Schutz der Firmendaten vor Versendung per Mail
Hallo Leute,
ich stelle heute mal eher eine allgemeine Frage:
Wie schützt ihr euer Unternehmen vor Diebstahl der Firmendaten?
Konkret geht es mir darum, Firmendaten vor dem verschicken per Mail zu schützen.
Eine Verbot für das verschicken per Anhang für gewisse Datentypen kommt für mich nicht infrage, da wir unseren Kunden des Öfteren Word, Excel oder PDF-Dokumente schicken müssen.
Wie könnte man dies also lösen?
Grüße
Patrick
ich stelle heute mal eher eine allgemeine Frage:
Wie schützt ihr euer Unternehmen vor Diebstahl der Firmendaten?
Konkret geht es mir darum, Firmendaten vor dem verschicken per Mail zu schützen.
Eine Verbot für das verschicken per Anhang für gewisse Datentypen kommt für mich nicht infrage, da wir unseren Kunden des Öfteren Word, Excel oder PDF-Dokumente schicken müssen.
Wie könnte man dies also lösen?
Grüße
Patrick
Please also mark the comments that contributed to the solution of the article
Content-ID: 220722
Url: https://administrator.de/contentid/220722
Printed on: October 15, 2024 at 16:10 o'clock
14 Comments
Latest comment
Hi,
Solche Fragen kommen hier alle paar Wochen im Forum vorbei. Die Quintessenz: es gibt keinen Schutz vor Datenklau durch die Mitarbeiter welche zwangsläufig mit den Daten arbeiten müssen.
Selbst wenn du die Daten nur auf Rechnern zur Verfügung stellst welche keine Verbindung zum Internet haben können deine Mitarbeiter per Kamera einen Screenshot anfertigen und diesen später verschicken.
mfg
Cthluhu
EDIT: Sicherheitskonzept gegen Datenklau
Solche Fragen kommen hier alle paar Wochen im Forum vorbei. Die Quintessenz: es gibt keinen Schutz vor Datenklau durch die Mitarbeiter welche zwangsläufig mit den Daten arbeiten müssen.
Selbst wenn du die Daten nur auf Rechnern zur Verfügung stellst welche keine Verbindung zum Internet haben können deine Mitarbeiter per Kamera einen Screenshot anfertigen und diesen später verschicken.
mfg
Cthluhu
EDIT: Sicherheitskonzept gegen Datenklau
Hi.
Sag mal, wie stellst Du Dir denn eine Lösung vor? Es liegt doch auf der Hand, dass das was Du suchst "Content inspection" ist und zwar reinsten Wassers. Alles, was Euer Netz "via Mail" verlassen will, soll auf bestimmte (?) Inhalte hin geprüft werden und dann soll entschieden werden, ob das zugelassen wird.
Das ist äußerst schwierig, wenn auch nicht unmöglich. Einwände, wie den von Cthluhu musst Du berücksichtigen, denn nur Mail dicht zu machen und den Rest normal zu lassen, wäre natürlich nichts, aber das ist Dir vermutlich klar.
Content Inspection machen Hardwareprodukte wie Mimesweeper: http://www.clearswift.de/products/mimesweeper-for-smtp
Allerdings leider nicht meine erhoffte Antwort
Dann kommt jetzt Deine erhoffte Antwort: Nimm dazu doch einfach Produkt x von Firma y, damit ist alles ganz einfach!Sag mal, wie stellst Du Dir denn eine Lösung vor? Es liegt doch auf der Hand, dass das was Du suchst "Content inspection" ist und zwar reinsten Wassers. Alles, was Euer Netz "via Mail" verlassen will, soll auf bestimmte (?) Inhalte hin geprüft werden und dann soll entschieden werden, ob das zugelassen wird.
Das ist äußerst schwierig, wenn auch nicht unmöglich. Einwände, wie den von Cthluhu musst Du berücksichtigen, denn nur Mail dicht zu machen und den Rest normal zu lassen, wäre natürlich nichts, aber das ist Dir vermutlich klar.
Content Inspection machen Hardwareprodukte wie Mimesweeper: http://www.clearswift.de/products/mimesweeper-for-smtp
Erfordert dann aber entsprechend Personen, die das einrichten und(!) überwachen und(!) konsequent ahnden. Abgesehen davon wird der Betriebsfluss dadurch wohl so effizient gestört, dass ihr bald keine Angst vor Datenabfluss mehr haben braucht.
Effizienter ist daher: Die MA ordentlich behandeln + bezahlen, damit sie nicht auf dumme Ideeen kommen.
