Sicherheit für vertrauliche Inhalte heute: eine ständige Gefahr

Wenn es um die Sicherheit Ihrer Inhalte geht, sind Ihre besten Mitarbeiter unter Umständen Ihre größten Gegenspieler.

Gefahren für Inhalte lauern heute praktisch überall. Ihre vertraulichen Daten können nicht nur direkt von externen Hackern angegriffen werden. Sie sind auch gefährdet, wenn Mitarbeiter unsichere und nichtüberwachte File-Sharing-Plattformen, unsichere Mobilgeräte oder veraltete Verfahren wie E-Mails und USB-Sticks verwenden, um Daten zu teilen. So verlieren Sie die Kontrolle über die Sicherheit Ihrer Inhalte.

In dieser interessanten Video-Reihe besprechen Rainer Gawlick, Strategischer Partner Intralinks, und Arne Schönbohm, Präsident des Cyber-Sicherheitsrat Deutschland e.V., im Detail den Status Quo und Verfahren des Dateiaustauschs über Unternehmensgrenzen hinweg. Dabei erläutern sie, wie Sie Ihre wertvollen Daten vor Gefahren schützen können, die innerhalb und außerhalb der Firewall Ihres Unternehmens lauern.

Weitere Informationen zum Herunterladen

Klicken Sie auf eines der folgenden Themen, um das jeweilige Video anzusehen.

Content ist die neue Grenze

Arne Schönbohm und Rainer Gawlick zeigen auf, warum Schutzmaßnahmen immer direkt mit Inhalten verknüpft sein müssen, ganz gleich, wo sich die Inhalte befinden. Nur so lässt sich eine sichere Zusammenarbeit außerhalb der Unternehmens-Firewall gewährleisten.

Wortlaut des Interviews

Weitere Informationen zum Herunterladen

Abschrift

Herr Gawlick:        Mein Name ist Rainer Gawlick. Ich bin hier mit Herrn Schönbohm, um Sicherheitsthemen mit ihnen zu besprechen. Sicherheitsthemen sind natürlich sehr aktuell heutzutage in der Presse. Das ist auch wichtig für all die Angestellten, die heute in den Firmen sind. Und die Frage, die ich mit ihnen besprechen möchte: Wie kann ich als CSO die Sicherheitsthemen an den Mann bringen? Weil die Leute nicht unbedingt alltäglich daran denken, obwohl es in der Presse ist. Und oft vielleicht Sachen machen können, die die Daten gefährden.

 

Herr Schönbohm:   Ja, Sicherheit ist natürlich immer ein kontinuierlicher Prozess. Wir haben viele Vorfälle gehabt in der Presse. Das sorgt dafür, dass es eine Grund-Awareness gibt, also eine Grundaufnahmebereitschaft für dieses Thema. Nur geht es darum, auch kontinuierlich weiter zu lernen. Es geht darum, die Mitarbeiter heranzuführen an das Thema, aber auch Technologien und Prozesse in Einsatz zu bringen, die einem dann dort helfen. Und wir haben in der Vergangenheit vielleicht im Bereich des Schutzes, der Sicherheit, eine relativ einfache Technologie gehabt: Wir haben praktisch gesagt, die Stadt ist zu schützen, unser Unternehmen ist zu schützen und dann haben wir einfach eine Stadtmauer drum herum gebaut und damit war es sicher. Und das sind Dinge, die heute nicht mehr funktionieren, sondern wir müssen Daten schützen, wir müssen andere Einzelthemen schützen, wir müssen individuell gucken, wer macht eigentlich was, dass das nachvollziehbar ist. All diese ganzen Themen beschäftigen natürlich einen CSO. Also auf der einen Seite Schulung und Awareness, auf der anderen Seite aber auch Prozesse und Technologien. Je nachdem, wie schützenswert die einzelnen Güter, die einzelnen Daten, Informationen eines Unternehmens sind.

 

Herr Gawlick:        Ja, ich glaube, dass dieses Konzept, dass wir immer nur die Stadtmauer haben, nicht mehr reicht, da haben sie vollkommen recht. Es gibt natürlich dieses Konzept von Advanced Persistent Threat, das sind Leute, die in die Stadtmauer sozusagen reinkommen – die schlechten Leute. Oder manchmal müssen auch Daten oder Güter aus der Stadtmauer rausgehen und die Frage ist, wie kann ich sie in diesem Fall schützen? Und das ist so ein Konzept, das wir als Firma versuchen zu vertreten oder auch mit  Technologie zu unterstützen, dass der Schutz nicht nur, wie gesagt, an der Stadtmauer geschieht, sondern dass der Schutz um die Daten herum gepackt wird. So dass, egal wo die Daten sich befinden, der Schutz noch da ist. Das heißt auch innerhalb der Stadtmauer, falls da jemand irgendwie reinkommt und Zugriff auf die Firmeninfrastruktur bekommt, dass trotzdem noch Datenschutz da ist, und nur die Leute, die Zugriff zu den Daten haben sollen, dies auch wirklich können. Auch, wenn die Daten außerhalb der Stadtmauer genutzt werden müssen, weil ich sie mit Partnern teile, dann müssen sie den Schutz, wie gesagt, behalten, was in der alten Technologie oft nicht möglich war.

