Wie Benutzer Daten verschieben, und warum dies die Datensicherheit gefährdet

Mai 14, 2020 Sicherheit und Compliance, MOVEit

Unabhängig davon, ob es sich um das Marketing-Team, das Vertriebsteam oder das Finanzteam handelt, Mitarbeiter versuchen immer, die Arbeit so schnell wie möglich zu erledigen. Dies führt häufig dazu, dass Verfahren abgekürzt werden und das große Ganze aus den Augen verloren wird. Die Schulung von Mitarbeitern stößt an Grenzen, wenn es darum geht, eine gute Datensicherheitshygiene zu praktizieren. In diesem Artikel behandeln wir 5 Vorgehensweisen, wie Benutzer Daten verschieben, und die Gründe dafür, warum jede davon eine Gefahr für die Datensicherheit und Compliance darstellt.  

E-Mail

Versuchen Sie sich zunächst einmal vorzustellen, wie viele Daten täglich über Ihre E-Mail-Server übertragen werden. Die Finanzabteilung etwa erhält zahlreiche Formulare und persönliche Daten von Auftragnehmern, um diese für ihre erbrachten Services zu bezahlen. Im Marketing werden kontinuierlich Daten mit Vertriebspartnern ausgetauscht. Die Personalabteilung erfasst die persönlichen Daten der Mitarbeiter, um unterschiedliche Aufgaben wie die Meldung bei der Krankenversicherung und Anlageportfolios erledigen zu können. Die Liste ließe sich lange fortsetzen.

Tatsache ist, dass ein Großteil der sensiblen Daten über E-Mail-Server mit unzureichenden Sicherheitskontrollen übertragen werden. Wenn man bedenkt, wie viele Daten tagtäglich gesendet und archiviert werden, lässt sich die Menge der vorhandenen sensiblen Daten nur schwer erahnen. Hinzu kommt, dass viele Daten redundant sind und sich der aktuelle Speicherort so noch schwieriger bestimmen lässt. Durch diese Art der Datenübertragung ist die Datensicherheit stark gefährdet.

FTP-Server

Das FTP (File Transfer Protocol) ist so alt wie die E-Mail und wird weit öfter verwendet, als es sich IT-Experten eingestehen wollen. FTP wird vielseitig genutzt – der Haupteinsatzzweck ist jedoch nach wie vor das interne und externe Versenden großer Datenmengen. Das Problem: Ohne eine angemessene Verschlüsselung und einen Kennwortschutz gilt FTP an sich als sehr unsicher und eine sichere Datenübertragung ist nicht gewährleistet. Wenn keine angemessenen Verschlüsselungsstandards vorhanden sind, ist FTP sehr anfällig für Man-in-the-Middle (MITM)-Angriffe. Sogar kennwortgeschützte FTP-Server sind sehr leicht zu entschlüsseln. Wie wir bereits wissen, sind Kennwörter das schwächste Sicherheitsglied. Viele Mitarbeiter nutzen für ihr persönliches und professionelles Konto ein und dasselbe Kennwort. Wenn bei einem Datendiebstahl also ein Kennwort offengelegt wird, ist jeder Bereich, auf den ein Mitarbeiter Zugriff hat, gefährdet.

Zudem sind FTP-Server sehr einfach einzurichten und können von jedem beliebigen Mitarbeiter eines Unternehmens genutzt werden, sofern die IT dies zulässt. Dies wiederum kann dazu führen, dass übermäßig viele FTP-Server erstellt werden und die IT mit Wartungsproblemen zu kämpfen hat. Die IT-Abteilung hat, ähnlich wie bei E-Mails, kaum Einblick in den Aufenthaltsort von Daten während der Übertragung und von ruhenden Daten.

EFSS-Tools

Enterprise File Synchronization and Sharing (EFSS) ist eine beliebte Möglichkeit, um Daten intern an andere Mitarbeiter und extern an Drittanbieter und Partner weiterzugeben und sie dort zu speichern. Einige Produkte dieser Kategorie sind Google Drive und Dropbox. Besonders beliebt sind diese Tools, da sich mit ihnen große Dateien wie Fotos und Videos ganz einfach hin- und herschieben lassen. Und auch wenn sie hinsichtlich der Sicherheit und Compliance immer besser werden, sind sie für die Übertragung sensibler Daten nicht die beste Methode.

Eines der größten Probleme, die mit dieser Art von Tools einhergehen, ist die fehlende Transparenz über die sensiblen Daten, die über EFSS-Plattformen übertragen werden.

