Informationsschutz

Sicherheit trotz E-Mail, Skype, Facebook und Co

Know-how-Abfluss durch Kommunikations-Infrastruktur

1. Motivation
Moderne Kommunikations-Infrastruktur ist aus dem Arbeitsalltag nicht mehr wegzudenken. Dienste wie E-Mail, Instant Messaging, WWW oder VoIP-Telefonie haben die klassischen Medien wie Post oder Fax zum großen Teil bereits verdrängt. Nach einer Studie des Zentrum für Europäische Wirtschaftsforschung (ZEW) vom September 2007 haben mittlerweile fast alle Unternehmen (98 Prozent) Zugang zum Internet. Auch der einzelne Arbeitnehmer profitiert davon: "Waren es 2004 noch durchschnittlich 48 Prozent der Beschäftigten, sind es im Jahr 2007 mit 54 Prozent bereits mehr als die Hälfte", die an von ihrem Arbeitsplatz aus auf das Internet zugreifen können. Es wird grundsätzlich unterschieden zwischen asynchroner und synchroner Kommunikation. Bei asynchroner Kommunikation befinden sich in der Regel Logfiles und Kopien der Daten auf den beteiligten Computern. Die Logfiles können bei der nachträglichen Auswertung eines Kommunikationsvorganges unterstützen und gegebenenfalls vorhandene Kopien von Daten können auch nach einem Löschvorgang (z. B. weil der Benutzer versucht hat, seine Spuren zu 'verwischen') mittels forensischer Tools wieder hergestellt werden.
Bei synchroner Kommunikation sind die Daten meistens nach dem Kommunikationsvorgang nicht mehr vorhanden. Logfiles auf den Servern lassen häufig nur einen Rückschluss darauf zu, wann kommuniziert wurde - allerdings nicht, welche Informationen ausgetauscht wurden. Dieses Kapitel beleuchtet mit Beispielen die verschiedenen Kommunikationsarten aus Sicht der Informationssicherheit und bewertet, wie einfach das jeweilige Medium zum 'Abtransport' von Unternehmens-Know-how genutzt werden und was dagegen unternommen werden kann. Dabei nicht betrachtet werden kriminelle Methoden, z.B. die Nutzung von verschlüsselten Tunneln über Web-Proxies und ähnliche Techniken, da diese im Normalfall nicht wirkungsvoll verhindert werden können.

Als Faustregel kann man grundsätzlich folgende Formel anwenden:

100% Sicherheit = 0% Kommunikation

Es muss klar sein, dass die Verfügbarkeit eines Kommunikationsmediums immer Möglichkeiten eröffnet, dieses Medium missbräuchlich zu nutzen.

2. Asynchrone Kommunikation
2.1 E-Mail

"Die E-Mail ( . . . ) bezeichnet eine auf elektronischem Weg in Computernetzwerken übertragene, briefartige Nachricht. E-Mail wird - noch vor dem World Wide Web - als wichtigster und meistgenutzter Dienst des Internets angesehen." (Wikipedia)

E-Mail ist als Kommunikationsmittel aus dem Büroalltag nicht mehr wegzudenken. Arbeitnehmer ohne Internetzugang haben in den meisten Fällen wenigstens einen E-Mail-Account für die dienstliche Nutzung. Auch wenn nicht alle Arbeitnehmer diesen für die tägliche Arbeit benötigen (z. B. innerhalb der Produktion), so wird dieser häufig zur unternehmensinternen Kommunikation genutzt, etwa für Abteilungs-oder Unternehmensinformationen. Auch bestehen immer häufiger der Geschäftsführer oder Vorstände darauf, dass alle ihre Mitarbeiter über dieses Medium erreichbar sind. Laut eines Berichts des britischen Kommunikationsberatungsunternehmens Expert Messaging benötigt ein Arbeitnehmer im Durchschnitt eine Stunde pro Tag zur Bewältigung des E-Mail-Verkehrs, was den hohen Stellenwert dieses Kommunikationsmittels verdeutlicht.