Effizienter ist daher: Die MA ordentlich behandeln + bezahlen, damit sie nicht auf dumme Ideeen kommen.
Sers,
verwendet ihr Exchange? Wenn ja, die Enterprise oder die Standardvariante? Sharepoint? Welche Serverarchitektur?
Mit Windows Server 2012 (bzw. 2008+) & Sharepoint 2013 & Exchange 2013 Enterprise lässt sich in Richtung Data Loss Protection schon recht viel machen.
Hauptproblem auf deiner Seite: Was nicht konfiguriert ist wird nicht erkannt. Und da eine auf deine Umgebung passende Compliance einzurichten schluckt recht viel Zeit.
Hauptproblem auf der Userseite: Wer wirklich will schafft alles.
:edit: Musst natürlich bedenken dass DLP auf vielen Wegen greifen muss. USB Sticks, Uploads auf diverse Webserver & -Seiten, ungesicherte physikalische Zugänge ins Netzwerk, selbst Ausdrucke.
Was auf jeden Fall immer greift ist ein extrem umfangreiches (&datenschutzkonformes) Monitoring von Zugriffen und extrem drakonische Strafen in den unterzeichneten NDAs. Abschreckend wirkt das aber auch nur auf Hänschen Klein der sich mit dem einen oder anderen Datensatz beim Kumpel Eindruck schinden will. Vor echter Industriespionage schützt das nicht.
Bedankt & bestellt! Damit gibt es endlich mal ne Alternative zum Kloppe. Soll keiner behaupten die User dürften nicht wählen ^^
Grüße,
Philip
verwendet ihr Exchange? Wenn ja, die Enterprise oder die Standardvariante? Sharepoint? Welche Serverarchitektur?
Mit Windows Server 2012 (bzw. 2008+) & Sharepoint 2013 & Exchange 2013 Enterprise lässt sich in Richtung Data Loss Protection schon recht viel machen.
Hauptproblem auf deiner Seite: Was nicht konfiguriert ist wird nicht erkannt. Und da eine auf deine Umgebung passende Compliance einzurichten schluckt recht viel Zeit.
Hauptproblem auf der Userseite: Wer wirklich will schafft alles.
:edit: Musst natürlich bedenken dass DLP auf vielen Wegen greifen muss. USB Sticks, Uploads auf diverse Webserver & -Seiten, ungesicherte physikalische Zugänge ins Netzwerk, selbst Ausdrucke.
Was auf jeden Fall immer greift ist ein extrem umfangreiches (&datenschutzkonformes) Monitoring von Zugriffen und extrem drakonische Strafen in den unterzeichneten NDAs. Abschreckend wirkt das aber auch nur auf Hänschen Klein der sich mit dem einen oder anderen Datensatz beim Kumpel Eindruck schinden will. Vor echter Industriespionage schützt das nicht.
Bedankt & bestellt! Damit gibt es endlich mal ne Alternative zum Kloppe. Soll keiner behaupten die User dürften nicht wählen ^^
Grüße,
Philip
Zitat von @psannz:
Sers,
verwendet ihr Exchange? Wenn ja, die Enterprise oder die Standardvariante? Sharepoint? Welche Serverarchitektur?
Mit Windows Server 2012 (bzw. 2008+) & Sharepoint 2013 & Exchange 2013 Enterprise lässt sich in Richtung
Data Loss Protection schon recht viel machen.
Hauptproblem auf deiner Seite: Was nicht konfiguriert ist wird nicht erkannt. Und da eine auf deine Umgebung passende Compliance
einzurichten schluckt recht viel Zeit.
Hauptproblem auf der Userseite: Wer wirklich will schafft alles.
> Zitat von @Lochkartenstanzer:
> ----
> Cat 9 hilft, wenn es konsequent angewendet wird.
>
> lks
Bedankt & bestellt! Damit gibt es endlich mal ne Alternative zum
Kloppe. Soll keiner behaupten die User dürften nicht
wählen ^^
Grüße,
Philip
Sers,
verwendet ihr Exchange? Wenn ja, die Enterprise oder die Standardvariante? Sharepoint? Welche Serverarchitektur?
Mit Windows Server 2012 (bzw. 2008+) & Sharepoint 2013 & Exchange 2013 Enterprise lässt sich in Richtung
Data Loss Protection schon recht viel machen.
Hauptproblem auf deiner Seite: Was nicht konfiguriert ist wird nicht erkannt. Und da eine auf deine Umgebung passende Compliance
einzurichten schluckt recht viel Zeit.
Hauptproblem auf der Userseite: Wer wirklich will schafft alles.
> Zitat von @Lochkartenstanzer:
> ----
> Cat 9 hilft, wenn es konsequent angewendet wird.
