Digitalisierung – Cybersicherheit ist ein zentraler Bestandteil von Innovation – MIT-GROUP

Digitalisierung – Cybersicherheit ist ein zentraler Bestandteil von Innovation – MIT-GROUP   


Cybersicherheit ist nicht nur Risikoreduktion, sondern ein zentrales Element, damit disruptive digitale Geschäftsmodelle gefunden, eingeführt und betrieben werden können.“

Interview: Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP

Cybersicherheit ist es nicht nur ein Technologiethema, sondern ein wichtiges Traktandum für die Geschäftsleitung und den VR.“

Link zum Interview welches publiziert wurde bei swissICT und Swiss IT Magazine.

Privacy + Security: CH-DSG, CH-e-ID, EU-DSGVO, EU-GDPR – all for „the best privacy by design“ ?!

Aktualisierte oder neue Regulationen wie die in der Schweiz in Vernehmlassung stehenden Datenschutzgesetz (CH-DSG), Elektronische Identität (CH-e-ID), Bundesgesetz über das elektronische Patientendossier (CH-EPDG) und auch europäische / internationale Gesetze und Standards wie die Datenschutz-Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) haben anspruchsvolle und je nach Business Modell (z.B. bezüglich dem Umgang und Nutzung von personensensitiven Daten) tiefgreifende Auswirkungen und möglichst frühzeitige Massnahmen zur Folge in der Organisation / Prozesse / ICT-Prozesse bis hin zur Firmen- und ICT-Strategie. Beim EU-DSGVO / GDPR ist das als Beispiel bis spätestens dem Mai 2018 der Fall.

Mittels Regeln soll die Verarbeitung von personenbezogenen Daten (auch Datenhoheit, Daten-Selbst- oder Mit-Bestimmung, Datenlöschung, privacy by design, privacy by default) durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Dass hierbei das Binnenland Schweiz sich im Rahmen der eigenen Regulation nicht abschotten darf und kann ist aus meiner Sicht selbsterklärend. Schliesslich muss sich auch die Schweiz im Rahmen der Industrie 4.0 / Digitalisierung orientieren an Europa bzw. internationale Standards und nur dadurch von adaptierbare Innovationen von neuesten Entwicklungen in den Bereichen wie z.B. CyberSecurity, Privacy, Clouds, AI, Big Data, Data Science mitprofitieren kann im globalen Wettbewerb.

Was das in der Praxis bedeutet erfährt derzeit eine inflationäre Meinungsbreite. Folgend einige persönliche Meinungen:

Eigentlich kann der Datenschutz als Hochseil-Balanceakt und Gratwanderung zwischen den Unternehmensanforderungen in Zeiten der Digitalisierung und des Erfüllungsgrades der zunehmenden Bürokratie verstanden werden. Die Frage nach dem Fangnetz oder Balance-Werkzeug (z.B. von Strategie, Technologie und Prozessen) ist berechtigt.

Obwohl derzeit noch keine ausreichende Langzeit-Daten oder Erfahrungswerte vorhanden sind kann man eigentlich derzeit nur eine weitere Meinung einnehmen oder kundtun bzw. derzeit in “secure minded best practices” Prozess- und Technologie-Gestaltung vorbereiten und stufenweise einführen. Dabei sollte man auch eine gewisse Flexibilität für die anzunehmende Dynamik der weiteren Entwicklung beibehalten in der entsprechenden ICT-Gesamtarchitektur.

Derzeit gehören sicherlich die Aspekte des benötigten Datenschutzbeauftragten DSB / “data protection officer” DPO und der denkbaren Datenschutzverletzungen zur Risikominimierung (“data breach notification”) / Datenschutzfolgenabschätzungen (wird zu einem Teilbereich von “Risk Management”, internen Kontrollsystemen IKS oder “Incident Response Management”) zu den ersten praktischen Prioritäten. Bei den offiziellen Gesetzes-Vernehmlassungen zum CH-DSG , CH-e-ID, CH-EDPG seitens Bundesbern (bei welchem ich mit grossem Eigen- und Unternehmer-Interesse mitwirkte in Taskforces seitens isss.ch) ist entsprechende diesbezügliche Anpassung oder nötige Orientierung an die europäische Gesetzesgebung bzw. internationalen Standards abzusehen. Ungeachtet dessen kommt (zum Glück, aber jedoch nur wenigstens…) unverändert die einzuhaltende Pflicht gemäss CH-OR zur Anwendung von “Treue und Sorgfaltspflicht” beim Umgang mit Daten von Kunden und Geschäftspartnern.

