Tech­ni­sche Maß­nah­men in der In­for­ma­ti­ons­si­cher­heit

Unternehmensinformationen als begehrtes Angriffsziel

Die Studie „Wirtschaftsschutz 2025“ des Branchenverbandes Bitkom zeigt, dass Hacker den wirtschaftlichen Wert von Informationen und Daten stärker denn je im Blick haben: 87 Prozent der befragten Unternehmen waren innerhalb der letzten zwölf Monate von Datendiebstahl, Industriespionage oder Sabotage betroffen oder vermuten dies. Besonders häufig gestohlen wurden Kommunikationsdaten (69 Prozent) sowie Kundendaten (57 Prozent).

Die wirtschaftlichen Schäden erreichen dabei neue Dimensionen: Insgesamt belaufen sich die Schäden für die deutsche Wirtschaft auf rund 289 Milliarden Euro jährlich, wobei etwa 70 Prozent direkt auf Cyberangriffe zurückzuführen sind. Allein der Ausfall oder die Schädigung von Informations- und Produktionssystemen verursacht Schäden in Höhe von über 73 Milliarden Euro pro Jahr. Unternehmen und Organisationen müssen den Schutz bei der Verarbeitung ihrer kritischen Daten weiter stärken. Zusätzliche Richtlinien in ISO 27001 helfen dabei, die Informationssicherheit weiter zu verbessern, die Angriffsfläche zu verringern und den Schutz gezielt zu stärken.

Welche technischen Maßnahmen für Informationsschutz gibt es in ISO 27001?

Insgesamt gibt es 93 Informationssicherheitsmaßnahmen (Controls) im Anhang A von ISO 27001, geordnet in vier Themenbereichen:

• Organisatorische Maßnahmen
• Personenbezogene Maßnahmen
• Physische Maßnahmen
• Technologische Maßnahmen

Die drei neuen Controls für den Informationsschutz, die wir im Folgenden genauer betrachten, sind aus dem Themenbereich „Technologische Maßnahmen“:

• 8.10 "Löschung von Informationen"
• 8.11 "Datenmaskierung"
• 8.12 "Verhinderung von Datenlecks"

Was bedeutet Löschung von Informationen?

Control 8.10 fordert die sichere und nachvollziehbare Löschung nicht mehr benötigter Daten (Information Deletion), um deren unbefugte Offenlegung zu verhindern und gesetzliche sowie vertragliche Anforderungen einzuhalten.

Die Maßnahme adressiert die Risiken, die von nicht mehr benötigten Informationen ausgehen, die sich aber noch auf Informationssystemen, Geräten oder anderen Speichermedien befinden. Die Löschung dieser ohnehin unnötigen Daten verhindert deren Offenlegung – und gewährleistet so die Einhaltung gesetzlicher, satzungsmäßiger, behördlicher und vertraglicher Anforderungen an die Datenlöschung. Dadurch sinkt das Risiko einer unbefugten Offenlegung zusätzlich.

Dabei sollten Unternehmen folgende Punkte beachten:

• Wahl eines Löschverfahrens, welches im Hinblick auf das geschäftliche und gesetzliche Umfeld geeignet ist, beispielsweise elektronisches Überschreiben oder kryptographische Löschung
• Dokumentation der Ergebnisse
• Nachweisführung bei der Inanspruchnahme von Dienstleistern für die Löschung von Informationen

Übernehmen Dritte die Datenspeicherung im Namen Ihres Unternehmens, sollten Anforderungen zur Löschung in der Vertragsvereinbarung festgehalten werden, um dies während und auch nach Beendigung dieser Dienste durchzusetzen.

Sichere Datenlöschung in der Praxis

Um die zuverlässige Entfernung sensibler Informationen zu gewährleisten und dabei die Einhaltung der einschlägigen Richtlinien zur Datenaufbewahrung sowie der geltenden Gesetze und Vorschriften sicherzustellen, sieht die ISMS-Norm folgende Verfahren, Dienste und Technologien vor:

• Einrichtung dedizierter Systeme, die eine sichere Vernichtung der Informationen ermöglichen, zum Beispiel nach Aufbewahrungsrichtlinien oder auf Antrag betroffener Personen
• Löschung von veralteten Versionen, Kopien oder temporären Dateien auf allen Speichermedien
• Verwendung von ausschließlich zugelassener und sicherer Löschsoftware, um Informationen dauerhaft und endgültig zu entfernen
• Löschung über zugelassene und zertifizierte Anbieter von sicheren Entsorgungsdiensten
• Nutzung von Entsorgungsverfahren, die für das jeweils zu entsorgende Speichermedium geeignet sind, wie zum Beispiel die Entmagnetisierung von Festplatten

Bei der Nutzung von Cloud-Diensten gilt es, die Zulässigkeit der angebotenen Löschverfahren zu prüfen. Ist diese gegeben, sollte die Organisation das Löschverfahren nutzen oder den Cloud-Anbieter auffordern die Informationen zu löschen. Sofern möglich, sind diese Löschvorgänge im Rahmen der themenspezifischen Richtlinien zu automatisieren.