>
> lks
Bedankt & bestellt! Damit gibt es endlich mal ne Alternative zum
Kloppe. Soll keiner behaupten die User dürften nicht
wählen ^^
Grüße,
Philip
Hi Philip,
das Ding ist doch: Wenn man den MA kein Vertrauen entgegenbringt und sie nur noch knechtet werden sie a) das ganze per Mail zu versenden, wenn sie entsprechend sensible Daten in die Finger bekommen und ein gutes Angebot oben drauf oder b) diese Daten analog per Hirn oder Hand aus der Firma tragen.
Ansonsten hilft natürlich eine COmplianceregel, viel wichtiger ist aber erstmal die bisherige Rechtestruktur (wer darf was, wer darf was lesen, wer darf was wann nutzen etc und(!) ausgeschiedene MA müssen deaktiviert sein - überall, hier muss dann noch der Betriebsrat eingeschalten werden, wenn die Mailadressen weitergeleitet werden wollen.
Zitat von @certifiedit.net:
Hi Philip,
das Ding ist doch: Wenn man den MA kein Vertrauen entgegenbringt und sie nur noch knechtet werden sie a) das ganze per Mail zu
versenden, wenn sie entsprechend sensible Daten in die Finger bekommen und ein gutes Angebot oben drauf oder b) diese Daten analog
per Hirn oder Hand aus der Firma tragen.
Ansonsten hilft natürlich eine COmplianceregel, viel wichtiger ist aber erstmal die bisherige Rechtestruktur (wer darf was,
wer darf was lesen, wer darf was wann nutzen etc und(!) ausgeschiedene MA müssen deaktiviert sein - überall, hier muss
dann noch der Betriebsrat eingeschalten werden, wenn die Mailadressen weitergeleitet werden wollen.
Hi Philip,
das Ding ist doch: Wenn man den MA kein Vertrauen entgegenbringt und sie nur noch knechtet werden sie a) das ganze per Mail zu
versenden, wenn sie entsprechend sensible Daten in die Finger bekommen und ein gutes Angebot oben drauf oder b) diese Daten analog
per Hirn oder Hand aus der Firma tragen.
Ansonsten hilft natürlich eine COmplianceregel, viel wichtiger ist aber erstmal die bisherige Rechtestruktur (wer darf was,
wer darf was lesen, wer darf was wann nutzen etc und(!) ausgeschiedene MA müssen deaktiviert sein - überall, hier muss
dann noch der Betriebsrat eingeschalten werden, wenn die Mailadressen weitergeleitet werden wollen.
Stimmt. Und damit haben wir auch die Quintessenz des Themas. Vertrauen ist gut, eine durchdachtes Compliance Enforcement für Vertrauensbrüche noch besser, aber wenn der Mitarbeiter erst gar nicht in Versuchung gebracht wird ist man noch viel weiter. Gelegenheit macht Diebe. Und die Gelegenheit gilt es zu erkennen & unterbinden.
Firmendaten vor dem verschicken per Mail zu schützen
... gab mal Zeiten da hatte man Papier und Ordner im Schrank stehen und bei Bedarf wurde kopiert und per Post verschickt.Dokumente in einem verschliessbaren Schrank packen, Kopierer so platzieren dass sich niemand still und leise daran setzen kann.
Wie immer ist es die Bequemlichkeit die Sicherheit aufweicht.
Und nicht vergessen:
Die Mitarbeiter haben einen Kopf in dem sie das ganz abspeichern können.
lks
PS: Im wesentlichen läuft es darauf hinaus, daß man die Mitarbeiter ordentlich benhandelt, die Daten nur denjenigen "zeigt" die das auch etwas angeht und schriflich fixiert, was die Konsequenzen für Zuwiderhandlungen sind. Das Ganze kann man natürlich softwaretechnisch unterstützen, aber die Technik (außer ordentlichen LARTs) löst keine sozialen Probleme!
Zitat von @DerWoWusste:
Die Compliance Regeln für Exchange? Die schützen nicht, wenn der Mitarbeiter per Browser Webmailer nutzt, um nach Hause
zu senden. Mimesweeper und ähnliches hingegen schauen den gesamten auswärtigen Datenstrom an.
Die Compliance Regeln für Exchange? Die schützen nicht, wenn der Mitarbeiter per Browser Webmailer nutzt, um nach Hause
zu senden. Mimesweeper und ähnliches hingegen schauen den gesamten auswärtigen Datenstrom an.
Exakt, das sollte die UTM filtern, dass die Benutzer erst gar nicht auf diese Webmailer zugreifen dürfen.