In Anbetracht der umfassenden Überarbeitung und Zukunftsausrichtung von Privacy / Datenschutz ist natürlich erkennbar, dass prinzipiell ALLE Unternehmen, Branchen, Anbieter, Provider betroffen sind und alle zu “Hochseil-Tänzern” (hoffentlich mit besagtem Fangnetz oder Balance-Werkzeug) werden (müssen). Speziell genannt seien auch das Gesundheitswesen (eHealth, EPDG), Schulen, Universitäten, Personalwesen (HR Analytics, Recruiting, Assessment, Work Analytics), Platform-Economy (z.B. CRM, Nutzerverhalten, Einkaufsverhalten, Social Media / Engagement Analytics) und generell die “digitale Gesellschaft”.

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der integrierten Collaboration – auch auf Basis von ICT-Systemen / Clouds und Schnittstellen mit dem Fokus auf maximale, auditierbare Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten.

Es sollen möglichst produkte- und methoden-neutrale Ansätze / Fragestellungen, aber basierend auf Regulationen / Industriestandards und durch jede Firmen- / Projekt-Grösse adaptierbare «best practices» umfassend / verständlich aufgezeigt und passend eingeführt werden. Und zwar so automatisiert und integriert, dass der betroffene Anwender, Geschäftspartner oder Kunde dadurch nicht gestört oder eingeschränkt wird, jedoch zu den relevanten Auswirkungen im Bilde ist, informiert wird und die transparente Kontrolle erhält und behält bei Bedarf. Dabei sollten auditierbare Prozess-Zyklen unter den Aspekten «identify + classification» / «labeling» / «protection» / «share» / «monitoring + logging» / «report + auditing» beachtet werden.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Industrie 4.0 / Digitalisierung und neuen Universen wie auch IoT, Big Data, Data Science, Künstliche Intelligenz AI, «Cyberphysical Systems» hinterlassen Konzept- und Security-Fragen welche dann auch «managed» und «auditiert» werden müssen.

Ein reiner «Schweizer Datenschutz» in der Regulierung / Standardisierung ist aktiv zu verhindern, verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» (Fridel Rickenbacher ist ebenfalls Akteur) werden ebenfalls adaptierbare «Outcomes» (der bisherigen 16 verabschiedeten und kommenden Massnahmen) von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Spitäler, Grossbauten zu erwarten sein. Die zweite Auflage des NCS wird derzeit erarbeitet und bis Ende 2017 sollten weitere Details hierzu verfügbar sein.

Seit letztes Jahr laufende «Digitalisierungstest der Schweizer Gesetze» seitens SECO Bern (siehe Interview seitens Fridel Rickenbacher mit Dr. Eric Scheidegger) bilden ein weitere Grundlage für kommende Standards und Merkblätter oder gar Normierungen in allen Bereichen.

«Open Systems / Open Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Ein «Security minded» Modell dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren (Mensch – Prozesse – Technologie – unter Betrachtung der physischen und logischen Sicherheit).

Eine intelligent orchestrierte, vollintegrierte ICT-Gesamtarchitektur mit Maximierung von Angriffs- und Betriebs-Sicherheit wird zur einer mittragenden Säule für die Industrie 4.0 / neue Geschäftsmodelle bzw. in diesem Anwendungsfall für die Erreichung des höchsten «Maturity Levels» / Reifegrades von bestehenden oder neuen «Business Models» / Geschäftsmodellen.

Die Zukunft wird geprägt werden von (hoffentlich) secure minded «Business Model Maturity Empowering» oder «Data Monetization» von allen «Business Models» / Geschäftsmodellen mittels ICT, Big Data, AI, Data Science.

Der Betriff «Data Monetization» oder ganz einfach übersetzt «Daten zu Erfolg bringen und zu Geld machen» zeigt einen anspruchsvollen Weg (oder gar Widerspruch?!) auf von Fachbereichen (Hochseil-Akt wie besagt…) wie «Privacy & Security», «Information Ethics» oder Ideen / Konzepte / Visionen der «digitalen Gesellschaft» oder auch «Open Data».