Um die unbeabsichtigte Preisgabe von sensiblen Informationen zu verhindern, sollten alle Gerätespeicher, die an Lieferanten retourniert werden, vor der Rückgabe entfernt werden. Auf einigen Geräten, beispielsweise Smartphones, ist die Datenentfernung nur durch Zerstörung oder interne Funktionen (zum Beispiel Wiederherstellung der Werkseinstellungen) möglich. Je nach der Klassifizierung der Informationen gilt es, ein geeignetes Verfahren zu wählen.

Löschvorgänge sollten je nach Sensibilität dokumentiert werden, um die Entfernung von Daten im Zweifelsfall nachweisen zu können.

Was versteht ISO 27001 unter Datenmaskierung?

Die Sicherheitsmaßnahme 8.11 "Datenmaskierung" beschreibt Maßnahmen wie Maskierung, Pseudonymisierung und Anonymisierung, um sensible Daten so zu verändern, dass sie geschützt bleiben und nur im erforderlichen Umfang nutzbar sind. Ein wichtiges ergänzendes Mittel ist hierbei die Verschlüsselung sensibler Daten.

Bei einer Reihe von sensiblen Informationen wie bei der Verarbeitung personenbezogener Daten sehen unternehmens- und branchenspezifische beziehungsweise regulatorische Anforderungen eine Maskierung, Pseudonymisierung oder Anonymisierung der Informationen vor. 

Pseudonymisierungs- oder Anonymisierungstechniken ermöglichen es, Personendaten zu verbergen, die wahren Daten zu verschleiern und Querverbindungen von Informationen zu verdecken. Um dies wirksam zum Schutz personenbezogener Daten zu implementieren, gilt es, alle relevanten Elemente sensibler Informationen angemessen zu berücksichtigen.

Während die Anonymisierung die Daten unwiderruflich verändert, ist es bei der Pseudonymisierung durchaus möglich, über weitere Querinformationen Rückschlüsse auf eine wahre Identität abzuleiten. Daher sollten zusätzliche Querinformation beim Pseudonymisierungsvorgang getrennt und geschützt aufbewahrt werden.

Weitere Techniken für die Datenmaskierung (Data Masking) sind:

• Verschlüsselung
• Nullen oder Löschen von Zeichen
• Unterschiedliche Zahlen und Daten
• Substitution – Austausch eines Wertes gegen einen anderen, um sensible Daten zu verbergen
• Ersetzen von Werten durch ihren Hash

Umsetzung der Datenmaskierung

Bei der Implementierung dieser Maßnahmen ist es wichtig, eine Reihe von Aspekten zu beachten:

• Die Nutzer sollten nicht auf alle Daten Zugriff erhalten, sondern nur die wirklich benötigten Daten einsehen können.
• In einigen Fällen sollen nicht alle Daten eines Datensatzes für Benutzer sichtbar sein. In diesem Fall sind Verfahren zu Datenverschleierung zu gestalten und zu implementieren. Beispiel: Patientendaten in einer Krankenakte, die nicht für das gesamte Personal sichtbar sein sollen, sondern nur Angestellte mit bestimmten, behandlungsrelevanten Rollen.
• In manchen Fällen soll die Verschleierung der Daten für Zugreifende nicht ersichtlich sein (Verschleierung der Verschleierung), wenn zum Beispiel über die Datenkategorie Rückschlüsse auf das eigentliche Datum ableitbar sind (Schwangerschaft, Blutuntersuchung etc.).
• Gesetzliche oder regulatorische Anforderungen, zum Beispiel die Anforderung, die Daten von Zahlungskarten während der Verarbeitung oder Speicherung zu maskieren

Generell setzen die Datenmaskierung, Pseudonymisierung oder Anonymisierung einige allgemeine Punkte voraus:

• Die Stärke der Datenmaskierung, Pseudonymisierung oder Anonymisierung hängt maßgeblich von der Verwendung der verarbeiteten Daten ab.
• Der Zugang zu den verarbeiteten Daten sollte durch angemessene Schutzmechanismen gesichert sein.
• Berücksichtigung von Vereinbarungen oder Einschränkungen hinsichtlich der Verwendung der verarbeiteten Daten.
• Untersagung, dass verarbeitete Daten nicht mit anderen Informationen abgeglichen werden dürfen, um die betroffene Person zu identifizieren.
• Die Bereitstellung und der Eingang der verarbeiten Daten müssen sicher verfolgt und beherrscht werden.

