badger
Goto Top

Schutz der Firmendaten vor Versendung per Mail

Hallo Leute,

ich stelle heute mal eher eine allgemeine Frage:
Wie schützt ihr euer Unternehmen vor Diebstahl der Firmendaten?

Konkret geht es mir darum, Firmendaten vor dem verschicken per Mail zu schützen.
Eine Verbot für das verschicken per Anhang für gewisse Datentypen kommt für mich nicht infrage, da wir unseren Kunden des Öfteren Word, Excel oder PDF-Dokumente schicken müssen.

Wie könnte man dies also lösen?


Grüße
Patrick

Content-ID: 220722

Url: https://administrator.de/contentid/220722

Printed on: October 15, 2024 at 16:10 o'clock

Cthluhu
Cthluhu Oct 29, 2013 updated at 14:05:04 (UTC)
Goto Top
Hi,

Solche Fragen kommen hier alle paar Wochen im Forum vorbei. Die Quintessenz: es gibt keinen Schutz vor Datenklau durch die Mitarbeiter welche zwangsläufig mit den Daten arbeiten müssen.

Selbst wenn du die Daten nur auf Rechnern zur Verfügung stellst welche keine Verbindung zum Internet haben können deine Mitarbeiter per Kamera einen Screenshot anfertigen und diesen später verschicken.

mfg

Cthluhu

EDIT: Sicherheitskonzept gegen Datenklau
Badger
Badger Oct 29, 2013 at 14:13:06 (UTC)
Goto Top
Zitat von @Cthluhu:
Hi,

Solche Fragen kommen hier alle paar Wochen im Forum vorbei. Die Quintessenz: es gibt keinen Schutz vor Datenklau durch die
Mitarbeiter welche zwangsläufig mit den Daten arbeiten müssen.

Selbst wenn du die Daten nur auf Rechnern zur Verfügung stellst welche keine Verbindung zum Internet haben können deine
Mitarbeiter per Kamera einen Screenshot anfertigen und diesen später verschicken.

mfg

Cthluhu

EDIT: Sicherheitskonzept gegen Datenklau

Danke dir für deine Meinung und den Link.
Allerdings leider nicht meine erhoffte Antwort face-smile
Lochkartenstanzer
Lochkartenstanzer Oct 29, 2013 at 14:54:33 (UTC)
Goto Top
Cat 9 hilft, wenn es konsequent angewendet wird.

lks
DerWoWusste
DerWoWusste Oct 29, 2013 updated at 14:59:25 (UTC)
Goto Top
Hi.

Allerdings leider nicht meine erhoffte Antwort
Dann kommt jetzt Deine erhoffte Antwort: Nimm dazu doch einfach Produkt x von Firma y, damit ist alles ganz einfach!

Sag mal, wie stellst Du Dir denn eine Lösung vor? Es liegt doch auf der Hand, dass das was Du suchst "Content inspection" ist und zwar reinsten Wassers. Alles, was Euer Netz "via Mail" verlassen will, soll auf bestimmte (?) Inhalte hin geprüft werden und dann soll entschieden werden, ob das zugelassen wird.

Das ist äußerst schwierig, wenn auch nicht unmöglich. Einwände, wie den von Cthluhu musst Du berücksichtigen, denn nur Mail dicht zu machen und den Rest normal zu lassen, wäre natürlich nichts, aber das ist Dir vermutlich klar.

Content Inspection machen Hardwareprodukte wie Mimesweeper: http://www.clearswift.de/products/mimesweeper-for-smtp
certifiedit.net
certifiedit.net Oct 29, 2013 updated at 15:10:00 (UTC)
Goto Top
Erfordert dann aber entsprechend Personen, die das einrichten und(!) überwachen und(!) konsequent ahnden. Abgesehen davon wird der Betriebsfluss dadurch wohl so effizient gestört, dass ihr bald keine Angst vor Datenabfluss mehr haben braucht.

Effizienter ist daher: Die MA ordentlich behandeln + bezahlen, damit sie nicht auf dumme Ideeen kommen.
psannz
psannz Oct 29, 2013 updated at 15:52:15 (UTC)
Goto Top
Sers,

verwendet ihr Exchange? Wenn ja, die Enterprise oder die Standardvariante? Sharepoint? Welche Serverarchitektur?