 

Security by Design

Security by Design

shutterstock_188215409_wk1003mike.jpg

Fast 90% der erfolgreichen Cyberangriffe beginnen mit Phishing-Attacken oder der auch als „Social Engineering“ bezeichneten Manipulation von Menschen, um an deren vertrauliche Informationen zu kommen. Die Schadsoftware gelangt z.B. per Email-Anhang, über schädliche Links oder „infizierte“ Webseiten auf das System. Das Risiko, von einem derartigen Angriff getroffen zu werden, kann man heute mit verhältnismäßig kleinem Budget und relativ einfach beherrschbaren und automatisierten Cloud-Services massiv reduzieren. Es eignet sich z.B. Office365, Emailsignierung und / oder –verschlüsselung, Managed Mailsecurity, Managed Security oder ein einfaches Cloud-Backup.

Die unverändert wichtigste Grundlage für alle Schutzmaßnahmen sind aktuelle, korrekt eingerichtete und laufend aktualisierte Betriebssysteme. Und natürlich Programme wie Virenschutz, Anti-Malware-Monitoring oder Baseline-Analyzer, die den PC auf Sicherheitslücken überprüfen. Auch hier gibt es bereits proaktive und zentral verwaltbare Lösungen, die sich geschickt kombinieren lassen.

60% des Datenverlusts, der den Ruf oder die Existenz einer Firma bedrohen könnte, entsteht durch Diebstahl. Dieses Risiko kann mittels gut kombinierbaren Cloud-Services auf ein Minimum reduziert werden. Wer zum Beispiel seine Emails oder sogar alle Daten verschlüsselt überträgt, regelmäßig Backups in der Cloud sichert oder auch auf einer Gesamtlösung in der Cloud aufbaut, minimiert die Bedrohungslage deutlich.

Im Zentrum der Computer-Kriminalität steht allerdings unverändert der Mensch / Mitarbeiter als Ziel. Mitarbeiter können jedoch als aktive Beteiligte im Kampf gegen IT-Risiken miteinbezogen werden. Mit einer generellen Sensibilisierung dem Thema gegenüber, gezielten Schulungen, aber auch über eine IT Security Policy, die im Arbeitsvertrag verbindlich hinterlegt werden kann.

Sicherheit als explizite Anforderung in einen  Entwicklungsprozess aufzunehmen und  ganzheitliche Sicherheitsmaßnahmen von der Initialisierung an zu berücksichtigen ist richtig. Mit kombinierten Maßnahmen lässt sich gut eine “Security by Design” / “Security by Default” Gesamtlösung realisieren, die an die Anforderungen des europäischen Datenschutzes angepasst ist. Weitergehende Anforderungen und Compliance-Vorgaben gemäß der eigenen IT-Firmen-Strategie werden durch präventive Maßnahmen sinnvoll und budgetierbar unterstützt.

“Make or buy”-Entscheidungen im Bereich dieser Managed Security Services sind mittlerweile relativ einfach geworden. So gibt es international tätige Services-Anbieter, die mit Security-Spezialisten im 7x24h-Betrieb arbeiten. Die Milliarden-Investitionen in die globalen Sicherheitsgesamtaspekte von kritischen Infrastrukturen zeigen hier natürlich bereits Wirkung. Da mit der zunehmenden Größe einer Industrie die Kosten pro Einheit abnehmen – der sogenannte „economy of scale“-Effekt – ist bereits heute eine erschwingliche Nutzung solcher Enterprise-Lösungen auch für kleine und mittlere Unternehmen sowie Non-Profit-Organisationen möglich.

Über den Autor:   
Fridel Rickenbacher ist Mitgründer des Schweizer ICT-Total-Unternehmens MIT-GROUP – sowie Mitglied von diversen Fachgruppen wie z.B. „Privacy und Security“ und „Informationsethik“ bei SI, Akteur bei “Nationale Strategie gegen Cyberrisiken (NCS)” des Bundes und Redaktions-Mitglied bei swissICT.

Foto: Copyright shutterstock.com, wk1003mike

Security by design / by Default zum Schutz der Anwender und Firmen

image-security-ethz

90% der erfolgreichen Cyberangriffe starten mit Phishing-Attacken / Social Engineering z.B. per Email und darüber aktivierte und verbreitete Malware wie z.B. Ransomware, Verschlüsselungs-Trojaner, Spähprogramme -> mit mittlerweilen einfach beherrschbaren und automatisierten Cloud-Services wie z.B. Office365, Emailsignierung, Emailverschlüsselung, Managed Mailsecurity, Managed Security, Cloud-Backup kann dieses grösste Angriffs-Sicherheits-Risiko mit verhältnismässig kleinem Budget massiv reduziert werden.

