Logo der activeMind AG

ISO 27002Kapitel 8.12 Verhinderung von Datenlecks

Kapitel 8.12 der ISO 27002 befasst sich mit Maßnahmen, die verhindern sollen, dass Informationen abfließen. Behandelt werden sowohl die unbefugte Weitergabe als auch der unbefugte Abruf von Informationen. Wir erklären die Empfehlungen zur Aufdeckung und Verhinderung von Datenlecks.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Auch wenn es derzeit einen anderen Eindruck erweckt: Sensible Informationen gehen bei weitem nicht nur durch erfolgreiche Cyberangriffe verloren. Immer noch viel zu oft werden Geheimnisse versehentlich ausgeplaudert oder liegen aber zu offen herum und warten nur darauf, zufällig gefunden zu werden.

Häufig werden Informationen von Mitarbeitenden versehentlich nicht als vertraulich erkannt und daher nicht richtig behandelt. Sensible Daten werden an einem nicht geeigneten Speicherort aufbewahrt. Sicherheitsmaßnahmen fallen aus oder werden versehentlich deaktiviert.

All dies und noch mehr führt dann dazu, dass die Kontrolle über vertrauliche Informationen verloren wird.

Was empfiehlt die ISO 27002?

In Kapitel 8.12 der ISO 27002 tauchen etliche Maßnahmen auf, die auch im Zusammenhang mit anderen Kapiteln genannt werden.

  • Vor allem die zuverlässige und eindeutige Identifizierung und Klassifizierung von Informationen ist ein wiederkehrendes Thema und hier ganz besonders wichtig. Es muss für jeden Mitarbeiter zweifelsfrei und leicht erkennbar sein, wie eine bestimmte Information einzuordnen ist und welche Folgen dies hat. Die korrekte Interpretation, ob eine Information öffentlich oder streng vertraulich ist, darf hierbei nicht dem Mitarbeiter überlassen werden. Organisationen sollten hierzu eindeutige Vorgaben machen, die für den Mitarbeiter leicht verständlich und umzusetzen sind.
  • Informationen sollten ihren Vertraulichkeitsgrad nach Möglichkeit bereits selbst erkennen lassen. Hilfsweise können auch Informationen in bestimmten Anwendungen oder an bestimmten Speicherorten oder aus bestimmten Abteilungen per se einer bestimmten Stufe unterworfen werden. Denkbar ist auch, jede Information, die ihren Vertraulichkeitsgrad nicht erkennen lässt, im Zweifel als mindestens intern zu behandeln.
  • Die Norm empfiehlt dann, auch konsequent die Übertragungskanäle zu überwachen, über die Daten nach außen gelangen können. Nach Möglichkeit sollen Nachrichten mit vertraulichem Inhalt erkannt und gegebenenfalls blockiert werden. Selbstverständlich müssen hierbei auch die Rechte von Mitarbeitenden gewahrt werden, was die vielleicht verlockend einfach mögliche technische Implementierung im Ergebnis zu einem kniffligen Projekt werden lässt. Datenschutz und Mitarbeitervertretungen werden hier intensiv einbezogen werden müssen.
  • Rechtlich einfacher und oft technisch immer noch möglich und äußerst wirksam ist es, Kopien oder Exporte aus bestimmten Umgebungen nicht zu ermöglichen. Hierzu müssen Funktionen, wie etwa die Zwischenablage und gegebenenfalls Schnittstellen deaktiviert werden. Gegebenenfalls ist es sinnvoll, einen Terminalserver als graphische Firewall zwischen Daten und Benutzer zu schalten.
  • Ergänzend zu diesen gerade genannten Maßnahmen sollte auch das klarstellende eindeutige Verbot ausgesprochen werden, Bildschirminhalte zu fotografieren oder Screenshots davon anzufertigen.
  • Besondere Aufmerksamkeit muss auch der Datensicherung gewidmet werden. Typischerweise laufen im Backup alle Daten einer Organisation zusammen, völlig gelöst von dicken Türen oder anderen störenden Einschränkungen, wie beispielsweise mangelnde Berechtigungen. Die Datensicherung einer Organisation ist damit für Angreifer ein extrem interessantes und dazu oft auch noch leicht zu transportierendes Ziel. Der gesamte Prozess der Datensicherung sollte sich daher am höchsten Schutzbedarf orientieren, der in der Organisation vorhanden ist. Datensicherungen müssen sicher weggesperrt und stark verschlüsselt sein.
  • Abschließend gibt die Norm noch den Hinweis, dass auch die Möglichkeit hochprofessioneller und gezielter Angriffe betrachtet werden muss. Diese sollen nicht nur abgewehrt, sondern gegebenenfalls auch durch das Auslegen von Ködern (sogenannte Honeypots) abgelenkt bzw. auf nur vermeintlich interessante Ziele gelenkt werden.
  • Zusätzlich ist die gesamte Bandbreite an Maßnahmen geboten, Mitarbeiter angemessen zu sensibilisieren.

Fazit

Viele Organisationen scheitern hier bereits anfänglich und haben schon erhebliche Schwierigkeiten, Informationen sinnvoll zu kategorisieren und klare Hinweise für den Umgang damit zu formulieren. Das Ganze dann noch organisatorisch und technisch zu unterfüttern, unterbleibt.

Gelegentlich wird dann, fast schon im Sinne eines verzweifelten Befreiungsschlages, darüber nachgedacht ein Totalüberwachungsprogramm einzusetzen, um die Interessen der Organisation zu schützen. Die entgegenstehenden Belange der Belegschaft und auch die Rechte von externen Personen, die an der Kommunikation oft zwangsläufig beteiligt sind, werden dann als ärgerliches Hindernis betrachtet.

Im Ergebnis besteht sehr oft Bedarf an fachkundiger Unterstützung, die hilft, die bestehenden Anforderungen mit praktikablen aber im Ergebnis auch zulässigen Methoden, zu erfüllen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Im Rahmen einer Zertifizierung nach ISO 27001 unterstützen die Experten der activeMind AG mit der Entwicklung einer IT-Sicherheitsrichtlinie und untergeordneten Konzepten für die jeweilige technische Umsetzung.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.