 

Herr Schönbohm:   Also das halte ich für ganz wichtig, weil, um bei dem Beispiel zu bleiben, so schützen sie ja auch eine Stadt. Sie haben natürlich draußen drum herum irgendwo einen Perimeterschutz, eine Stadtmauer, wenn sie dann reingehen, dann heißt es ja nicht, dass alle Türen offen sind, sondern trotzdem ist jedes Haus individuell verschlossen. Die Bank hat wahrscheinlich zwei, drei Schlösser mehr und noch einen Tresor. Das normale Wirtshaus hat wahrscheinlich eher eine offene Tür, damit die Leute rein und rausgehen und ein Bier trinken können, während vielleicht das private Wohnhaus nochmal abgeschlossen ist.

 

Und genau so muss auch, glaube ich, letzten Endes ein Schutz funktionieren innerhalb eines Unternehmens. Je nachdem, welche Informationen, wie die Häuser im Beispiel, individuell zu schützen sind. Da muss überwacht werden, wer geht rein? Wer geht raus? Wer vielleicht reingeht mit einem leeren Sack und rausgeht mit einem vollen Sack, da kann man zumindest mal nachfragen: Warum ist der Sack auf einmal voll?

 

Herr Gawlick:        Die Amerikaner sagen ja immer „The content is the new perimeter“, um das Konzept zu beschreiben.

 

Herr Schönbohm:   Absolut!

 

Herr Gawlick:        Danke.

 

Herr Schönbohm:   Sehr gerne.

Lebenslange Auditierbarkeit

Internetkriminalität ist mittlerweile populärer und rentabler als Drogenhandel. Rainer Gawlick und Arne Schönbohm diskutieren den zunehmenden Diebstahl geistigen Eigentums.

Wortlaut des Interviews

Weitere Informationen zum Herunterladen

Abschrift

Herr Gawlick:             Hallo, ich bin Rainer Gawlick. Ich bin mit Herrn Schönbohm hier, um ein paar Sicherheitsthemen mit ihnen zu besprechen. Wir wollen zwei Themen besprechen, die zusammen kommen in der deutschen Wirtschaft. Auf der einen Seite haben wir Gesetzesvorgaben, die heutzutage viel mehr auf Sicherheitsthemen eingehen. Das sehen wir auch auf europäischer Ebene und natürlich auch auf deutscher Ebene. Der Datenschutz ist sehr, sehr wichtig und wird noch wichtiger in den nächsten Jahren. Zur selben Zeit haben wir jetzt auch dieses Konzept von der Industrie 4.0, die zeigt, dass Firmen nicht mehr nur sehr vertikal integriert sind, sondern dass sie viel mehr mit Partnern arbeiten, um sehr agil zu agieren. Das heißt man muss oft Ressourcen hinzuziehen, die man nicht intern hat, um schnell neue Produkte heraus zu bekommen, schnell neue Märkte zu erwerben. Und die Frage ist: Wie kann man diese beiden Themen  erfolgreich zusammenbringen?

 

                                   Vielleicht können wir mal mit den Sicherheitsthemen anfangen. Da sind ja viele Gesetzesvorgaben, die in den letzten paar Jahren aufgekommen sind, und es werden natürlich noch mehr kommen in den nächsten paar Jahren. Was sehen Sie als Trends in der Industrie im Moment diesbezüglich?

 

Herr Schönbohm:       Also zunächst einmal, der Gesetzgeber reagiert auf das Thema der Bedrohungslage. Die Bedrohungslage nimmt unglaublich stark zu. Wenn wir uns angucken, die organisierte Kriminalität verdient seit 2009 mehr Geld mit Cybercrime als mit Drogen. Das heißt also, das ist Big Business im negativen Sinne, worüber man spricht. Die Leidtragenden sind die Unternehmen. Daraus resultierend erkennt die Politik auf einmal: Mensch, wir müssen handeln! In Deutschland ist es mit der Aufklärungsquote so: rund 75 Prozent aller Fälle werden nicht aufgeklärt. Das heißt also, auch wenn sie Anzeige erstatten, wird der Täter nicht gefunden und identifiziert, und in der Regel sind das Intensivstraftäter. Daraufhin geht der Gesetzgeber hin und sagt: Darum müssen wir bestimmte Mindeststandards einführen, müssen bestimmte Themen gemeldet werden, wenn Unternehmen sehr stark angegriffen werden. Das ist so in Deutschland, oder in Israel, oder in anderen europäischen Ländern. Überall wird eine Vielzahl an neuen Regularien kommen, die das Sicherheitsniveau in der Wirtschaft anheben sollen. Die Bundesregierung plant zum Beispiel ein IT-Sicherheitsgesetz, was das Sicherheitsniveau nochmal deutlich weiter verschärfen soll für fünf kritische Sektoren: Finanzen, Logistik, Gesundheit, Telekommunikation, Energie und für alle Unternehmen, die dort davon betroffen sind. Das ist eine große Herausforderung, und das wird weltweit weiter zunehmen. Es ist natürlich schwierig für große Unternehmen, für Global Player, in diesen verschiedenen Märkten, mit den verschiedenen rechtlichen Regularien, umzugehen, weil sie gleichzeitig auch unglaublich agil sein müssen, um auf diese wechselnden Anforderungen einzugehen. Und das ist eine Challenge.