Neben all den Vorzügen, die sich durch die Nutzung von E-Mail ergeben, gibt es aus Informationssicherheitssicht auch gravierende Nachteile: E-Mail eignet sich hervorragend, um damit per Anhang interne Dokumente, Pläne oder sogar ganze Programme an Externe zu versenden. Eine einfache Gegenmaßnahme für diese Lücke könnte die strenge Limitierung der Attachmentgröße darstellen. Allerdings behindert man damit auch gegebenenfalls legitimen Datenaustausch. Dabei soll nicht verschwiegen werden, dass die Attachmentgröße sich nicht beliebig verkleinern lässt, da das E-Mail-System dann gegebenenfalls aus technischen Gründen die Funktion versagt. Außerdem ist beispielsweise der Sourcecode eines Programms mittels eines Kompressionsprogramms auf wenige Kilobytes reduzierbar und könnte somit auch bei geringer Attachmentgröße versendet werden.

Für die gezielte Filterung bestimmter Dateianhänge bieten verschiedene Hersteller Softwarelösungen an, die sich beispielsweise als Plugin in den Exchange-Server integrieren lassen und Dokumente mit bestimmten Schlüsselwörtern oder Dateitypen blockieren.
Ein weiteres Problem ergibt sich durch den zunehmenden Einsatz von Verschlüsselungstechnik: Als Resultat aus den Anforderungen der Informationssicherheit sind die Administratoren bei verschlüsselten Emails außen vor. An dieser Stelle ist eine funktionierende PKI mit der Möglichkeit, die Schlüssel im Verdachtsfalle wiederherzustellen, von entscheidendem Vorteil. Falls eine andere Art der Verschlüsselung genutzt wird, scheitert die Entschlüsselung im Verdachtsfalle üblicherweise an der technischen oder wirtschaftlichen Machbarkeit.

Bei der serverbasierten Verschlüsselung mit einem sogenannten EMail-Gateway existiert im Gegensatz zur clientbasierten eine Kontrollmöglichkeit: In diesem Fall bleibt die E-Mail unverschlüsselt, bis sie das Unternehmen verlässt. Somit ist der Inhalt jederzeit ohne großen technischen Aufwand einsehbar. Leider sind die Verbreitung der Verschlüsselung und vor allem der flächendeckende Einsatz dieser Technik noch viel zu gering, so dass neben bewusst herbeigeführtem Know-how-Abfluss zusätzlich die Gefahr besteht, dass sich Dritte Zugang zu vertraulichen Daten verschaffen.
Eine weitere Gegenmaßnahme besteht darin, dass man zwei Arten von E-Mail-Adressen anlegt:

  • Nur für den internen Gebrauch.
    Aufbau: <vorname><vorname>.<nachname><nachname>@intern.<firma><firma>.de.
    Mit dieser Adresse ist es unmöglich, außerhalb des firmeninternen E-Mail-Server-Verbundes Mails zu versenden. Hier sind die entsprechenden 'Server Policies' einzustellen.</firma></nachname></vorname>
  • Für den externen Gebrauch.
    Aufbau: <vorname><vorname>.<nachname><nachname>@<firma><firma>.de.</firma></nachname></vorname>

Dieses Vorgehen ermöglicht die Teilnahme an der firmeninternen Kommunikation, verhindert aber sehr wirksam, dass über Personen, die ausschließlich im Besitz einer internen Adresse sind (z. B. temporäre Mitarbeiter, Ferienhelfer usw.), Informationen abfließen können.

