt, muss die Systeme und Kontrollen zum Schutz dieser Daten kennen, verstehen, wie die Maßnahmen durchgesetzt werden und welche Risiken durch Nichtbeachtung oder Missbrauch entstehen. Auf diese Weise erfahren die Mitarbeiter, wie ernst ein Unternehmen den Umgang mit den Daten (also auch ihren) nimmt. Und auf dieser Grundlage entsteht Vertrauen.

Thomas Ehrlich

ist Country Manager DACH bei Varonis

Hier geht es zu Varonis