 

Herr Gawlick:             Wie ich das verstehe sind da eigentlich zwei Seiten von Sicherheitsschutz: Auf der einen Seite wollen wir die Privatdaten schützen, das ist natürlich sehr wichtig, besonders in der deutschen Kultur. Auf der anderen Seite wollen wir auch die deutsche Wirtschaft und ihr Intellectual Property schützen, das natürlich sehr, sehr wichtig ist für die deutschen Firmen, die durch Ingenieurwissen sehr, sehr stark sind. Ich sehe es so, es sind beide Seiten sehr wichtig für den Gesetzgeber.

 

Herr Schönborn:         Absolut, es sind beide Seiten unglaublich wichtig, es gibt ja unterschiedliche Regularien diesbezüglich. Die Datenschutzgesetzgebung in Deutschland ist eine ganz andere als die in Frankreich zum Beispiel. Und das ist eine große Herausforderung für die international erfolgreichen Unternehmen, damit umzugehen. Wie will ich damit umgehen in einem ständig sich verändernden Umfeld? Sie haben das Thema Industrie 4.0 angesprochen, was ja auch eine große Herausforderung für die Unternehmen sein wird, weil man natürlich Kernthemen selber macht, aber viel mehr verschiedene Partner braucht und integriert. Dieses Kernwissen muss aber bei einem gehalten werden, es muss besonders geschützt werden. Und wie schaffe ich es dann damit umzugehen. Und das gleichzeitig, um weiterhin so agil zu sein. Ich glaube, das ist eine große Herausforderung, wofür wir auch nach Lösungen, nach interessanten spannenden Lösungen suchen.  

 

 

Herr Gawlick:             Ja, diesen Kontrast wirklich hinzukriegen, dass man den Gesetzen entgegenkommt, aber auch den  neuen Arbeitsmethoden, die man in der Industrie 4.0 sieht, das ist natürlich sehr schwierig. Bei Intralinks beschäftigen wir uns sehr mit diesem Thema, um Technologien zu finden, die es ermöglichen, sich sehr leicht mit Partnern auszutauschen, aber zur selben Zeit auch Daten zu schützen. Eine der Sachen, die wir unseren Kunden bieten, ist zum Beispiel die Möglichkeit, Daten zu speichern, wo immer die Firma das möchte, das heißt gewisse Daten müssen zum Beispiel in Deutschland bleiben, gewisse Daten müssen in Singapur bleiben, gewisse Daten müssen vielleicht auch in den USA bleiben. Es kommt darauf an, wie dort die Rechtslagen sind, besonders wenn es um Privatdaten geht. Ein Zweites, was wir ermöglichen, ist, wenn diese Daten geteilt werden, dass dann die Kontrolle bleibt. So dass ich sehen kann, wenn ich zum Beispiel Daten zu einem Lieferanten in China geschickt habe, wie  die Daten benutzt werden. Wer hat sich das angeguckt? Wie lange haben sie sie angeguckt? Und ich kann auch, wenn es notwendig ist, diese Rechte zurückziehen, so dass der Zugriff auf die Daten, obwohl ich sie vielleicht mal zu diesem Partner geschickt habe, nicht mehr möglich ist.

 

Herr Schönbohm:       Und das ist natürlich ein ganz wichtiges Thema. Wenn ich mich in die Rolle der Aufsichtsräte, der Vorstände, der Anteilseigner hineinversetze, dass man wirklich weiß, was ist wann wo wie geschehen, dass ich hierauf flexibel reagieren kann, dass es nachvollziehbar, nachprüfbar ist, also praktisch auditierbar ist für den Fall, wenn etwas passiert ist. Und dass man dann auch wirklich hingehen kann und flexibel diese Sachen auch wieder zurückziehen kann. Nichts verändert sich so schnell wie die Kooperation. Also auf der einen Seite kooperiert man, und am nächsten Tag ist man wieder Wettbewerber oder Marktbegleiter. Und das ist natürlich in sehr schnelllebigen Zeiten, in denen wir leben – durch die Digitalisierung, durch die Industrie 4.0 – noch viel stärker gefordert und von daher ist das mit Sicherheit ein sehr, sehr spannendes Thema.  

 

Herr Gawlick:             Vielen Dank.

Applikations-Chaos

Arne Schönbohm und Rainer Gawlick besprechen die immer beliebtere Nutzung nicht genehmigter, unsicherer Apps und privater Geräte am Arbeitsplatz.  

Wortlaut des Interviews

Weitere Informationen zum Herunterladen

Abschrift

Herr Gawlick:             Ich bin Rainer Gawlick. Ich bin hier mit Herrn Schönbohm, um Sicherheitsthemen mit ihnen zu besprechen und zwar wollen wir heute das Thema ‚Application Chaos’ besprechen. Und zwar sehen wir zwei Trends: Auf der einen Seite sehen wir viele neue Applikationen, die jetzt an den Markt kommen, so wie Slack und Wunderlist und Trello, die wirklich die Produktivität der Angestellten anheben. Zum Zweiten sehen wir auch viele Leute, die durch ihren persönlichen Bereich Applications entdecken, die sie gerne benutzen. Diese Applications bringen sie natürlich auch oft in die Firma rein. Zum Beispiel haben wir einen Kunden, eine Bank in Deutschland, wo einige der Vorstände Dropbox in die Firma reingebracht haben. Das bringt natürlich eine gewisse Problematik für die Firmen, die auf der einen Seite die Produktivität ihrer Angestellten gewährleisten möchten und sie auch die Tools, die ihnen gefallen, benutzten lassen möchten. Auf der anderen Seite gehen damit Sicherheitsthemen einher, die berücksichtigt werden müssen. Was machen die Firmen in Deutschland, um diese Themen zu bearbeiten? 