2.2 Diskussionsforen
"Ein Internetforum (auch 'Diskussionsforum') ist ein virtueller Platz zum Austausch und zur Archivierung von Gedanken, Meinungen und Erfahrungen. Die Kommunikation findet dabei asynchron, das heißt nicht in Echtzeit, statt". (Wikipedia)

Bei einem Diskussionsforum besteht immer die Gefahr, dass der Mitarbeiter mehr oder weniger eindeutig zu einem Produkt oder einer Dienstleistung Stellung bezieht. Hierbei ist es völlig unerheblich, ob er dies unter einem Nick-Name, seiner privaten oder mit der dienstlichen E-Mail-Adresse tut. Diese kleinen Hürden lassen sich mit wenigen gezielten Recherchen überwinden und die definitive Zuordnung zur Firma ist in der Regel möglich. Dadurch werden die Aussagen zu einem Produkt aus dem Hause des Mitarbeiters stärker gewichtet - gegebenenfalls schadet er mit seinen Aussagen seiner Firma.

Darüber hinaus kann der Mitarbeiter bei der Diskussion um ein Produkt bewusst oder unbewusst Details verraten, die das Know-how, welches in dem Produkt steckt, preisgeben. In Abhängigkeit des Produktstatus kann dann unter Umständen kein Patent mehr angemeldet werden, da das Know-how durch die Verfügbarkeit im Internet gegebenenfalls bereits zum Allgemeingut geworden ist. Hier könnte man durch folgende Methoden Abhilfe schaffen:

  • Sperren des Zugangs zu Foren: Hierbei ergibt sich das Problem, ob man Foren korrekt erkennt und diese überhaupt wirkungsvoll sperren kann, und es verhindert nicht, dass der Mitarbeiter sich von seinem Privat-PC aus an diesen Foren beteiligt.
  • Überwachen der Foren: Dieses scheitert allein an der Menge der Foren. Bei Foren, die durch die Firma bereitgestellt werden und öffentlich zugänglich sind, ist ein moderiertes Forum unabdingbar. Hier muss der Mitarbeiter bei der Teilnahme an dem Forum zudem einer Policy mit entsprechenden arbeitsrechtlichen Konsequenzen zustimmen.

2.3 Dokumentenaustausch
Es kommt immer wieder vor, dass man mit Kunden, Lieferanten und anderen Geschäftspartnern Daten austauschen muss. Häufig kann dieser Datenaustausch aus technischen Gründen (Dateigröße oder -Typ) nicht per E-Mail vorgenommen werden. Folglich bietet es sich an, diesen Dateitransfer über eine Austauschplattform abzuwickeln. Ein reiner FTP-Server scheidet aus Sicherheitsgründen aus. Deswegen soll hier eine 'ideale' Austauschplattform beschrieben werden: Diese Austauschplattform bietet die Möglichkeit, Dateien über ein Web-Frontend zum Versand bereitzustellen. Darüber hinaus werden von der Plattform temporäre Zugangscodes generiert, so dass hier ein Höchstmaß an Sicherheit erreicht werden kann. Zudem erfolgt der Zugang zu der Plattform verschlüsselt über HTTPS. Somit haben Dritte keine Möglichkeit, den Datenverkehr abzuhören. Da die Datenübertragung ausschließlich über das Web-Frontend der Plattform erfolgt, sind mit dieser Maßnahme alle Möglichkeiten der Protokollierung gegeben. Zusätzlich besteht eine sehr einfache Möglichkeit den Nutzerkreis für diese Übertragungsart einzuschränken.

2.4 Filehoster
"Als Sharehoster, One-Click-Hoster oder Filehoster werden Internetdienstanbieter bezeichnet, bei denen der Anwender Dateien unmittelbar und ohne vorherige Anmeldeprozedur speichern kann. Der Upload geschieht in der Regel über die Webseite des Anbieters. So wird außer einem Browser meist kein zusätzliches Programm zur Übertragung benötigt. Nach dem Upload erhält der Anwender eine URL unter der die Datei angezeigt bzw. heruntergeladen werden kann. Oft besteht die Möglichkeit, die hochgeladene Datei mittels eines beim Upload erhaltenen Code (Lösch-URL) wieder zu löschen". (Wikipedia)

