Datenklau verhindern

[PAT 10]

Nachdem mein letzter Beitrag gesperrt wurde, was ich aber verstehe, möchte ich eine andere Frage stellen. Ich hoffe, das ist dan so mit den Boardregeln vereinbar, wenn nicht, einfach sperren.

 

Ich bin auf der Suche nach einer Lösung, um zu verhindern, dass Mitarbeiter Daten "klauen" können.

OK, solche Dinge wie USB-Port, CD-Laufwerk, Diskette usw. ist klar, verhindert aber nicht, dass sich die Mitarbeiter die Daten einfach z.B. per Mail verschicken. Ich fürchte auch, dass sich ein Datenklau nie ganz vermeiden lassen wird.

Außerdem kommt noch erschwerend dazu, dass bei Sperrung der USB-Ports irgendein Wichtigtuer dem Chef solange die Ohren zuheult, dass ich den Port dann schnell wieder aufmachen muss.

 

Wie gesagt, es geh hier nicht um die Überwachung, sondern um das verhindern von Datenklau.

 

Wie regelt ihr das bei Euch? Was würdet ihr da für eine Lösung einsetzen?

[marka 584]

Ich habe mal im Hinblick auf die Situation folgenden Tipp bekommen:

 

Sobald bekannt wird, dass ein Mitarbeiter das Haus verlässt, diesen von seinen Aufgaben mit sofortiger Wirkung entbinden und auf Kosten der Firma freistellen.

Somit hat er keinen Nachteil in finanzieller Form und kann sich in dieser Hinsicht nicht beschweren. Ebenso kann er auch mangels physikalischem Zugriff keine Daten mehr sehen, geschweige denn stehlen.

 

Natürlich könnte man jeden Datenzugriff protokollieren, aber da sehe ich in mehrerlei Hinsicht Probleme:

1. Es müsste jeder erfolgreiche Zugriff geloggt werden, was eine enorme Datenmenge auslöst, die im Falle des Falles auch erstmal durchsucht werden muss. Diese Daten könnten aber auch dienstlich bedingt geöffnet werden, daher 2
   
2. Im Nachhinein kann jeder behaupten, vor drei Monaten die Daten z.B. für ein Angebot benötigt zu haben.
   

 

Logging verhindert somit nicht das "Außer Haus bringen".

[LukasB 10]

Erstmals: Was du vorhast ist grundsätzlich unmöglich. Schlimmstenfalls kann man die Bildschirme abkopieren.

 

Was du machen kannst ist mit diversen technischen Massnahmen dieses zu erschweren.

 

Ein mögliches Produkt dafür ist z.B. Active Directory Rights Management Services. Das ganze ist relativ komplex, benötigt Unterstützung durch die Applikation, und verschlüsselt dann die entsprechenden Dokumente.

 

Ohne entsprechende Lizenzen ist es dann nicht möglich die Dokumente zu öffnen.

 

Das ganze zu implementieren ist relativ komplex.

 

Dann gibt es noch diverse Data Extrusion-Protection-Lösungen, die versuchen zu erkennen wenn jemand versucht geschäftskritische Daten zu verschieben - in meinen Augen eher Snakeoil zur Beruhigung des Managements.

[Dr.Melzer 191]

Das einzige was hier wirklcih etwas hilft ist die richtige Personalauswahl und das richtige Personalmanagement.

 

Zufriedene Mitarbeiter machen so etwas in der Regel nicht.

[ThGe77 10]

Hallo,

 

ich hab mir da mal was von itWatch angesehen.

 

Das machte eigentlich einen ganz vernünftigen Eindruck.

 

Hier ist es auch möglich einzelne USB Geräte wieder freizugeben,

ohne den Gesamten Port für alles zu öffnen.

 

Schön wäre es noch wenn das ganze contentsensitiv passieren würde.

 

Aber dann druckt der VKL seine Kundenlisten eben 2 Wochen vor der

Kündigung und nimmt das Papier mit - und wer will das einem VKL

verbieten?

 

gruß

 

Thomas

[Cybquest 36]

Bei USB kann man mit Produkten wie SDC oder Devicelock ziemlich fein Berechtigungen vergeben. Z.b. auch soweit, dass einStick zwar benutzt werden kann, die Daten darauf aber grundsätzlich verschlüsselt sind.

 

Aber ich denke auch, man kann es ein bisschen erschweren, aber nicht verhindern.

Daher: Siehe Beitrag Dr. Melzer ;)

Oder: Den Mitarbeitern möglichst plakativ klar machen, dass das kriminell ist!

[zahni 554]

... Und auf dem Hof einen Pranger stellen. Zur Abschreckung :D

 

Mal im Ernst: Wie meine Vorredner schrieben: Man kann zwar den Zugriff erscheren, aber Datenklau verhindern ?

 

-Zahni

[Cybquest 36]

... Und auf dem Hof einen Pranger stellen. Zur Abschreckung :D

 

Off-Topic:

...ich dachte da eher an die netten Anti-Raubkopierer-Filmchen im Kino mit dem armen Kind, das seinen Vater nicht kennt ;)

[PAT 10]

Sobald bekannt wird, dass ein Mitarbeiter das Haus verlässt, diesen von seinen Aufgaben mit sofortiger Wirkung entbinden und auf Kosten der Firma freistellen.

Im Prinzip richtig, aber wenn ein MA wirklich die Daten klauen will, wird er das tun, bevor er kündigt.