 

Herr Schönbohm:       Ja, das ist eine große Herausforderung. Sie schildern gerade den Spannungsbogen zwischen Sicherheit auf der einen Seite und Produktivität auf der anderen Seite. Und die Mitarbeiter, die diese Dropbox zum Beispiel reinnehmen oder auch andere wie vielleicht Wunderlist mit draufspielen, machen das ja, um ihre Arbeit noch produktiver zu machen und sagen: „Ich werde dafür bezahlt, dass ich möglichst produktiv bin.“ Und vergessen darüber vielleicht das Thema Sicherheit oder Zuverlässigkeit. Von der Bedrohungslage her ist es aber natürlich so, dass man das gerade nicht vergessen darf, dass die organisierte Kriminalität seit 2009 mehr Geld mit Cybercrime als durch Drogen verdient. Diese Applikationen sind natürliche Einfallstore und von daher geht es darum, dass man versucht, diese Themen Sicherheit und Produktivität in Einklang zu bringen, dass das handhabbar ist letzten Endes. Dass man eine relativ einfache, vernünftige Lösung hat, die einem das tagtägliche Leben innerhalb des Unternehmens vereinfacht, damit man seine Arbeiten gut machen kann. Und wenn man das hat, dann besteht gar nicht mehr die Notwendigkeit, die privaten Themen auch mit reinzunehmen, wie Dropbox, Wunderlist und so weiter, sondern sich daran zu halten, was vorgeschrieben ist. Und das ist, glaube ich, die Herausforderung, dass man hier also ein Art Management-, Informationsschutz-, Informationssicherheitsinstrumentarium aufbaut, dass der Mitarbeiter relativ einfach und sehr produktiv seine Arbeit machen kann, ohne dass die Sicherheit gefährdet ist. Das ist, glaube ich, die zentrale Herausforderung, womit heute Unternehmen umgehen.

 

Herr Gawlick:             Ja, als Firma Intralinks versuchen wir, diese Themen in zwei Wegen anzugehen. Auf der einen Seite versuchen wir, Tools anzubieten, die von der Benutzererfahrung so schön sind, so elegant sind, wie sie es von ihren Consumertools gewöhnt sind, so dass es für die Angestellten wirklich eine Freude ist, das Tool zu benutzen, und sie nicht den Kontrast sehen zwischen den Firmentools und den eigenen Tools. Also das ist, glaube ich, auf der einen Seite sehr wichtig. Auf der anderen Seite können wir natürlich nicht Tools für alles kreieren, und es wird weiterhin noch viele Tools geben, die Angestellte benutzen müssen. Und dann muss es Wege geben, wie man die Daten in diese Tools reinbringen kann, ohne dass man die Sicherheit und auch die Kontrolle und vor allen Dingen auch die Visibilität verliert, was mit diesen Daten geschieht. Mit diesen beiden Ansätzen versuchen wir, den Firmen zu diesen Themen zu helfen.

 

Herr Schönbohm:       Ich glaube, dass es gerade für ein Unternehmen besonders wichtig ist, dieses entsprechend zu machen. Denken wir an das Thema, dass mal etwas passiert. Denken wir an die Strafverfolgungsbehörden. Dort ist es von besonderer Bedeutung, dass man wirklich nachvollziehen, justiziabel nachvollziehen kann, was ist wann, wie, wo passiert? Dementsprechend muss auch das Informationsrechte-Management sehr genau festgelegt sein. Wer hat wo, wie Zugriff gehabt auf welche Daten? Wer hat was vielleicht verändert? Um dann auch einen justiziablen Fall zu haben. Weil das für die Strafverfolgungsbehörde von besonderer Bedeutung ist und das wahrscheinlich dann auch eine große Hilfe ist, auch für den Vorstand, für den Aufsichtsrat, für die anderen Entscheidergremien, dass man dann dort, sag ich mal, gut ist, im Bereich der Strafverfolgung. Das kann ja ansonsten wahrscheinlich Haftungsthemen beeinflussen für die Entscheidergremien.

 

Herr Gawlick:             Ja, in diesem Bereich hilft das Konzept Information  Rights Management sehr. Was wir da praktisch machen ist, dass wir die Daten schützen, indem wir die Sicherheit mit einbrennen und sicherstellen können, dass die Daten nur von – egal in welchen Applications sie sich befinden – dass die Daten nur benutzt werden können, von Leuten, die sie auch benutzten dürfen. Und vor allen Dingen können wir auch sehen, wer was, wann, wo mit den Daten gemacht hat, was genau dem Konzept, von dem sie eben gesprochen haben, entgegenkommt.  

 

Herr Schönbohm:        Klasse!

 

Herr Gawlick:             Danke!

 

Herr Schönbohm:        Gerne.

 

Zugriff – jederzeit und überall

Heutzutage wird rund um die Uhr an sieben Tagen in der Woche gearbeitet. Der Arbeitsplatz ist quasi überall. Rainer Gawlick und Arne Schönbohm zeigen, wie die sichere Zusammenarbeit auch mit Mobilgeräten möglich ist.