Die unverändert wichtigste Grundlage für solche geschickt kombinierte, orchestrierte Services bzw. Gegenmassnahmen sind aktuelle, korrekt eingerichtete und laufend aktualisierte Betriebssysteme und Endpoint Protection Services wie z.B. Virenschutz, Anti-Malware, Monitoring, Baseline-Analyzer -> auch hier gibt es unlängst proaktive und zentral verwaltbare Lösungen wie z.B. gut abgestimmte Richtlinien (GPO, Benutzer, Computer, Netzwerk, Server, Firewall), Microsoft Enterprise Mobility & Security, Verhaltensmonitoring, Sandboxing, Baselining aufgrund Verhaltensmuster-Massnahmen, besser absicherbare und verwaltbare Betriebssysteme wie z.B. Windows 10 mit ATA Advanced Threat Analytics. (übrigens ist Windows 10 / Surface Geräteklasse offiziell beim amerikanischen Geheimdienst NSA als besonders sicher eingestuft und auf einer Liste von ICT-Produkten, welche geeignet seien, geheime Dinge geheim zu halten) und letztlich Cloud-Gesamtlösungen.

60% des auch firmenvitalen oder reputationsgefährdenden Datenverlusts entsteht durch Diebstahl -> mittels sehr gut kombinierbaren Cloud-Services wie z.B. Document Rights Management DRM, Emailverschlüsselung, verschlüsselter Datenaustausch via SharePoint / OneDrive, Cloud-Backup und Cloud-Gesamtlösungen lässt sich auch dieses Risiko der zunehmenden Bedrohungslage auf ein Minimum reduzieren.

Im Zentrum von Cyberrisiken / Cyberwar steht unverändert der Mensch / Mitarbeiter als Ziel welcher jedoch auch mittels Sensibilisierungen, Schulungen und unterstützend per ICT Security Policy (optional auch als Arbeitsvertrags-Anhang) als Beteiligter involviert werden in der proaktiven Unterstützung gegen ICT-Risiken.

Mit solchen kombinierten Massnahmen lässt sich bereits jetzt schon eine „Security by design“ / „Security by Default“ Gesamtlösung realisieren welche dann auch gemäss dem künftigen, derzeit in einer Vernehmlassung stehenden Datenschutzgesetz DSG der Schweiz oder Europa konform ist. Weitergehende Anforderungen / Compliance-Vorgaben von z.B. auch der FINMA, IKS, Risk-Management bzw. gemäss der Pflichten entlang der ICT-Firmen-Strategie werden durch solche präventive Massnahmen sinnvoll und budgetierbar unterstützt.

„make or buy“ Entscheide im Bereich solcher Managed Security Services sind mittlerweilen relativ einfach geworden … International tätige Services-Anbieter mit tausenden von Security-Spezialisten mit 7x24h-Betrieb / Operation Centers / Responce Centers und Milliarden-Investitionen in globalen Sicherheitsgesamtaspekten von auch kritischen Infrastrukturen (unterstützt mit Artificial Intelligence AI / KI, Technologie-Allianzen) lassen die erschwingliche Nutzung von solchen Enterprise-Lösungen infolge „economy of scale“ Effekten zu – auch für Kleinstunternehmen KMU.

Ergänzend finden Sie allenfalls hier weitere nützliche Inputs und hoffentlich impulsbringende Gedanken

Privacy, Security, Anonymity, Infoethik > all about your Safety? or not?

image.observing

Meine persönliche Meinung und teilweise auch Teil-Resignation:

Es gibt wahrscheinlich kein Themenbereich (z.B. Safety, Security, Privacy, Anonymity) in welchem die Diskussion und Fachmeinungen so unterschiedlicher nicht sein könnten …

Erschwerend kommt dazu, dass es hier dann gleichzeitig auch noch um Grundsätze / Aspekte der Gesellschaft, Ethik und Grundsatz-Rechte geht.

Wenn man hier dann noch diese Aspekte sogar noch «digitalisiert» (Digital-Gesellschaft, Informations-Ethik…) unter der unaufhörlichen Transformation in die voll-digitalisierte Gesellschaft wird es nicht einfacher a) eine persönliche, b) eine technisch fachliche und c) eine gesellschaftlich mitverantwortende Stellung zu beziehen und mit aller Konsequenz zu vertreten

Auch ich habe eine Art «Mission» … in meinem Falle ist mein Credo «share to evolve» … und hier beginnt schon ein Universum zu erwachsen an Widersprüchen… und dann eben auch mitunter (Teil)Resignationen in z.B. auch der digitalen Ignoranz… obwohl ich KONSEQUENT und IMMER ASAP (wenn ich eine Innovation als adaptionsfähig erachte für mich oder auch mein Umfeld / Kunden) sämtlich mir verfügbaren technologischen Features nutze wie z.B. Emailsignierung, Emailverschlüsselung, Multifactor Authentication MFA, PGP, TrueCrypt, Festplattenverschlüsselung, OS-Verschlüsselung, Datenverschlüsselung, BIOS-Security, TPM, Festplatten-Sperre etc.