Neben der im Idealfall im Hause existierenden Austauschplattform gibt es im Internet eine Vielzahl von werbefinanzierten 1-Click-Hostern oder Filehostern, wie z. B. Rapidshare, Mediafire oder Mega-upload. Dort kann man große Datenmengen über eine Webseite mit Uploadfunktion auf den Server des Filehosters transferieren. Diese sind danach weltweit per URL zum Download verfügbar. Hier findet die Datenübertragung über die Uploadfunktion8 des Webbrowsers statt, die sich administrativ nur sehr schwierig unterbinden lässt. Erfolgt der Zugang über einen firmeninternen Proxy-Server, sollte man an dieser Stelle ansetzen. Zum Beispiel kann im Internet Security and Acceleration Server von Microsoft global der Dateiupload über eine zentrale Regel deaktiviert werden9 - allerdings nur dann, wenn die Übertragung nicht durch SSL verschlüsselt erfolgt. Außerdem sperrt man durch diese Maßnahme gegebenenfalls legitime Seiten - dies ist zu prüfen und unter Umständen über eine Whitelist zu umgehen.

2.5 Weitere Dienste
Neben den nun vorgestellten Diensten, gibt es noch weitere Möglichkeiten der Datenübertragung, wie zum Beispiel FTP, SCP u.a. Im Interesse der Datensicherheit sollten diese Protokolle von vorneherein deaktiviert werden, bzw. an den entsprechenden Sicherheitseinrichtungen wie Proxy oder Firewall geblockt werden. Im Normalfall sollte ausschließlich die Kommunikation per HTTP oder HTTPS ermöglicht werden, da man hier durch die Verwendung eines Proxy Servers einen Ansatzpunkt zur Überwachung bzw. Kontrolle des Datenverkehrs hat.

2.6 Briefpost

Dieser Weg wird meist vernachlässigt, da er immer unbedeutender wird. Ungeachtet dessen bleibt hiermit die Möglichkeit bestehen, die entwendeten Unterlagen einfach zu versenden. Die juristische Bewertung, ob aufgrund des Briefgeheimnisses überhaupt eine Kontrolle möglich ist, wird hier nicht weiter betrachtet.


3. Synchrone Kommunikation
3.1 Instant Messaging

"Instant Messaging (engl.: sofortige Nachrichtenübermittlung) ist eine Kommunikationsmethode, bei der sich zwei oder mehr Teilnehmer per Textnachrichten unterhalten. Dabei geschieht die Übertragung im Push-Verfahren, so dass die Nachrichten unmittelbar beim Empfänger ankommen. Viele Clients unterstützen zusätzlich die Übertragung von Dateien und Audio- und Video-Streams." (Wikipedia)

Beim Instant Messaging gilt das im Abschnitt 'Forum' beschriebene, mit der Einschränkung, dass die getätigten Aussagen nach der Beendigung der Chatfunktion ggf. nur noch in Logfiles zu finden sind. Hier hat der Gesetzgeber sehr deutliche Einschränkungen hinsichtlich der Aufzeichnung gemacht, so dass diese gegebenenfalls gar nicht stattfinden darf. Innerhalb des Chats ist unter Umständen Filetransfer möglich. Es ist wichtig, zu prüfen, dass diese Transfers durch korrekte Firewall bzw. Proxyserver-Einstellungen unterbunden werden.

Auch ist zu beachten, dass diverse Instant-Messaging-Anbieter wie z. B. ICQ oder MSN zusätzlich zu den per Download erhältlichen Client-Programmen für Windows oder andere Betriebssysteme mittlerweile im Webbrowser lauffähige Versionen ihrer Programme (implementiert in Flash oder Java) anbieten, so dass der Benutzer diese Services ohne Installation nutzen kann. Außerdem gibt es Anbieter, wie z. B. Meebo11, die über ihre Website eine Vielzahl von Instant-Messaging-Protokollen (MSN, Yahoo, Myspace, AIM, ICQ, Jabber…) zur Verfügung stellen. Häufig ist dabei neben der reinen Chat-Funktion auch die Dateiübertragung möglich. Solche Websites sollten in einer zentralen Sperrliste im Proxyserver blockiert werden.