Wortlaut des Interviews

Weitere Informationen zum Herunterladen

Abschrift

Herr Gawlick:             Ich bin Rainer Gawlick. Ich bin hier mit Herrn Schönbohm, um ein paar Sicherheitsthemen mit ihnen zu besprechen. Heute wollen wir das Konzept ‚Work anywhere anytime’ kurz aufgreifen. Was wir sehen ist, dass heutzutage Angestellte nicht nur von acht Uhr morgens bis fünf Uhr nachmittags innerhalb des Firmengeländes arbeiten, sondern dass sie oft von zu Hause arbeiten, auf ihren eigenen Computern, auf ihrem eigenen iPad, vielleicht arbeiten, wenn man in China ist auf Geschäftsreise oder vielleicht im schlimmsten Falle sogar auf Firmendaten zugreifen muss, wenn man im Internetcafé den PC vor Ort benutzt. Aber was machen Firmen, um sich mit diesem Problem auseinanderzusetzen? Auf einer Seite müssen sie natürlich dieser Produktivitätsfrage entgegenkommen. Man muss arbeiten können, wo man ist. Auf der anderen Seite können damit viele Sicherheitsthemen aufkommen, wenn man auf einmal auf Daten zugreift, wenn man irgendwo in China sitzt oder im Internetcafé.  

 

Herr Schönbohm:       Ja, das ist natürlich eine ganz große Herausforderung, die Sie gerade schildern. Es geht darum, das in den Griff zu bekommen. Die Leute benutzen ja gerne dieses ‚bring your own device’, weil man damit ein Gerät hat, mit dem man sowohl dienstlich arbeitet als auch privat. Wer nimmt schon gerne drei oder vier verschiedene Handys mit, wenn sie drei oder vier verschiedene Auftraggeber haben. Das machen sie nicht. Also sie haben ein Gerät, mit dem sie auf alles zugreifen. Und dort dann die Sicherheit zu gewährleisten, das ist eine besondere Herausforderung. Denken Sie daran, es sind ja immer mehr Daten auf den verschiedenen Geräten zu sichern. Denken Sie daran, beispielsweise ist einmal ein Laptop abhanden gekommen, auf dem die – verschlüsselt zwar, aber trotzdem – die Konstruktionsdaten von einem Flugzeug waren. Und wenn so etwas weg ist, kann das sofort Milliardenschäden im Bereich der Forschung und Entwicklung verursachen. Was machen Unternehmen dagegen? Natürlich, auf der einen Seite braucht man hier eine sehr klare Vorstellung, was ist machbar, was ist erlaubt, was ist nicht erlaubt? Und man muss es auch dementsprechend nachvollziehbar haben. Dort sucht natürlich jedes Unternehmen, jeder Unternehmer eine Lösung. Wie kann ich ‚bring your own device’ am sichersten gewährleisten? Und jeder, der dort gute Ideen hat, wird, glaube ich, sofort auch einen großen Markterfolg erzielen.

 

Herr Gawlick:             Als Firma Intralinks versuchen wir diesem Thema entgegenzukommen, indem wir das Konzept von ‚IRM - Information Rights Management’ vorstellen. Die Idee hier ist, dass man die Sicherheitsmaßnahmen in die Daten reinbrennt sozusagen und auch, wenn diese Daten dann wandern, zu anderen Computern, oder auf das iPad, oder auch im Extremfall zum Internetcafé, dass die Sicherheitsmaßnahmen trotzdem gewährleistet sind. Das heißt ich kann trotzdem sagen, wer kann auf die Daten zugreifen, wo dürfen sie das machen, wie lange dürfen sie das machen? Ich kann nachvollziehen, wer was  wo gemacht hat und vor allen Dingen kann ich auch die Rechte jederzeit entziehen, wenn ich Angst habe oder meine Meinung ändere über wer was angreifen kann. So kann ich auf die Daten zugreifen, aber die Sicherheit trotzdem noch gewährleisten. 

 

Herr Schönbohm:       Aber das ist für mich schwer vorstellbar. Wie sieht das wirklich im Detail aus? Also jetzt stelle ich mir vor, ich habe einen dienstlichen PC, habe ein privates iPad, auf dem iPad bekomme ich alle meine E-Mails, habe alle meine Kontaktdaten und meine Kalenderdaten drauf und jetzt sitze ich gerade im Café, bin unachtsam, weil ich gerade einen Kaffee trinke, und mein iPad wird gestohlen. Wie kann das nachvollzogen werden? 

 

Herr Gawlick:             Ja, es sind zwei Sachen, die hier sehr wichtig sind: Das erste Konzept heißt Plugin-free, das heißt, es muss sehr leicht sein, dass ich auf die Daten zugreifen kann, ohne dass ich viel installieren muss. Besonders bei PCs ist es oft so, dass ich nicht die Installationsrechte habe. Das ist das Erste. Zweitens muss all das Friction Free sein, so nennen wir das. Die Software muss Friction Free sein, das heißt die Benutzung der Software muss so sein, dass es ganz leicht ist und sehr schmackhaft ist. Wenn ich ihr Beispiel nehme: die Daten, sind durch diese Software geschützt, sie dürfen nicht einfach so in einer E-Mail und so ohne weiteres aufgemacht werden, es sei denn, dass man ein Passwort angibt. Das heißt, sie sind total verschlüsselt, man muss ein Passwort angeben, das natürlich vorher eingesetzt ist, und wenn man das Passwort nicht weiß, kann man auf die Daten nicht zugreifen. Das heißt, wenn es also verloren ist – es sei denn, man hat das Passwort hinten angeklebt – ist es so, dass die Daten auch wirklich geschützt werden in diesem Falle. Und vor allen Dingen, wenn der Angestellte berichtet: „Hey, ich habe mein Passwort verloren oder mein iPad verloren“, dann können wir alle Rechte für diese Datei entziehen, so dass sogar, wenn diese Person irgendwie das Passwort finden sollte, könnte auch nicht mehr auf die Daten zugegriffen werden.