 

 

Natürlich könnte man jeden Datenzugriff protokollieren, aber da sehe ich in mehrerlei Hinsicht Probleme:

1. Es müsste jeder erfolgreiche Zugriff geloggt werden, was eine enorme Datenmenge auslöst, die im Falle des Falles auch erstmal durchsucht werden muss. Diese Daten könnten aber auch dienstlich bedingt geöffnet werden, daher 2
   
2. Im Nachhinein kann jeder behaupten, vor drei Monaten die Daten z.B. für ein Angebot benötigt zu haben.
   

Das ist leider das Problem, mal ganz abgesehen von der rechtlichen Problematik.

 

Logging verhindert somit nicht das "Außer Haus bringen".

Verhindern nicht. Es würde nur helfen, wenn der AG rechtliche Schritte einleiten will. Aber das soll hier kein rechtliche Diskussion werden.

 

 

Was du machen kannst ist mit diversen technischen Massnahmen dieses zu erschweren.

 

Ein mögliches Produkt dafür ist z.B. Active Directory Rights Management Services. Das ganze ist relativ komplex, benötigt Unterstützung durch die Applikation, und verschlüsselt dann die entsprechenden Dokumente.

 

Ohne entsprechende Lizenzen ist es dann nicht möglich die Dokumente zu öffnen.

 

Das ganze zu implementieren ist relativ komplex.

 

Dann gibt es noch diverse Data Extrusion-Protection-Lösungen, die versuchen zu erkennen wenn jemand versucht geschäftskritische Daten zu verschieben - in meinen Augen eher Snakeoil zur Beruhigung des Managements.

Das es nicht einfach ist, ist mir bewusst.

Hast Du da genauere Infos bzw. Erfahrungen?

 

 

Das einzige was hier wirklcih etwas hilft ist die richtige Personalauswahl und das richtige Personalmanagement.

 

Zufriedene Mitarbeiter machen so etwas in der Regel nicht.

Schön gesagt.

Aber erstens könnte selbst der loyalste MA seine Ansichten ändern, wenn die Konkurrenz ein dementsprechendes Angebot unterbreitet und zweitens hat die EDV sicher am wenigsten Einfluß auf das Personalmanagement. Zumindest ist das so bei uns.

Ich glaube, wenn die GL eine Lösung des Problems möchte und ich zu ihm sage, er sollte lieber ein besseres Personalmanagement machen, wäre das sicher die falsche Antwort.

 

 

ich hab mir da mal was von itWatch angesehen.

Bei USB kann man mit Produkten wie SDC oder Devicelock ziemlich fein Berechtigungen vergeben. Z.b. auch soweit, dass einStick zwar benutzt werden kann, die Daten darauf aber grundsätzlich verschlüsselt sind.

Etwas in der Art könnte es werden.

 

Mir ist klar, dass es sich nicht vollständig verhindern lässt höchstens erschweren.

 

 

Ich kenne eine Firma, die sind sogar so paranoid, da kontrollieren 3-4 Leute alle ein- und ausgehenden E-Mails. Fehlt nur noch, dass die Personenkontrolle machen. Und selbst dann gäbe es mit Sicherheit keinen 100%igen Schutz.

[blub 115]

um welchen Typ Mitarbeiter und um welchen Typ Daten gehts dir denn überhaupt? Beides musst du erstmal definieren, bevor du nach einer Lösung suchst.

[kuero 10]

Ich teile die Meinung der meisten, leider wird es nicht möglich sein es zu verhindern.

Interesant wäre doch allerdings nicht das verhiondern, aber es zu erkennen.

[NilsK 2.937]

Moin,

 

Interesant wäre doch allerdings nicht das verhiondern, aber es zu erkennen.

 

nein, interessant wäre ausschließlich das Verhindern. Wenn ich einen erfolgten Datenmissbrauch erkenne, ist es ja zu spät.

 

Beim Erkennen bewegen wir uns dann aber wieder in einem Gebiet, das erhebliche rechtliche Probleme aufwirft und das wir genau deshalb hier nicht diskutieren.

 

Gruß, Nils

[PAT 10]

um welchen Typ Mitarbeiter und um welchen Typ Daten gehts dir denn überhaupt? Beides musst du erstmal definieren, bevor du nach einer Lösung suchst.

Was meinst Du mit "welchen Typ Mitarbeiter"?

 

Bei den Typen von Daten geht es im aktuellen Fall um technische Zeichnungen u.ä.. Wobei es im Prinzip keine Rolle spielt, welche Art von Daten, oder sehe ich das falsch?

 

Oder nach was für Kriterien unterscheidest Du?

[blub 115]

willst du beispielsweise IT-Mitarbeiter davon abhalten, Daten von UserHomes abzuziehen oder in Datenbanken reinzuschnüffeln etc.

Oder gehts darum, Abteilungsuser davon abzuhalten, ihre eigenen Arbeiten auf Memorystick zu speichern und ungesichert nach draussen zu bringen. (durchaus ohne böse Absicht)

Oder gehts darum, vorsätzlich kriminellen Datenklau und Missbrauch z.b. von Kundendaten (Kreditkarten etc.) zu verhindern.

usw.

[PAT 10]

Achso, jetzt verstehe ich

 

eher dieses hier...

Oder gehts darum, Abteilungsuser davon abzuhalten, ihre eigenen Arbeiten auf Memorystick zu speichern und ungesichert nach draussen zu bringen. (durchaus ohne böse Absicht)