3.2 Desktop Sharing
"Unter Desktop Sharing oder Desktop Monitoring versteht man den Umstand, die auf einem Computer sichtbaren Bildschirminhalte über ein privates Netzwerk oder das Internet an einen oder mehrere andere Computer zu übertragen. Für Benutzer an entfernten Computern entsteht dadurch der Eindruck sich direkt vor dem entfernten Computer zu befinden." (Wikipedia)

Diese technische Situation ist besonders schwierig zu überwachen. Zur Erläuterung dient folgendes Szenario: Ein Mitarbeiter zeigt einer anderen Person per Desktop Sharing seinen Desktop. Dabei hat er allerdings vergessen, bestimmte Dateien zu schließen oder hat die Freigabe zu großzügig eingestellt. Nun bekommt die andere Person unter Umständen Dinge zu sehen, die definitiv nicht für sie gedacht waren -im schlimmsten Fall bemerkt der Mitarbeiter dies überhaupt nicht. Außerdem lässt sich nicht feststellen, ob die andere Seite Screenshots von der Desktop Sharing Session anfertigt. Einige Desktop-Sharing-Lösungen bieten neben der reinen Übertragung der Bilddaten des Desktops und dessen Steuerung auch noch die Möglichkeit der Übertragung von Audio und Video sowie des Dateitransfers. Bei Einsatz einer solchen Software sollte der Mitarbeiter entsprechend geschult werden und gegebenenfalls durch Implementierung einer Arbeitsanweisung zur Einhaltung der definierten Sicherheitsstandards verpflichtet werden.

3.3 Skype
"Skype ist eine unentgeltlich erhältliche VoIP-Software mit Instant Messaging-Funktion, Dateiübertragung und Videotelefonie, die ein proprietäres Protokoll verwendet." (Wikipedia)

Der Einsatz von Skype im Unternehmensumfeld ist äußerst kritisch zu bewerten. Das proprietäre Skype-Protokoll verschlüsselt den kompletten Datenstrom mit eigenen Schlüsseln und nicht einsehbaren Verfahren. Dadurch wird es technisch und wirtschaftlich nahezu unmöglich, den Inhalt mitzulesen. Skype nutzt außerdem eine sehr ausgeklügelte Methode, um Verbindungen auch bei Einsatz von Firewalls oder eines Proxy-Servers herzustellen. Da die technische Unterbindung von Skype im Unternehmensnetzwerk aufgrund dieser Tatsachen nur sehr aufwendig möglich ist, sollte über ein generelles Verbot der Software (inklusive arbeitsrechtlicher Konsequenzen) innerhalb des Unternehmens nachgedacht werden. Grundsätzlich lässt sich festhalten, dass Software, die proprietäre Protokolle oder geheime Verschlüsselungsverfahren einsetzt, beim Einsatz im Unternehmen sehr kritisch zu beurteilen ist und im Idealfall nicht eingesetzt werden sollte.

3.4 Telefonie/Fax
Wie bei der Briefpost schon angesprochen, sind auch diese beiden Wege immer noch möglich. Auch hier sind der Überwachung juristische Grenzen gesetzt.