Was bedeutet die Verhinderung von Datenlecks?

Control 8.12 "Verhinderung von Datenlecks" fordert technische und organisatorische Maßnahmen, um den unbefugten Abfluss sensibler Daten zu erkennen, zu überwachen und aktiv zu verhindern.

Diese Maßnahme formuliert konkrete Maßnahmen, die auf allen Systemen, in Netzwerken und anderen Geräten angewandt werden sollen, die sensible Informationen verarbeiten, speichern oder übertragen. Um den Abfluss sensibler Daten zu minimieren, sollten Unternehmen folgende Aspekte berücksichtigen:

• Identifizierung und Klassifizierung von Informationen, zum Beispiel personenbezogene Daten, Preismodelle und Produktdesigns
• Überwachung der Kanäle, über die Daten nach außen dringen können, wie E-Mails, Dateiübertragungen, Mobilgeräte und mobile Speichermedien
• Maßnahmen, die einen Datenabfluss verhindern, zum Beispiel Quarantäne von E-Mails mit sensiblen Informationen
   

Maßnahmen zur Verhinderung von Datenlecks

Um Datenlecks in modernen, komplexen IT-Strukturen mit ihrer Vielzahl unterschiedlichster Daten zu verhindern, benötigen Organisationen zudem geeignete Werkzeuge, die

• sensible Informationen identifizieren und überwachen, bei denen die Gefahr einer unbefugten Offenlegung besteht, beispielsweise in unstrukturierten Daten auf dem System eines Benutzers
• die Offenlegung vertraulicher Daten erkennen, wenn zum Beispiel Daten auf nicht vertrauenswürdige Cloud-Dienste Dritter hochgeladen oder per E-Mail versendet werden
• die Benutzeraktionen oder Netzwerkübertragungen blockieren, die kritische Informationen preisgeben, wie das Verhindern des Kopierens von Datenbankeinträgen in eine Tabellenkalkulation

Unternehmen sollten die Notwendigkeit kritisch hinterfragen, die Berechtigungen von Benutzern einzuschränken, Daten zu kopieren, einzufügen oder sie auf Dienste, Geräte und Speichermedien außerhalb der Organisation hochzuladen. Gegebenenfalls gilt es auch hier, geeignete Tools zur Verhinderung von Datenlecks zu implementieren oder vorhandene Technologien passend zu konfigurieren.

So können Benutzer beispielsweise die Berechtigung erhalten, Daten aus der Ferne einzusehen und zu bearbeiten – aber nicht die Berechtigung, sie außerhalb der Kontrolle Ihres Unternehmens zu kopieren und einzufügen. Ist ein Datenexport dennoch erforderlich, kann der Dateneigentümer diesen als Einzelfall genehmigen und die Benutzer gegebenenfalls für unerwünschte Aktivitäten zur Rechenschaft ziehen.

Die Vermeidung von Datenlecks gilt explizit auch dem Schutz vertraulicher Informationen oder Geschäftsgeheimnissen, die für Spionagezwecke missbraucht oder für die Gemeinschaft von entscheidender Bedeutung sein können. In diesem Fall sollten die Maßnahmen auch darauf ausgerichtet sein, Angreifer zu verwirren – beispielsweise durch die Substitution mit falschen Informationen, durch Reverse Social Engineering oder die Verwendung von Honey Pots, um Angreifer anzulocken.

Datenlecks können durch Standard-Sicherheitskontrollen unterstützt werden, zum Beispiel über themenspezifische Richtlinien zur Zugangsteuerung und zur sicheren Dokumentverwaltung (siehe auch Maßnahmen/Controls 5.12 und 5.15).

Was ist wichtig beim Einsatz von Überwachungswerkzeugen?

Beim Einsatz von Überwachungswerkzeugen ist entscheidend, dass sie rechtmäßig, verhältnismäßig und transparent eingesetzt werden und die Privatsphäre sowie Datenschutzrechte der Betroffenen gewahrt bleiben. Dabei sind insbesondere Datenschutz und DSGVO sorgfältig zu berücksichtigen.

Zum Schutz der eigenen Informationen überwachen viele Tools zwangsläufig auch die Kommunikation und Online-Aktivitäten von Mitarbeitern sowie Interaktionen mit Dritten. Diese Überwachung wirft eine Vielzahl rechtlicher und ethischer Fragestellungen auf, die vor dem Einsatz entsprechender Werkzeuge berücksichtigt werden müssen. Grundsätzlich gilt es, ein angemessenes Gleichgewicht zwischen den Sicherheitsinteressen des Unternehmens und den Persönlichkeitsrechten der Betroffenen herzustellen. Insbesondere im europäischen Kontext setzen Datenschutzvorschriften wie die DSGVO enge Grenzen: Überwachungsmaßnahmen müssen rechtmäßig, erforderlich und verhältnismäßig sein und dürfen nicht weiter gehen als für den jeweiligen Zweck notwendig.