Wie wahrscheinlich alle von unseren Fachexperten-Gruppen-Teilnehmern teile ich Wissen und Erfahrungen mit Gleichgesinnten, Kunden, Coachees, Sparringpartnern, Zuhörer, Leser, Interessierten und erkenne hier eine gewisse zwingende technische und persönliche Offenheit / Hinwegsetzung hinweg über alle Grenzen der oben genannten Aspekte…

Wie können wir als Experten erwarten, dass auch jene Experten mit auch teilweise bekannten, gefährlichen Halbwissen (geschweige den Standard-Informations-Workers…) sich konsequent an einzelne, technisch nutzbare Basis-Hilfsmittel oder Basis-Regeln halten …

Wenn ….

  • Der Plattform-Kapitalismus und globale Allianzen von z.B. Google, Amazon, Microsoft, Alibaba so einladend / vermeintlich kostenlos ist und täglich unteranderem mit der persönlichen Privacy bezahlt wird … und dann die bereits bezahlte Rechnung mit der Privacy dann auch noch weitergereicht wird an den Meistbietenden für z.B. Advertising, Adressenvermarktung, Nutzerverhalten, Predicted Computing etc.
  • Das offiziell, deklariert letzte Windows 10 / Office (als ein Beispiel von vielen „Mainstream“-Produkten) dann metamorphiert zu einem ongoing «Windows / Office as a service» und dann wiederum alles sieht, erkennt, sammelt, aktualisiert, updated und vorhersagt – und eben die Meisten das ja sogar wollen bzw. in deren Convenience das als nützlich betrachten und die daraus provozierten, SEHR GROSSEN Themen der Privacy, Security, Safety, Anonymity dann mitunter auch naiv missachten oder vergessen.
  • Cloud-Dienste wie Google, Amazon, Microsoft, Office-Suites bzw. grundsätzlich alle Cloud-Services von jedem Benutzer überall, geräte- und standort-unabhängig und ohne (Medien)Unter-Bruch seamless genutzt werden wollen… mit entsprechenden laufenden Data- / Analytic-Streams quer über das ganze Internet-Universum und über alle System- und Geografie-Grenzen hinweg
  • Die Digitalisierung und digitale Gesellschaft ihren Tribut fordert und die (R)Evolution und Innovation unaufhörlich uns alle zu letztlich freiwillige oder unfreiwillige Bewohner macht von «smart cities» mit einer lückenlosen Überwachung und schwindelerregenden Sensoren-Dichte … zu weit? Dann lasst uns doch mal ansonsten all die anderen «smart citizens» betrachten mit all ihren uneingeschränkt akzeptierten «wearables», «activity trackers» und «smartphones» zulasten derer Privacy (je nach technischer und persönlicher (Fein)Einstellung…)
  • Es wird künftig weitere Zweiklassen-Gesellschafts-Formen geben: die voll-digitalisierten Digital-Natives mit Big Data Wissen (technokratische Elite ? mit aber niedriger Selbstkontrolle der persönlichen Daten) und die teil-offline-rückgeführten Abwender (mit bewusst höherer Selbstkontrolle der persönlichen Daten) – mit dann aus Sicht des Big Data als unberechenbares, da nicht erfasstes Risiko deklariert (?!)
  • wie erreichen wir dann diese beiden Extreme in welcher Form ??? …Ich erzähle hier ja nicht viel Neues… aber nur schon der viel interne Diskurs bei Fachexperten-Gruppen und «Meinungsgrätschen» vor jeglichem Kontakt mit der Aussenwelt / Bildungspyramide / Kunde sagt mir persönlich schon einiges aus zum Punkt der (Teil)Resignation der digitalen Ignoranz…
  • und ja: ich (hoffentlich wir alle) kämpfen unermüdlich dagegen an und wollen nicht resignieren… und wir wollen auch unsere Zuhörer / Nachahmer nicht vergraulen und nicht verlieren… aber wir tun gut hier allenfalls genau darum auch andere Wege und Kompromisse zu finden – und wenn es nur kleine Schritte oder Phasen sind.
  • «I have nothing to hide, so who worry? Or so many people think. If you are so sure, then please email me (unencrypted…) all your usernames and passwords for all your email and social media accounts … i didn’t think so»
  • Privacy and anonymity are not the same thing… genau darum sind alle so verunsichert und wir müssen ihnen helfen aber zuerst uns selber einig werden / Beschlussfassung finden und halt mal auch über den Schatten springen unserer eigenen vermeintlichen Missionen… und dann halt mit ersten stufengerechten auch GANZ EINFACHEN Teil-Schritten beginnen wie eben z.B. Internet-Nutzungs-Regeln, die gute alte „Netiquette“, Kennwortsicherheit, Email-Signierung, electronicID und dann auch Email-Verschlüsselung / Aufklärung zu den verschiedenen Formen der Cloud-Services etc.