3.5 Web 2.0
"Web 2.0 ist ein Schlagwort, das für eine Reihe interaktiver und kollaborativer Elemente des Internets, speziell des World Wide Webs verwendet wird. Der Begriff postuliert in Anlehnung an die Versionsnummern von Softwareprodukten eine neue Generation des Webs und grenzt diese von früheren Nutzungsarten ab." (Wikipedia)

Neben den bereits vorgestellten Kommunikationsmitteln dürfen die neuen Instrumente des Web 2.0 bei dieser Bewertung nicht ignoriert werden. Neuartige Anwendungen wie Wikis (z.B. Wikipedia) oder Soziale Netzwerke (z.B. XING) bieten hervorragende neue Möglichkeiten der Zusammenarbeit, bergen aber natürlich auch neue Gefahren, von denen hier nur wenige Beispiele erwähnt werden sollen.

3.6 Wikis
"Ein Wiki ist ein Hypertext-System, dessen Inhalte von den Benutzern nicht nur gelesen, sondern auch online geändert werden können. Diese Eigenschaft wird durch ein vereinfachtes Content-Management-System, die sogenannte Wiki-Software oder Wiki-Engine, bereitgestellt. Zum Bearbeiten der Inhalte wird eine einfach zu erlernende Markup-Sprache verwendet." (Wikipedia)

Wikipedia ist mittlerweile das größte und bekannteste Wiki weltweit. Ein Grundprinzip eines Wikis ist die jederzeitige Nachverfolgbarkeit von Änderungen. Im für jeden einsehbaren History-Tab kann für jede Seite die Versionsgeschichte eingesehen werden. Dies bedeutet auch, dass Informationen, die einmal im Artikel gespeichert wurden, nie mehr gelöscht werden können. Sollte nun eine Firma Artikel zu der bei ihren Produkten eingesetzten Technologie veröffentlichen und dabei (und auch nur aus Versehen) die falschen Informationen eingetragen haben, sind diese fortan im Internet verfügbar. Es ist daher darauf zu achten, dass die Mitarbeiter lernen, entsprechend vorsichtig mit der Veröffentlichung von Informationen umzugehen.

3.7 Soziale Netzwerke
"Soziale Netzwerke im Sinne der Informatik sind Netzgemeinschaften bzw. Webdienste, die Netzgemeinschaften beherbergen. Handelt es sich um Netzwerke, bei denen die Benutzer gemeinsam eigene Inhalte erstellen (User Generated Content), bezeichnet man diese auch als soziale Medien." (Wikipedia)

Die bekanntesten Sozialen Netzwerke sind Facebook und Xing. Die Nutzer verwenden diese Netzwerke hauptsächlich zur Selbstdarstellung und zum Knüpfen oder Pflegen von Kontakten. Sicherlich bieten diese Plattformen im Businessumfeld viele Vorteile - wo man früher die Visitenkarten gesammelt hat, werden heute nur noch die URLs der Profilseite im Sozialen Netzwerk ausgetauscht. Allerdings sind diese Netzwerke wahre Fundgruben für Social Engineers18, die diese ohne weiteres nutzen können, um wertvolle Informationen über ihr potentielles Opfer auszuspähen. So sollte z.B. darauf geachtet werden, dass die Mitarbeiter keine detaillierten Informationen über ihre Funktion in Projekten oder Kompetenzen in speziellen Technologien veröffentlichen, da dies die Angriffsfläche für Social Engineering erhöht. Weiterhin sollten die Mitarbeiter geschult werden, um sich der Auswirkung der Privatsphären-Einstellungen dieser Plattformen bewusst zu werden. In der Voreinstellung werden sogar Änderungen an den Profilseiten oder das Hinzufügen von neuen Kontakten auf der Profilseite veröffentlicht und sind dann für alle Nutzer der Plattform einsehbar.

4. Faktor Mensch
In einer Studie der Universität Lüneburg wurden potentielle Schäden sowie Wege zur Prävention des Verlusts von Know-how aufgezeigt.

  • Täter: insbesondere eigene Mitarbeiter (Vorsatz, Fahrlässigkeit, Irrtum).
  • Keine klaren Vorstellungen über die Existenz und den Wert eigener Betriebsgeheimnisse.

