All for One Steeb: “Wie KMU die Kontrolle über Ihre Daten behalten” [Interview]

Mittelstand Heute, ein Online Fachmagazin für den deutschen Mittelstand, hat jüngst ein Interview zum Thema Datenhoheit in KMU mit All for One Steeb Experte Mario Krukow veröffentlicht. Wir fassen für Sie das Interview zusammen – den Beitrag in voller Länge lesen Sie hier. 

Datendiebe machen auch vor kleinen und mittelständischen Unternehmen nicht mehr Halt, am Thema Datenschutz kommt daher niemand mehr vorbei. Wie lässt sich die Datenhoheit am effizientesten wahren, auch unternehmensintern? Nehmen wir einen Worst Case als Beispiel: Ein Ex-Vertriebler geht mit geheimen Dokumenten hausieren, etwa mit den Finanzzahlen der letzten zwei Monate oder anderen Excel-Dateien.

Beim Thema Cyberkriminalität müssen wir im Kopf davon wegkommen, Mauern um ein Unternehmen herum hochzuziehen mit Firewalls, einer verschlüsselten Dateiablage oder Extra-Authentifizierungen für Zugänge. Das ist gut und schön, aber letztlich entspricht dies lediglich einem „Perimeterschutz“. Als Unternehmer haben Sie damit heute keine Kontrolle über Ihre Daten. Die IT-Welt hat sich geändert. Im Zeitalter von mobilem Arbeiten und Cloud-Technologie ist es nicht so, dass Daten sicher sind, solange sie On-Premise im Unternehmen liegen. Verlässliche Sicherheit gibt es heute nur noch durch den direkten Schutz einzelner Daten, das heißt auf Basis einer sogenannten Information-Centric Protection.

Diese beinhaltet die Klassifizierung der Daten und ihre dementsprechende, automatisierte Verschlüsselung. Wären die Dateien in Ihrem Beispiel als „vertraulich“ oder „hochvertraulich“ klassifiziert worden, würde die Excel-Tabelle dem Ex-Vertriebler nichts nützen, weil er sie gar nicht mehr öffnen kann. Sobald er aus dem Unternehmen ausscheidet, verliert er durch die Sperrung seines Benutzerkontos automatisch den Zugriff und die damit verbundene Berechtigung, mit firmeninternen Daten zu arbeiten.

Ist diese Art der Verschlüsselung bei der heutigen Datenflut nicht aufwändig? Wie können KMU’s das in der Praxis umsetzen?

Information-Centric Protection & Encryption läuft im Wesentlichen automatisch. Für hybride Systemlandschaften gibt es die Microsoft Cloud-Lösung Azure Information Protection, AIP. Dort stehen vorgefertigte Templates bereit, mit denen Informationen sowohl in der Cloud als auch in meinem System gescannt werden können. Nach jeweilig spezifischen Regeln wird automatisch gefiltert, ob schützenswerte Daten enthalten sind. Dazu gehören zum Beispiel Finanz- oder Personaldaten, Kreditkartennummern, Account-Informationen oder medizinische Angaben. Außerdem werden dementsprechende Klassifizierungsklassen vorgeschlagen. Wenn man den automatischen Scan einführt, läuft all dies unauffällig im Hintergrund. Das bedeutet, für den Anwender ändert sich nichts. Er kann allerdings die Klassifizierung eigenständig festlegen.

Was passiert beim Export von Daten aus SAP zu Microsoft?

Hierfür gibt es die Lösung „HALOCORE“ von Secude. Wenn man diese integriert, werden Klassifizierungs- und Verschlüsselungsinformationen für SAP Datenexporte aus Azure Information Protection von Microsoft geladen. Diese werden direkt in das Dokument integriert und der SAP Anwender erhält das fertig klassifizierte, geschützte Dokument aus SAP – etwa als Excel – oder PowerPoint Datei. Das System im Hintergrund kann auch hier automatisch entscheiden, ob ein Dokument schützenswert ist. Alternativ entscheidet der Anwender dies selbst per Mausklick, zum Beispiel auf den Button „vertraulich“ oder „hochvertraulich“. Daneben lassen sich auch noch weitere Regeln in Azure Information Protection implementieren, die wir bei den Kunden je nach deren speziellem Bedarf definieren.

Wie funktioniert der Schutz von E-Mails mit Azure Information Protection?

Durch die Klassifizierung mit Azure Information Protection wird die gesamte E-Mail-Kommunikation geschützt, einmal innerhalb des Unternehmens, aber auch gegenüber Partnern, die Office 365 haben sowie Partnern, die Office 365 noch nicht installiert haben. Das können durchaus auch kleine Unternehmen sein, die keine eigene E-Mail Domäne haben, sondern zum Beispiel Gmail nutzen. Auch der Schutz dieser Consumer- Mails ist durchaus möglich als „Secure E-Mail to anyone“. Der Anwender merkt davon nicht unbedingt etwas.

Denn wenn die E-Mail zwar verschlüsselt worden ist, er diese aber problemlos lesen kann, macht es aus der Client-Perspektive für ihn gar keinen Unterschied. Er kann ganz normal damit arbeiten, egal, ob er diese geschützten E-Mails in Outlook öffnet, auf dem Smartphone oder per E-Mail Webzugriff. Wenn er antwortet, bleibt die Verschlüsselung integriert und läuft im Hintergrund, dadurch wird der Schutz der Mailkommunikation komplett aufrechterhalten.

Viele Kunden haben das Problem, dass sie E-Mails mit S/MIME oder PGP verschlüsseln. Das ist relativ kompliziert einzurichten und vor allem ist das Zertifikatshandling sehr aufwändig. Bei AIP fällt das weg, man kann E-Mails so sichern, dass nur der dafür bestimmte Empfänger sie öffnen kann. Der Austausch von Zertifikaten und Schlüsselmaterial entfällt somit und dadurch wird die Benutzerakzeptanz für die Nutzung verschlüsselter E-Mails deutlich erhöht.

Ist das eine End-to-End-Verschlüsselung oder eine Sonderform?

Sie können fast sagen AIP ermöglicht eine „Anwender-zu-Anwender Verschlüsselung“. In der Praxisbedeutet das zum Beispiel, die Schutzklasse kann in einem Vorstand- oder Management-Bereich so bereitgestellt werden, dass noch nicht einmal der Assistent die betreffende E-Mail öffnen kann. Mit S/MIME können Sie so einen UseCase schlecht oder gar nicht umsetzen. Wenn Sie Einblick in ein Postfach haben, können Sie auch alle E-Mails lesen. Mit AIP hingegen können Sie eine Schutzklasse festlegen, mit der ausschließlich das Management die E-Mail lesen darf. Dann ist es für andere unmöglich sie zu lesen. Dies ist ein Anwendungsfall, den wir schon öfter umgesetzt haben. Das ist die schöne Leichtigkeit beim Verschlüsseln von Informationen AIP, vor allen Dingen im Bereich von E-Mail-Kommunikation. Viele unserer Kunden beginnen den Cyber-Schutz mit der E-Mail Verschlüsselung in Exchange Online als Pilot-Projekt und gehen dann weiter in den Bereich der Klassifizierung.

Sie wollen das vollständige Interview lesen? Hier geht es weiter. 

Quelle Titelbild: All for One Steeb