Data Leakage Protection: Datenlecks vermeiden

Nach Schätzungen der Attrition.org, einer Expertengruppe für Sicherheit im Internet, gingen im vergangenen Jahr weltweit vertrauliche Informationen von rund 162 Millionen Personen verloren. Das sei rund dreimal so viel wie im Vorjahr, als es nur 49 Millionen waren. Der Löwenanteil mit 94 Millionen Daten entfiel im Jahr 2007 auf den rekordverdächtigen Diebstahl von Kreditkarteninformationen bei dem US-Handelskonzern TJX. Dieser Diebstahl hat den Discounter mehr als 118 Millionen Dollar gekostet.

Im Jahr 2007 stieg nicht nur das Volumen an gespeicherten Daten auf Rekordhöhe, es kamen auch mehr personenbezogene Daten abhanden als jemals zuvor. So berichtet die „2007 Breach List“ des amerikanischen Identity Theft Ressource Center von 128 Millionen kompromittierten Datensätzen – allein in den USA. Ein Grund für die Rekorde bei Datenverlusten sei die gleichfalls explosionsartige Zunahme der von Unternehmen erstellter persönlicher Daten, so die Attrition-Experten. Daneben seien die Ursachen in neuen Kommunikationsprozessen sowie der zunehmenden Öffnung der Firmennetze gegenüber Kunden und Partnern für Datenverluste verantwortlich. Diese Faktoren erhöhten Anzahl und Vielfalt potenzieller Datenlecks.

Parallel dazu wird der Verlust sensibler Informationen immer kostspieliger: Laut Ponemon Institute schlug ein einziger kompromittierter Datensatz im vergangenen Jahr im Schnitt mit 197 Dollar (2006: 182 Dollar) zu Buche, während die durchschnittlichen Gesamtkosten von Datenverlusten seit 2006 von 4,8 Millionen auf 6,3 Millionen Dollar gestiegen sind. Gartner schätzt deren jährlichen Zuwachs auf rund 20 Prozent.

Angesichts dieser Zahlen erstaunt es wenig, dass sich Unternehmen neben der Absicherung ihrer IT-Infrastruktur gegen externe Angreifer auch eingehender damit befassen, wie sie sich gegen die intern verursachte, versehentliche oder böswillige Preisgabe vertraulicher Kunden- und Mitarbeiterdaten schützen können. Laut einer Umfrage der auf DLP spezialisierten Kaspersky-Tochter Infowatch im vergangenen Jahr, messen Europas IT-Profis internen Risiken inzwischen sogar größere Bedeutung bei als von Hackern und Malware ausgehenden Gefahren. Demnach erachten die Firmen Datendiebstahl (78 Prozent) als primäre IT-Bedrohung. An zweiter Stelle steht die Fahrlässigkeit der Angestellten (65 Prozent), gefolgt von Gefahren durch Viren (49 Prozent) und Hacker (41 Prozent). Am stärksten sehen Unternehmen die interne Datensicherheit durch den Verlust vertraulicher Informationen (93 Prozent) sowie deren Verfälschung (85 Prozent) bedroht. Als primäre Abflusskanäle erachten die befragten IT-Verantwortlichen tragbare Speichermedien (69 Prozent) wie USB-Sticks, Notebooks und E-Mail (65 Prozent) und das Internet beziehungsweise Web-Mail und Foren (58 Prozent). Zu den schlimmsten Folgen eines Datenverlusts gehören aus Sicht der IT-Profis die Schädigung des Firmenimages und die Abwanderung von Kunden.