Zudem sind Organisationen verpflichtet, Transparenz zu schaffen. Das bedeutet, dass Mitarbeiter klar darüber informiert werden müssen, welche Daten erfasst werden, zu welchem Zweck dies geschieht und wie lange diese gespeichert werden. Ebenso sind Prinzipien wie Datenminimierung, Zweckbindung und Zugriffsbeschränkung zu beachten. In vielen Fällen ist vor der Einführung von Überwachungswerkzeugen zudem eine Datenschutz-Folgenabschätzung (DPIA) erforderlich, insbesondere wenn systematische Überwachung stattfindet oder ein erhöhtes Risiko für die Rechte und Freiheiten der Betroffenen besteht.

Neben rechtlichen Anforderungen spielen auch organisatorische Aspekte eine wichtige Rolle: Unternehmen sollten klare Richtlinien für den Einsatz von Monitoring-Tools definieren, Verantwortlichkeiten festlegen und sicherstellen, dass die erhobenen Daten angemessen geschützt und nur von autorisierten Personen eingesehen werden können.

Nicht zuletzt ist auch die Akzeptanz im Unternehmen entscheidend: Eine übermäßige oder intransparente Überwachung kann das Vertrauen der Mitarbeitenden beeinträchtigen und sich negativ auf die Unternehmenskultur auswirken. Daher sollte der Einsatz solcher Werkzeuge stets gut begründet, dokumentiert und regelmäßig überprüft werden.

Technologische Maßnahmen in der Informationssicherheit – ein Fazit

Im Gesamtkontext der Schutzziele der Informationssicherheit – Vertraulichkeit Integrität und Verfügbarkeit – kommt den hier beschriebenen Verfahren bei der Datenverarbeitung eine Schlüsselrolle beim erweiterten Schutz sensibler Daten zu.

Mit der kontinuierlichen Überwachung des Daten- und Informationsstroms, der Maskierung von sensiblen Informationen und strikten Richtlinien zur Löschung von Daten können Unternehmen ihren Schutz vor Datenabflüssen und Datenverlusten nachhaltig verbessern – und der ungewollten Veröffentlichung kritischer Informationen entgegenwirken. Darüber hinaus tragen die Verfahren entscheidend zur unternehmensweiten Cybersecurity und zum allgemeinen Datenschutz im Sinne der DSGVO bei und minimieren die Angriffsfläche für Hacker und Industriespionage.

Für Unternehmen und Organisationen gilt es nun, die Verfahren und die benötigten Tools angemessen zu etablieren und in ihren Geschäftsprozessen zu integrieren, um die normkonforme Umsetzung der Anforderungen in zukünftigen Zertifizierungsaudits oder Audits zum Datenschutz nachzuweisen.

Mit dem professionellen Blick unserer erfahrenen Auditoren und unserer Zertifizierungs-Expertise aus über 40 Jahren empfehlen wir uns als Ihr Ansprechpartner für die Themen Informationssicherheit und Zertifizierung nach ISO 27001.

DQS: Ihr kompetenter Ansprechpartner in Fragen zertifizierter Informationssicherheit

Die DQS ist Ihr zuverlässiger Partner für Zertifizierungen von Managementsystemen und Prozessen. Mit der Erfahrung von über vier Jahrzehnten und dem Know-how von über 3.000 Auditoren weltweit setzen wir Maßstäbe in Qualität, Kompetenz und Verlässlichkeit.

Wir auditieren nach über 200 anerkannten Normen und Regelwerken sowie nach maßgeschneiderten, unternehmens- und verbandsspezifischen Standards. Einen besonderen Meilenstein in unserer Geschichte markierte der Dezember 2000: Als erste deutsche Zertifizierungsstelle erhielten wir damals die Akkreditierung für BS 7799-2 – den direkten Vorläufer der heutigen ISO 27001 und damit eine der international bedeutendsten Normen für Informationssicherheits-Managementsysteme.

Unsere Audits sind stets unabhängig, objektiv und praxisgerecht. Dabei endet unser Anspruch nicht mit einer Checkliste: Wir schaffen Mehrwert, wo andere nur prüfen. Nehmen Sie uns beim Wort.

Vertrauen und Expertise

Unsere Texte werden ausschließlich von unseren hausinternen Experten für Managementsysteme und langjährigen Auditoren verfasst. Sollten Sie Fragen an den Autor haben, senden Sie uns gerne eine E-Mail an: [email protected].

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.