Data Loss Prevention DLP – vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil

dlp3dlp

Als Grundlage – und bei weitergehendem Informations-Interesse als „nur“ dem Artikel-Haupt-Thema – für meine persönliche Philosophie zum schier unfassbar grossen Big Thema Security / Safety / Risk Management referenziere ich meinen publizierten Artikel bei ISACA Chapter Switzerland im SWISS IT MAGAZINE
>> 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

Viele Produkte und Technologien rund um DLP – wo bleiben der Mensch und die Prozesse?
Sämtliche Bemühungen in technischer und prozessmässiger Hinsicht zur „beinahen“ Verhinderung oder eher „nur“ Behinderung von Daten-Lecks bzw. Entwendung oder Nutzen-Veränderung von firmen- oder personen-sensitiven Daten scheinen zunehmend reine eher reaktive Symptombekämpfungen anstelle proaktive integrierte Ursachenbekämpfungen zu sein. Hierbei steht einmal mehr der Mensch und die Prozesse im Vordergrund und im Fokus der Wirkung am Ziel.

Angriffs- und Betriebs-Sicherheits-Krieg auf höchstem Niveau – Mensch immerschwächer werdendes Glied in der Kette
Die sehr raffinierten Angriffs- und Verteidigungs-Methoden im Kontext von z.B. auch Zeitfaktoren / Multifaktor-Anmeldungen / Berechenbarkeit / Eintrittswahrscheinlichkeiten / Verschlüsselung scheinen mittlerweilen auf einem Höchst-Niveau abzulaufen – jenseits in dieser Betrachtung vom sicherheits-technisch immer schwächer werdenden Glied in der Kette – des Menschen selber.
Der grösste Schaden – es gibt genügend Beispiele seit längerer Zeit – basiert meist auf einer raffiniert aufgebauten und von langer Hand geplanter Angriffs-Strategie basierend auf  einer „Vertrauens-Bildung zwischen Angreifer und Opfer“.
Hierbei können folgende stichwortartig aufgelistete sehr einfache Fälle als Referenz dienen:
– Mail-Anhang mit bösartigem Code von einem (gefälschten) Bekannten öffnen
– Zugangs-Kennwort per Telefon, Webseite, Socialmedia, Email oder gar Zuruf bekanntgeben
– Kennwörter an beliebten Orten öffentlich zugänglich machen (Tastatur, Pult, Tasche etc.)
– Arbeitsplatz ungesperrt hinterlassen und den Zugang ermöglichen für Kollegen oder Externe
– „Unsicheres“ Daten austauschen per Webmail, Socialmedia, Smartphone, Wechseldatenträger
– Social Engineering – extern aber auch von intern …

Patt-Situation – Informations-Schutz versus Menschen-Schutz – was schützen und klassifizieren wir zuerst ?
Wo nun die Organisationen / Führungsebene beginnen sollten im Teil-Bereich von „Data Loss Prevention DLP“  ist demnach nicht einfach zu beantworten bevor man überhaupt weiss was „schützenswerte“ Informationen sind mittels einer zuerst nötigen Basis-Arbeit der Daten-Klassifikation.
Aufgrund dieser Klassifikation (auf die genaue Methode und Ansätze wird hier nicht eingegangen) entsteht dann ein klareres und überschaubareres Gesamt-Bild der schützenswerten Objekten und deren Einstufungen in z.B. Eintrittswahrscheinlichkeit, Risiken, Schadenspotential. Daraus sollten sich dann eine hoffentlich beherrschbarere Gesamtsicht entstehen mit z.B. Massnahmen, Compliance-Anforderungen, Auswirkungen auf Mitarbeiter Security Policy und Risk-Management / Audit.

