Datensicherheit und Notebooks
Maßnahmen für das mobile Zeitalter
Copyright (C) 10/2000 by Howard Fuhs
Zum flexiblen Arbeiten an verschiedenen Orten kommen in Unternehmen hauptsächlich Notebooks zum Einsatz. Das größte Datensicherheitsproblem bei der Verwendung von Notebooks stellt die ständige Verlagerung von wichtigen und sensiblen Unternehmensdaten zur Weiterverarbeitung an einen Ort und in einen Computer dar, über den das Unternehmen keine direkte Zugriffskontrolle mehr hat. Das größte Risiko für das Unternehmen ist dabei der Verlust von vertraulichen Unternehmensdaten durch den Diebstahl des Notebooks. Oftmals kann die genaue Anzahl der Notebooks und deren Besitzer von den Unternehmen nicht angegeben werden. Dabei haben die Notebooks sehr oft hausintern Zugriff auf das Firmennetzwerk über eine Netzwerkkarte und verfügen darüber hinaus auch über einen Remote Access Zugriff auf das Unternehmensnetzwerk von außerhalb. Ebenfalls muss beachtet werden, dass Notebooks überwiegend durch die Geschäftsleitung und leitende Angestellte verwendet werden, die über umfangreiche Zugriffsberechtigungen auf Daten verfügen und es ist sehr oft nicht bekannt, welche Daten auf den Notebooks gespeichert sind.
Datenspionage und Datensabotage
Versetzt man sich in die Lage eines Angreifers, so wird schnell klar, dass es gerade die nach außen transportierten Daten sind, die am einfachsten angreifbar sind. Es wird sich kein Angreifer der Mühe unterziehen, Daten aus einer gut gesicherten EDV-Zentrale eines Unternehmens zu stehlen, wenn er über schlecht abgesicherte Notebooks sein Ziel wesentlich einfacher und risikoloser erreichen kann. Damit entsteht gerade für Notebooks ein wesentlich höheres Gefahrenpotential im Hinblick auf Wirtschaftsspionage
Als hauptsächliche Vorgehensweise bei Datenspionage und Datensabotage wären Diebstahl des Computers / der Festplatte, "Abhören" der Datenübertragungswege oder Verfälschung und Manipulation von Daten zu nennen.
Lösungskonzepte
Für die Datensicherheitsprobleme die durch die Verwendung von Notebooks entstehen, müssen nun Lösungskonzepte entwickelt werden die
- bestmöglichsten Schutz
- bei geringster Störung des Arbeitsalltags bieten, und darüber hinaus auch noch
- an das Unternehmen und seine Bedürfnisse individuell angepaßt sind.
Da diese Lösungskonzepte individuell für die Unternehmensbedürfnisse erstellt werden, sollen nachfolgend die wichtigsten Faktoren aufgezählt werden, die in einem Lösungskonzept unbedingt berücksichtigt sein sollen. Von der richtigen Implementierung dieser Faktoren in einer unternehmensweit gültigen Datensicherheitsrichtlinie für Mobile Computing und der entsprechenden Auswahl und Anpassung von Produktlösungen wird der Erfolg der gesamten Sicherheitsmaßnahme abhängig sein. Richtig durchgeführt wird ein Unternehmen immer wissen
- welcher Mitarbeiter mit welchem Notebook arbeitet,
- welche Daten auf diesem Notebook gespeichert sind,
- das von diesen Daten aktuelle Sicherheitskopien vorhanden sind,
- welche Software auf dem Computer installiert ist,
- das ein umfassender Virenschutz gewährleistet ist, auch wenn sich der Notebook über eine Docking-Station in das unternehmensinterne Netzwerk einloggt,
- das der Import und Export von Daten und Programmen unterbunden ist,
- das nur befugte Personen Zugriff auf die gespeicherten Daten erhalten, unter welchen Umständen auch immer.
Beim Einsatz von Notebooks sollten generell umfangreiche Sicherheitsmaßnahmen implementiert werden, um das Unternehmen vor Datenverlust zu schützen. Es muss unbedingt eine Schutzkonzeption mit Verschlüsselungstechniken für die Notebooks ausgearbeitet werden.
Es sollte darauf geachtet werden, dass ein vertrauenswürdiges Verschlüsselungs- programm auf dem Notebook zum Einsatz kommt. Dabei müssen die auf dem Notebook gespeicherten Daten automatisch verschlüsselt werden. Die Entschlüsselung der Daten darf erst durch Eingabe eines Paßwortes bzw. durch Einsatz eines ID-Tokens erfolgen. Da die Wahrscheinlichkeit groß ist, dass der Notebook auch privat genutzt wird und Zugang zum Internet hat, sollte der Notebook durch ein Prüfsummenprogramm zusätzlich abgesichert werden. Damit kann sichergestellt werden, dass Trojanische Programme entdeckt werden können, die von einem Antiviren-Programm nicht entdeckt werden.
Vor dem lokalen Einloggen des Notebooks in das Firmennetzwerk sollten verschiedene automatische Sicherheitsüberprüfungen stattfinden. Dazu zählt die Überprüfung ob das installierte Antiviren-Programm auf dem aktuellsten Stand ist, wann das letzte Mal nach Computerviren gesucht wurde und ob dabei ein Virus gefunden wurde. Weiterhin sollte automatisch überprüft werden, zu welchem Zeitpunkt von den Daten auf dem Notebook das letzte Mal eine Sicherungskopie angefertigt wurde.
Was das Einloggen des Notebooks über eine Remote Access Funktionalität in das Netzwerk betrifft, sollte darauf geachtet werden das hierfür entsprechend sichere Virtual-Private-Network Verfahren mit entsprechender Identifizierung des Anwenders Verwendung findet. Dies vor allem, wenn eine solche Funktionalität über das Internet angeboten werden soll.
Der Besitzer des Notebooks muss über die Gefahren des Notebook-Einsatzes und über die zu beachtenden Sicherheitsmaßnahmen geschult sein um dem Anwender die Gefahren aufzuzeigen und sie für die Datensicherheitsproblematik zu sensibilisieren.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 10/2000 by Howard Fuhs