 

Herr Schönbohm:       Das heißt im Extremfall, wenn ich jetzt zehn Mal hintereinander das Passwort falsch eingebe, werden die Daten automatisch gelöscht, oder?

 

Herr Gawlick:             Ja, das kann man einstellen, wie viele Male man es versuchen darf. Aber auch, wie gesagt, wenn sie das Passwort haben, können wir sagen, pass’ mal auf, diese Person hat nicht mehr die Zugriffsrechte. Das heißt, auch wenn die Passwörter verloren gehen, kann man es trotzdem weiterhin schützen.

 

Herr Schönbohm:        Wunderbar, vielen Dank!

 

Herr Gawlick:             Danke.

Europäisches Datenschutzrecht

Rainer Gawlick und Arne Schönbohm reden über das internationale Cloud-Computing im Kontext neuer europäischer Datenschutzgesetze, die ein Vorhalten von Daten innerhalb des gesetzlichen Hoheitsgebiets vorschreiben.

Wortlaut des Interviews

Weitere Informationen zum Herunterladen

Abschrift

Herr Gawlick:             Ich bin hier, Rainer Gawlick, mit Herrn Schönbohm, um Sicherheitsthemen mit ihnen zu besprechen. Heute wollen wir das deutsche Sicherheitsrecht kurz besprechen. Und zwar als amerikanische Firma, die ein Cloud-Anbieter ist, ist es natürlich wichtig, dass wir auch in Deutschland erfolgreich sind. Das ist natürlich eine gewisse Sondersituation hier in Deutschland. Deutschland ist ja eigentlich das führende Land im Bereich von IT-Sicherheit und auch privatem Datenschutz. Uns würde interessieren, was wir als amerikanischer Anbieter wirklich ins Auge fassen müssen, um erfolgreich im deutschen Markt zu sein.

 

Herr Schönbohm:     Ich glaube, das sind mehrere Punkte, die von besonderer Bedeutung sind, und ein Punkt ist, dass sie ein zuverlässiger Partner sind. Also dass sie nicht hingehen und sagen, „Hauptsache ich mache eine Unterschrift“ und dann ‘fire-and-forget’ und dann der nächste Kunde, sondern dass sie kontinuierlich mit dem Kunden zusammenarbeiten und dass sie sich partnerschaftlich austauschen. Das ist ein Thema.

 

Das zweite Thema ist – das ist ja in aller Munde – natürlich, dass die Daten auch vor Ort sind und dass die Daten sicher sind. Dass sie vielleicht besonders verschlüsselt sind, dass die Daten so vor Ort sind – denken sie an das ganze Thema als amerikanische Firma, NSA-Skandale und all die andern Themen – dass die Daten einfach nicht abgegriffen werden, auch wenn es vielleicht legale Rechtsanordnungen an die Unternehmen gibt: „Rück’ die Daten heraus!“ Dass Sie dann sagen können: „Hey, kann ich nicht“ oder „Muss ich nicht“, „Darf ich nicht“ oder wie auch immer. Dass Sie damit umgehen. Weil diese Daten und Informationen ihnen ja praktisch treuhänderisch von den deutschen Unternehmen übergeben werden, dass sie diese eben nicht herausgeben. Darauf muss das Unternehmen vertrauen können. Das sind, glaube ich, die drei Hauptschlüsselpunkte, wie Sie in Deutschland erfolgreich sein werden.

 

Herr Gawlick:             Ja, wir haben da auch drei Sachen, die wir machen, um dieser Sache entgegenzukommen, die ich vielleicht mal erklären kann. Natürlich haben wir ein deutsches Datenzentrum, das dieses Jahr hier in Deutschland live gehen wird. Und das heißt, die Daten sind auch physikalisch hier in Deutschland, was natürlich sehr wichtig ist.

 

Aber der physikalische Platz für die Daten  ist nicht das Einzige, was wichtig ist. Wir finden die logische Kontrolle auch sehr wichtig. Was wir da als Lösung haben, ist das System von ‚Customer Managed Keys’. Das heißt die Schlüssel, die benutzt werden, um die Daten zu verschlüsseln, sind nicht von uns kontrolliert als Lösungsanbieter, sondern werden vom Kunden kontrolliert. Das heißt der Kunde wird uns die Schlüssel geben, wird die Schlüssel sozusagen erfinden, kann sie jederzeit umändern, kann sie rotieren. Egal wie der Kunde das möchte. Wir sehen die Schlüssel überhaupt nicht. Und so werden die Daten dann mit diesen Kundenschlüsseln verschlüsselt und nur die Leute, die auch Zugriff kriegen von dem deutschen Anbieter, denen sagen wir: „Hey, sie können sich die Daten ansehen.“ Nur dann können die Daten auch von dieser Person genutzt werden, weil sie nur in diesem Fall entschlüsselt werden mit den Schlüsseln, die der deutsche Kunde hat.