Datenschutz und Persönlichkeits-Rechte – und trotzdem auch Schutz-Recht von Firmen-Eigentum ?
Zum Schutze und als Basis der (hoffentlich) gemeinsamen Interessen – auf der einen Seite des Mitarbeiters und dessen z.B. Persönlichkeits-Rechten und auf der anderen Seite der Firma und deren z.B. „intellectual property“ – sollte eine gemeinsame Vereinbarung in Form einer „ICT Security Policy / ICT Weisungen“ verabschiedet und als verbindlicher Bestandteil zum Arbeitsvertrag unterzeichnet werden.
Diese Spielregeln können letztlich kein Daten-Leck verhindern jedoch dient diese vorallem auch der Sensibilisierung und Aufklärung zu betriebs-vitalen oder gar betriebs-hoch-kritischen Gefahren, Regeln und Massnahmen.
Dabei ist auch die Balance zu finden zwischen den Rechten beider Partner (Arbeitnehmer und Arbeitnehmer oder auch Kunden und Service-Anbieter) unter Wahrung der Persönlichkeitsrechten und Balance zwischen Vertrauen und genau zu beschreibenden Kontroll- und Verteidigungs-Mechanismen (z.B. mehrstufig, anonymisiert, Trends, Baselines, Anomalien, Traffic-Controlling, Filterungen, Blockaden, Alerting).

Sensibilisierung via ICT Security Policy verschwindet nach der Unterzeichnung
ICT Security Policies als Bestandteil zum Arbeitsvertrag werden a) nur vor dem Start des Arbeitsverhältnisses unterzeichnet, b) geraten dann schnell in Vergessenheit, c) beinhalten vielfach keinen offenen ergänzbaren Bereich für die die hoch-dynamischen Bedrohungs-Lagen und d) sollten eine Arbeitspapier als Ausgangslage für weitergehende, wiederkehrende Schulungen und Sensibilisierungen. Hierbei reichen vielfach nur schon ausgewählte und auf die Firma adaptiert kommentierte, einfache Beispiele von Daten- und Sicherheits-Lecks von anderen betroffenen Organisationen und auch entsprechende juristisch strafrechtliche Auswirkungen.
Es sollte dadurch selbsterklärend sein, dass dann mitunter auch „naive“ Aussagen oder Ausreden im Sinne von „das war mir gar nicht bewusst oder das hat mir niemand so explizit gesagt“ nicht mehr einfach akzeptiert werden.

Lange Rede rund um… und nun: Am Schluss kommt „nur“ noch die Technologie
Und eine Wiederholung mehr: 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf
Zuerst umfassend sensibilisierte Mitarbeiter (Mensch) und klassifizierte schützenswerte Informationen (Maschinen, Prozesse) bilden dann die beherrschbare Basis für dann ein umfassend orchestrierte und bewusst vielschichtig aufgebaute Gesamtlösung.