Da heutzutage viele Menschen ein Google-Konto haben, verwenden viele Mitarbeiter zur Übertragung von sensiblen und nicht-sensiblen Daten Google Drive. Für sie ist dies eine gute Lösung, um Daten extern zu speichern. Mitarbeiter können einen Link zu diesen Daten freigeben und jeder, der Zugriff auf diesen Link hat, kann die Daten herunterladen. Das Problem dabei ist, dass diese Links im Regelfall über das persönliche Konto der Mitarbeiter verwaltet werden. Verlässt der Mitarbeiter nun das Unternehmen, ist nicht gesichert, dass diese Links nicht mehr zugänglich sind. Dies bedeutet für IT-Teams ein großes Compliance- und Sicherheits-Problem, da die Kontrolle darüber, wer wann Zugriff auf diese Daten hat, stets in ihrer Hand liegen muss.

Cloud-Dienste

Da immer mehr Unternehmen auf Cloud- oder Hybrid-Cloud-Umgebungen umsteigen, werden viel mehr sensible Daten über diese Cloud-Dienste übertragen. Grundsätzlich sollte die IT-Abteilung einen ausreichenden Überblick darüber haben, wer auf diese Services Zugriff hat und welche Daten in der Cloud liegen. Das wichtigste Kriterium für die Sicherheit von Daten in der Cloud ist, wer für den Schutz dieser Daten verantwortlich ist.

Viele IT-Experten würden hier als Erstes je nach genutztem Cloud-Anbieter AWS oder Azure nennen. Tatsächlich haben sich insbesondere Microsoft und Amazon intensiv darum bemüht, ihre Verantwortung bei einem Datenverlust möglichst gering zu halten. Lesen Sie daher unbedingt das Kleingedruckte, wenn Sie sich bei diesen Services anmelden, und vergewissern Sie sich, dass Ihr Unternehmen gegen Ausfälle oder Sicherheitspannen gut versichert ist. Möglicherweise lässt sich nach der eigenen Risikobeurteilung der Schluss ziehen, dass bestimmte Datentypen lokal besser aufgehoben sind, da die IT dort mehr Kontrolle über die Sicherheit und Compliance dieser Daten hat. Nur weil die Daten auf einem AWS- oder Azure-Server gestohlen wurden, bedeutet dies nicht, dass Microsoft oder Amazon Ihnen weiterhelfen können.

Verschieben von Marketing- und Umsatzdaten

Daten sind das A und O in Ihrer Marketing- und Vertriebsstruktur. Nur mithilfe dieser Daten können Sie Leads auch durch den Sales Funnel schleusen und schließlich Umsatz generieren. Das Problem ist, dass viele dieser Daten vor dem Gesetz als personenbezogene Daten gelten.

Die DSGVO betrachtet personenbezogene Daten als alles, was mit einer Person in Beziehung steht. Hierzu zählen E-Mail-Adressen, IP-Adressen, Namen, Telefonnummern und vieles mehr. Dies alles sind die wesentlichen Informationen, die Marketing und Vertrieb als Grundlage für ihre Arbeit benötigen. Viele Unternehmen haben jedoch keinen Überblick darüber, wo sich diese Daten befinden. Natürlich wurde der Großteil dieser Daten höchstwahrscheinlich bereits in Marketing-Automatisierungssoftware wie Marketo oder Eloqua sowie CRM-Tools wie Salesforce eingepflegt. Das ist auch völlig in Ordnung. Häufig werden die Daten jedoch vom Marketing und Vertrieb aus diesen Systemen in Tabellen oder auf persönliche Geräte übertragen, damit sie bestimmte Daten potenzieller Kunden per E-Mail an Partner senden können.

Dies ist nicht zuletzt aus Compliance-Gründen äußerst beunruhigend für die IT. IT-Teams müssen zu jedem Zeitpunkt ganz genau wissen, wo sich Daten befinden. Werden diese auf Standard-Plattformen wie Marketo und Salesforce übertragen, verliert die IT jegliche Kontrolle über die Daten.

Fazit

Wir haben uns nun einige der meistgenutzten Möglichkeiten zur Datenübertragung sowie die Vorzüge und Schattenseiten der einzelnen Lösungen angesehen. Die beste Methode, um Arbeitnehmer über die richtige Vorgehensweise beim Datentransfer zu informieren, ist es, sie regelmäßig zu den Vor- und Nachteile der einzelnen Lösungen zu schulen. Zudem ist es unerlässlich, eine Risikobeurteilung Ihrer Infrastruktur durchzuführen, um eventuelle Sicherheitslücken zu identifizieren. Am Ende des Tages spielt es keine Rolle, welche Lösung Sie oder Ihre Endbenutzer verwenden. Letztendlich ist allein Ihr Unternehmen für die sensiblen Daten und Datensicherheit verantwortlich, ganz gleich, welche Tools und Services Sie verwenden.

Testen Sie unsere Tools für die sichere Dateiübertragung (Managed File Transfer) kostenfrei.

Greg Mooney

Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.

Read next Datenschutz vs. Datensicherheit