 

                                    Die dritte Sache, die wichtig ist, dass Daten, obwohl sie normalerweise in Deutschland sitzen, oft auch außerhalb des Landes gehen müssen. Wenn ich einen Partner habe, mit dem ich zusammenarbeite, der nicht in Deutschland ist – was eine ganz normale Sache ist – dann muss ich dem Partner oft Daten schicken. Und dann sind die Daten natürlich nicht mehr in Deutschland. Die Frage ist: Kann man das auch kontrollieren? Und da haben wir eine Technologie, die heißt ‚Information Rights Management’, die praktisch einen Umschlag um die Daten herumpackt, die diesen Schutz bringt. Und das heißt, dass die Daten irgendwo hingeschickt werden und nur dann von der Person geöffnet werden können, die auch dazu berechtigt ist. Auch die Rechte, die diese Personen haben, können eingeschränkt werden. Wir können zum Beispiel sagen, dass nicht gedruckt oder kein copy und paste gemacht werden kann. Diese Rechte können auch jederzeit wieder entzogen werden und natürlich wird auch die volle Visibilität gewährleistet, dass ich genau weiß, wer was wo gemacht hat. Also diese drei Sachen versuchen wir so zusammen zu bringen, so dass die Daten normalerweise in Deutschland gut sitzen, aber auch, wenn sie dann wandern, weiterhin gut geschützt werden.

 

Herr Schönbohm:     Aber wie verschlüsseln sie das wirklich, wenn die Daten jetzt wandern? Also, diese Datenpakete sind ja Firmeneigentum ihres Kunden, und sie sind reiner Dienstleister. Wenn also jemand versucht, diese Daten – vergleichbar mit einem Auto – zu stehlen und einen Start zu wagen, wie schützen sie das? Das machen sie ja durch eine Verschlüsselung und wie funktioniert diese Verschlüsselung?

 

Herr Gawlick:             Ja, vielleicht mal zwei Konzepte: Also wenn jemand versucht, an die Daten heran zu kommen, sagen wir mal die amerikanische Regierung verlangt, dass wir irgendwelche Daten heraus rücken. Das Gute ist, dass wir auf diese Daten keinen Zugriff haben. Das heißt, normalerweise würden wir als Anbieter gar nicht als Benutzer der Daten von ihnen gesehen. Also würden Sie nie unseren Angestellten irgendwo sagen: „Ok, Sie können diese Daten angucken.“ Wenn Sie das nicht machen, haben wir gar keinen Zugriff auf die Daten. Und wir können der amerikanischen Regierung zwar die Bits und Bytes geben, aber die können sie nicht interpretieren, ohne die Schlüssel, die natürlich bei dem deutschen Kunden sind. Das heißt, dass die amerikanische Regierung – wir können ihnen nicht helfen – sie müsste dann zu dem deutschen Kunden hingehen – wir können der Regierung natürlich sagen, wer der deutsche Kunde ist – und der deutsche Kunde kann dann entscheiden, ob sie diese Schlüssel an die amerikanische Regierung geben wollen oder nicht. Und wenn man der Meinung ist, dass das nicht gemacht werden muss, dann können sie das so machen. Wir können da als Firma nichts dagegen machen. Also wir haben keine Möglichkeit.

 

Herr Schönbohm:      Keine back doors.

 

Herr Gawlick:             Keine back doors. Wir haben keine Möglichkeit der Regierung entgegenzukommen, weil wir die Schlüssel nicht haben. Und wir benutzen die neuesten Technologien hier, das heißt ‚Elliptical Encryption’, das ist sehr, sehr sicher. Das Sicherste, was es heute gibt und auch sehr effizient und, wie gesagt, wir haben gar keine Möglichkeit, die Daten anzufassen.

 

Herr Schönbohm:      Klasse, vielen Dank!

 

Herr Gawlick:             Danke.

Mangelnde Sicherheitskultur

Sicherheitsmaßnahmen alleine reichen nicht aus. Arne Schönbohm und Rainer Gawlick besprechen die Notwendigkeit, Mitarbeiter dafür zu sensibilisieren und zu schulen, vertrauliche Unternehmensdaten als solche zu erkennen und richtig zu handhaben.

Wortlaut des Interviews

Weitere Informationen zum Herunterladen

Abschrift

Herr Gawlick:             Guten Tag, ich bin Rainer Gawlick. Ich bin hier mit Herrn Schönbohm, um interessante Sicherheitsthemen mit ihnen zu besprechen. Und zwar wollen wir heute das Konzept von Kultur aufgreifen. Ich  will mit einem persönlichen Beispiel anfangen. Ich bin nicht unbedingt ein großer Benutzer von Facebook. Ich bin nicht unbedingt der Meinung und fühle mich auch nicht wohl damit, mein persönliches Leben so öffentlich darzustellen. Aber ich merke, mit meinen Kindern, die 14 und 16 sind, dass es überhaupt kein Problem ist. Sie stellen alles, was sie tun, auf Facebook, oder es wird auf Twitter mit allen Leuten kommuniziert. Dieses Konzept, dass gewisse Sachen privat bleiben, ist irgendwie anders in der jüngeren Generation. Und die Frage ist jetzt, was passiert, wenn diese Generation – und das ist ja schon eine Weile so – Arbeitnehmer werden und auf einmal auf Daten zugreifen und auf Daten Zugriff haben oder auch haben müssen, die wichtig sind und geschützt werden müssen. Und dass diese Kultur von Offenheit zu der Wichtigkeit, die Daten zu schützen, im Gegensatz steht. Was machen die Firmen in Deutschland, um dieses Problem zu bearbeiten?