Mit Windows Server 2012 (bzw. 2008+) & Sharepoint 2013 & Exchange 2013 Enterprise lässt sich in Richtung Data Loss Protection schon recht viel machen.

Hauptproblem auf deiner Seite: Was nicht konfiguriert ist wird nicht erkannt. Und da eine auf deine Umgebung passende Compliance einzurichten schluckt recht viel Zeit.
Hauptproblem auf der Userseite: Wer wirklich will schafft alles.

:edit: Musst natürlich bedenken dass DLP auf vielen Wegen greifen muss. USB Sticks, Uploads auf diverse Webserver & -Seiten, ungesicherte physikalische Zugänge ins Netzwerk, selbst Ausdrucke.
Was auf jeden Fall immer greift ist ein extrem umfangreiches (&datenschutzkonformes) Monitoring von Zugriffen und extrem drakonische Strafen in den unterzeichneten NDAs. Abschreckend wirkt das aber auch nur auf Hänschen Klein der sich mit dem einen oder anderen Datensatz beim Kumpel Eindruck schinden will. Vor echter Industriespionage schützt das nicht.

Zitat von @Lochkartenstanzer:
Cat 9 hilft, wenn es konsequent angewendet wird.

lks

Bedankt & bestellt! Damit gibt es endlich mal ne Alternative zum Kloppe. Soll keiner behaupten die User dürften nicht wählen ^^

Grüße,
Philip
certifiedit.net
certifiedit.net Oct 29, 2013 at 15:48:20 (UTC)
Goto Top
Zitat von @psannz:
Sers,

verwendet ihr Exchange? Wenn ja, die Enterprise oder die Standardvariante? Sharepoint? Welche Serverarchitektur?

Mit Windows Server 2012 (bzw. 2008+) & Sharepoint 2013 & Exchange 2013 Enterprise lässt sich in Richtung
Data Loss Protection schon recht viel machen.

Hauptproblem auf deiner Seite: Was nicht konfiguriert ist wird nicht erkannt. Und da eine auf deine Umgebung passende Compliance
einzurichten schluckt recht viel Zeit.
Hauptproblem auf der Userseite: Wer wirklich will schafft alles.

> Zitat von @Lochkartenstanzer:
> ----
> Cat 9 hilft, wenn es konsequent angewendet wird.
>
> lks

Bedankt & bestellt! Damit gibt es endlich mal ne Alternative zum
Kloppe. Soll keiner behaupten die User dürften nicht
wählen ^^

Grüße,
Philip

Hi Philip,

das Ding ist doch: Wenn man den MA kein Vertrauen entgegenbringt und sie nur noch knechtet werden sie a) das ganze per Mail zu versenden, wenn sie entsprechend sensible Daten in die Finger bekommen und ein gutes Angebot oben drauf oder b) diese Daten analog per Hirn oder Hand aus der Firma tragen.

Ansonsten hilft natürlich eine COmplianceregel, viel wichtiger ist aber erstmal die bisherige Rechtestruktur (wer darf was, wer darf was lesen, wer darf was wann nutzen etc und(!) ausgeschiedene MA müssen deaktiviert sein - überall, hier muss dann noch der Betriebsrat eingeschalten werden, wenn die Mailadressen weitergeleitet werden wollen.
psannz
psannz Oct 29, 2013 at 16:01:54 (UTC)
Goto Top
Zitat von @certifiedit.net:
Hi Philip,

das Ding ist doch: Wenn man den MA kein Vertrauen entgegenbringt und sie nur noch knechtet werden sie a) das ganze per Mail zu
versenden, wenn sie entsprechend sensible Daten in die Finger bekommen und ein gutes Angebot oben drauf oder b) diese Daten analog
per Hirn oder Hand aus der Firma tragen.