Data Loss Prevention – best out of breed and out of best practices
Alleine die Aufzählung von verschiedenen Ansätzen, Methoden, Produkten würde jeglichen Rahmen sprengen dieses Impuls-Artikels. Ich beschränke mich hiermit auf die stichwortartige Aufzählungen von gewissen Ansätzen, Szenarien und einfach erklärten Ideen:
– Sehr hohe Priorität sollte dem „Schutz der digitalen Identität“ zugewandt werden – z.B. bei Kennwort-Richtlinien, Kennwort-Manager-Software, Multifactor-Anmeldung, One Time Token, Devices, Cloud-Dienste etc. damit hier nicht mittels einem „zentralen Einfalls-Tor alle anderen Zugänge und Angriffs-Schutz-Mechanismen“ ausgehebelt werden …
– Filterung, Ueberwachung und Sperren von WLAN-, Smartphone-, Internet- und Webbrowser-Zugänge und Berechtigungen für die proaktive Verhinderung von unerwünschten oder gefährlichen Webseiten- oder Internet-Aufrufen
– Software- und/oder Hardware-Verschlüsselung von z.B. Festplatten, Wechseldatenträger, Smartphones, Emails, Dokumenten (z.B. Bitlocker)
– Transportregeln auf Basis des Email-Systems welche per Voll-Text-Inhalts-Filterung gewisse geschützte und so klassifizierte Mails oder Anhänge sperrt / umleitet oder archiviert
– Automatische Disclaimer-Erzwingung oder PopUp-Fenster-Anzeige im Mail-Programm an den Anwender (proaktive Sensibilisierung) bei allen ausgehenden Emails oder bei klassifizierten Informationen
– Automatische Email- und Datenaustausch-Verschlüsselung (und auch z.B. Sender-Identitäts-Nachweis) ohne Einwirkung des Senders und Empfängers
– Verschlüsselungs-Punkte in der ganzen Kette der Kommunikation (User to Services, Daten zwischen Datencentern, Daten auf Datenträgern, End-to-End-Verschlüsselung von User zu User)
– Geschützte Output-Umgebungen mit Druck / Scan per Kennwort, Keycard, Token
– Compliance-Einschränkungen von z.B. Smartphone für Kamera, Bluetooth, NFC, WLAN, Cloud, Apps, Socialmedia, Speicher-Einschränkungen, Kennwort- und Geräte-Sperr-Vorgaben und Remote Löschungen
– Device Management Lösungen oder Software-Agents auf Clients für z.B. Sperre von Printscreens, Copy Paste Sperre je nach Anwendung, Software-Compliance-Kontrollen, AppLocker
– Zentral verwaltete, proaktive Endpoint Protection Lösungen welche zusammen mit neuartigen Internet-Firewalls auch Anomalien aufspüren oder Base-Line-Vergleiche sicherstellen kann (Stichwort: Trojaner, RootKits, Viren, Würmer, Schläfer, Kennwort-Logger, Spionage-Tools, Datenströme
– Baseline-Compliance-Vergleiche von zugelassenen und unerwünschten / nachträglich installierten Tools / Malware / Apps mit entsprechender Alarmierung
– Fingerprinting, Watermarking, Metadaten-Kennzeichnung, Keywords für das Filtern und Aufspüren von Informations-(Ab)flüssen oder Missbrauch
– Erweiterte Right Management Services (RMS) oder Digital / Information Right Services (DRM, IRS) welche eine sehr hohe, erweiterte Granularität von z.B. Dokumenten-Rechte / Schutz beim Empfänger steuern kann (z.B. Regelung von Autorisierung / Weitergabe / Druck / Speicherung / Protokollierung / Gültigkeitsdauer)

– Je nach Informations-Klassifizierung und Risk-Management gar erweiterte Massnahmen mittels einem „Intellectual Property Management“ System zum erweitertem Schutz von firmenvitalen Geisteseigentum.

– Letztlich: strategisch bewusstes Auslagern / Archivieren oder Sichern / Spiegeln von (Teil)Daten / Zusatz-Backups oder ganzen Systemen auf viel leistungsfähigere und ausfallsicherer orchestrierbare Public Cloud Dienste für die Reduktion von internen (grösseren…) Gefahren in einem lokalen Betrieb und lokalem physischen Datenzugang (Analogie: Die Suche nach der berüchtigten Nadel – aus Sicht eines Angreifers – in einem BigData-Heuhaufen und in einem reissenden Daten-Strom kann schwieriger sein als Firmendaten gezielt an einer Firmen- oder System-Lokation angreifen versuchen …) –> Enhanced Cybersecurity with Big Data …

Vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil ?? und es tropft weiter …
Mittels einigen genannten Beispielen aber vorallem mittels einer eigens aufgebauten und an die zu schützenden Organisation angepasstes Szenarien- / Frage-Framework sollten rasch die klassifizierten und priorisierten, schützenswerten Informationen und deren Schwachstellen (Lecks, Leaks) erkannt werden können für entsprechende stufenweise eingeführten Gegenmassnahmen für die möglichst grosse Reduktion von Informations-Missbräuchen / Abfluss (Loss).

Data Loss Prevention im Spannungsfeld zu Data Leak Management bzw. „offener“ Informations-Verbreitung / -Nutzungsänderung in der künftigen New Economy
Auch hier wird am Schluss eine Teilmenge von Risiken übrigbleiben welche im Risk-Mangement bewertet / überwacht und kontrolliert werden muss. Denn das Daten-Ventil tropft immer irgendwo weiter und weiter …
In einem teilweise (un)beherrschbarem Wachstum und derer Weiterentwicklung von z.B. Big Data, Internet of things (IoT) und Daten-Universum werden sich auch Business Modelle ändern (müssen) für einen offeneren – dann aber geregeltem und in einen mehrwert-generierenden – Informations-Austausch.
Bisher schützenswerte, klassifizierte Informationen / Datenbanken / Produkte / Schnittstellen / Standards / Normierungen / Apps / geistiges Eigentum finden – basierend auf einem neuen (r)evolutionierten Business-Modell – neue und mehrwert-generierende Services-Nutzungs-Kanäle für den Anbieter / Nutzer.