 

Herrn Schönbohm:     Ja, ich glaube erst mal, dass das ein weltweites Problem ist oder eine Herausforderung, eine Fragestellung. Und die Frage ist ja nicht: Wie behindert man Trends? Sondern wie geht man damit letzten Endes um? Die jüngere Generation – wobei jünger, das sind vielleicht auch schon die Dreißigjährigen, die nicht mehr ganz so jung sind. Aber diese Generation geht hin und sagt: „Ich habe keine großen Geheimnisse und ich teile es gerne meinen Freunden mit. Und meine Freunde sind meine Freunde auf Facebook oder bei allen möglichen anderen sozialen Netzwerken.“ Und das dann auf einmal zu verändern und ins Unternehmen reinzubringen und auf einmal zu unterscheiden zwischen dem, was wirklich vertrauliche Informationen und was nicht vertrauliche Informationen sind, das ist eine große Herausforderung.

 

Ich mache ein Beispiel: Ich kann mich daran erinnern, es gab einen Erlkönig im Automobilbaubereich, wo die Autos schön getestet werden. Dann werden auch schöne Bilder geschossen, in diesem Fall in den USA, in einer Wüste, von einem großen Fotografenteam. Naja und bei den Fotografen waren natürlich auch Praktikanten dabei, oder Hiwis würde man vielleicht auch sagen, nicht? Etwas despektierlich, also jüngere Leute, die das das erste Mal sehen und dann die Ausbildung dort machen. Nur die sind dann danach in die Kneipe gegangen und früher ist man an die Bar gegangen und hat erzählt wie toll man ist, was man alles Tolles macht, dem einen, der einem gegenüber sitzt, mit dem man das Bier oder die Cola zusammen trinkt. Und heute postet man das auf Facebook. „Hey kuck mal, was ich gemacht hab!“ Und worst case ist dann natürlich, wenn es heißt: „Kuck mal, so sieht der Erlkönig aus.“ Das wäre sofort ein riesiger Schaden. Und darum müssen Firmen lernen damit umzugehen und natürlich auch Mitarbeiter entsprechend schulen, und auch die Mitarbeiter der Partner entsprechend schulen, dass die Geheimnisse wirklich da bleiben. Und dazu helfen natürlich auch bestimmte prozessuale Regularien, oder Schulungsmaßnahmen etc.

 

Herr Gawlick:             Ihr Beispiel ist toll! Das kann ich mir sehr gut vorstellen. Als Firma Intralinks versuchen wir das mit Technologie aufzugreifen, wir haben das Konzept von ‚Information Rights Management’, aber auch durch Ausbildung. Wenn wir neue Kunden haben, haben wir oft großen Fokus auf den Rollout der neuen Technologie. Wie können wir die Technologie schmackhaft machen? Wie können wir das in die jetzigen Arbeitsweisen der Leute mit integrieren? Und vor allen Dingen, wie können wir die Angestellten ausbilden über die Wichtigkeit, die Sicherheitsmaßnahmen, die gewünscht werden auch mit in den Arbeitsablauf, den man täglich hat, einzubeziehen? Und diese Ausbildung ist ein wichtiger Teil von jeder Technologieentscheidung, die eine Firma treffen würde, um diese Kulturfragen wirklich bearbeiten zu können.

 

Herrn Schönbohm:     Können Sie das ein bisschen näher erklären? Hinsichtlich der Ausbildung, was tun sie dort? Also machen sie dann dort Trainings oder Workshops, oder wie trainieren Sie die Leute?

 

Herr Gawlick:             Das ist genau richtig. Wir versuchen genau zu wissen, was die Arbeitsabläufe sind, die typisch sind in der Firma, um dann zu sehen, was muss geändert werden oder anders gemacht werden, um die Sicherheitstechnologie mit reinzubringen? Idealerweise werden sehr wenige Änderungen gemacht, natürlich, weil Leute Änderungen nicht möchten. Und zum großen Teil können wir die auch vermeiden. Dann werden Materialien kreiert, werden Workshops aufgebaut, werden Poster kreiert und so weiter, um zu kommunizieren, was das Ziel der Initiative ist und was die Angestellten auch diesbezüglich machen müssen. Und da kann man viel machen, auch vielleicht Social Media benutzen, um diese Themen an die neuen Angestellten zu bringen. Also da ist diese Kommunikation ein wichtiger Teil unserer Rollout-Projekte. Es geht nicht nur um Technologie. Es geht auch um die richtige Anwendung der Technologie.

 

Herrn Schönbohm:     Ich glaube, das ist ein ganz wichtiges Thema, die Menschen mitzunehmen, weil die beste Technologie nichts hilft, wenn die Menschen die Fehler machen.

 

Herr Gawlick:             Ja, da haben sie vollkommen Recht!

 

Herrn Schönbohm:      Und von daher, glaube ich, ist das ein spannendes Thema.

 

Herr Gawlick:             Danke!

 

Herrn Schönbohm:      Gerne.