Ansonsten hilft natürlich eine COmplianceregel, viel wichtiger ist aber erstmal die bisherige Rechtestruktur (wer darf was,
wer darf was lesen, wer darf was wann nutzen etc und(!) ausgeschiedene MA müssen deaktiviert sein - überall, hier muss
dann noch der Betriebsrat eingeschalten werden, wenn die Mailadressen weitergeleitet werden wollen.

Stimmt. Und damit haben wir auch die Quintessenz des Themas. Vertrauen ist gut, eine durchdachtes Compliance Enforcement für Vertrauensbrüche noch besser, aber wenn der Mitarbeiter erst gar nicht in Versuchung gebracht wird ist man noch viel weiter. Gelegenheit macht Diebe. Und die Gelegenheit gilt es zu erkennen & unterbinden. face-smile
Badger
Badger Oct 29, 2013 at 16:33:46 (UTC)
Goto Top
Leute, Leute: Bitte mich nicht gleich steinigen!
Sorry wenn ich mich bei meinem ersten Comment etwas falsch ausgedrückt habe.
Meine "nicht erhoffte Antwort" ist so zu verstehen, dass ich die Meldungen von Cthluhu und dem Link total plausibel und einleuchtend ist (Und bez. Kamera: Diese Methode habe ich selbst total außer acht gelassen!). Allerdings hätte ich mir evt. gedacht, dass es diverse Einstellungen gibt, die Sicherheit bez. Datenklau zu erhöhen.

Und nachdem ich seit kurzen ein gebranntes Kind bez. diesem Thema bin, wollte ich mich einfach informieren.
Danke daher auch für eure weiteren Infos!
nxclass
nxclass Oct 30, 2013 at 07:26:18 (UTC)
Goto Top
Firmendaten vor dem verschicken per Mail zu schützen
... gab mal Zeiten da hatte man Papier und Ordner im Schrank stehen und bei Bedarf wurde kopiert und per Post verschickt.

Dokumente in einem verschliessbaren Schrank packen, Kopierer so platzieren dass sich niemand still und leise daran setzen kann.

Wie immer ist es die Bequemlichkeit die Sicherheit aufweicht.
Lochkartenstanzer
Lochkartenstanzer Oct 30, 2013 at 08:34:52 (UTC)
Goto Top
Zitat von @Badger:
(Und bez. Kamera: Diese Methode habe ich selbst total außer acht gelassen!).

Und nicht vergessen:

Die Mitarbeiter haben einen Kopf in dem sie das ganz abspeichern können. face-smile

lks

PS: Im wesentlichen läuft es darauf hinaus, daß man die Mitarbeiter ordentlich benhandelt, die Daten nur denjenigen "zeigt" die das auch etwas angeht und schriflich fixiert, was die Konsequenzen für Zuwiderhandlungen sind. Das Ganze kann man natürlich softwaretechnisch unterstützen, aber die Technik (außer ordentlichen LARTs) löst keine sozialen Probleme!
Badger
Badger Oct 30, 2013 at 08:52:23 (UTC)
Goto Top
Danke für eure Antworten.

Mir geht es prinzipiell nicht um ein "sehen dürfen" bzw. "sehen können" sondern um das "mit nach Hause nehmen, bearbeiten und für meine eigene Zwecke nutzen".

Aber ich werde mir jetzt mal Compliance Regeln anschauen, inwieweit das für mich passend ist!
DerWoWusste
DerWoWusste Oct 30, 2013 at 09:40:00 (UTC)
Goto Top
Die Compliance Regeln für Exchange? Die schützen nicht, wenn der Mitarbeiter per Browser Webmailer nutzt, um nach Hause zu senden. Mimesweeper und ähnliches hingegen schauen den gesamten auswärtigen Datenstrom an.
certifiedit.net
certifiedit.net Oct 30, 2013 at 10:03:13 (UTC)
Goto Top
Zitat von @DerWoWusste:
Die Compliance Regeln für Exchange? Die schützen nicht, wenn der Mitarbeiter per Browser Webmailer nutzt, um nach Hause
zu senden. Mimesweeper und ähnliches hingegen schauen den gesamten auswärtigen Datenstrom an.

Exakt, das sollte die UTM filtern, dass die Benutzer erst gar nicht auf diese Webmailer zugreifen dürfen.