Es zeigt sich, dass bei allen technischen und organisatorischen Maßnahmen der Mensch die eigentliche Schwachstelle ist. Damit ist es unabdingbar, dass durch die entsprechenden Regeln, Richtlinien und Vorschriften der rechtliche Rahmen geschaffen wird, um im Falle eines Verstoßes auch gegen den Mitarbeiter vorgehen zu können. Auch nutzt es nichts, wenn es Regeln und Vorschriften gibt, Verstöße aber nicht verfolgt werden. Neben allgemeinen Haltungen wie "Risikoannahmen sind realitätsfern", "so schlimm ist das doch gar nicht" und "bei uns ist ja so etwas noch nie was passiert" kommt eine weitere 'Formel' zum Tragen:

Sicherheit = 1: Bequemlichkeit

Dies bedeutet, dass jeder mit der Zeit nachlässig wird und die eine oder andere Sicherheitsregel vergisst. Damit es aber erst gar nicht so weit kommt, müssen durch gezielte und zyklisch wiederkehrende Awareness-Kampagnen alle Mitarbeiter immer wieder motiviert werden, das Thema Informationssicherheit als notwendig und wichtig zu erkennen. Weiterhin muss klar sein, dass es ohne aktive Unterstützung aller nicht zu schaffen ist, ein vernünftiges Sicherheitsniveau zu erreichen. Das klare Commitment der Geschäftsleitung und die Vorbildfunktion innerhalb des Themas Informationssicherheit nimmt eine zentrale Rolle ein, ist unabdingbar und wird ständig an Bedeutung zunehmen.

5. Machbare Sicherheit
Die folgenden Punkte dienen als Ansatzpunkt für ein erfolgreiches Sicherheitskonzept und können bei der Eindämmung von Know-how-Verlusten helfen:

  • Der Entwicklungsbereich ist komplett vom restlichen Firmennetz zu trennen. Es gibt keinen Zugang zum Internet oder sonstigen Kommunikationsmöglichkeiten.
  • Der Datentransfer zwischen dem Firmennetz und dem Entwicklungsnetz ist nur über einen protokollierenden Gateway-Rechner möglich. Es gibt kein Routing zwischen den Netzen!
  • Der Zugang zum Entwicklungsbereich ist nur über eine Vereinzelungsanlage mit elektronischer Überwachung, z.B. Detektion von USB-Sticks o.ä., möglich.
  • Die Rechner im Firmennetz unterliegen einer Endpoint-Überwachung, das heißt es sind keine Datentransfers auf Datenträger (USB, CD-ROM etc.) oder über andere Schnittstellen möglich.
  • Von Ausdrucken werden Schattenkopien erzeugt.
  • Ein lokales Abspeichern von Informationen ist nicht möglich.
  • Zugriffe auf wichtige Dateien werden protokolliert.

 

6. Fazit
Die Varianz der Systeme und die technischen Möglichkeiten nehmen dramatisch zu und der technische und wirtschaftliche Aufwand, den Know-how-Abfluss über diese Kommunikationswege zu verhindern, zu protokollieren und auszuwerten steigt mehr als exponentiell. Ungeachtet dessen bleibt die Frage nach der Wirksamkeit der Methoden oft unbeleuchtet, wird sogar verdrängt oder einfach ignoriert, da viele Verantwortliche blind auf die Werbebotschaften der Hersteller von Sicherheitssoftware vertrauen. Informationssicherheit, vorgelebt durch die Führung, verstanden, akzeptiert und aktiv gestützt durch die Mitarbeiter, ist der einzige Weg, Know-how-Abfluss zu reduzieren.

Literatur:


Quelle: Matthias Grund und Fabian Fischer: Know-how-Abfluss durch Kommunikationsinfrastruktur. In: Stefan Bisanz, Uwe Gerstenberg: Raubritter gegen den Mittelstand. Security Explorer: Essen, 2009, S. 71 - 84.

09.02.2011

© Alle Rechte vorbehalten.
consulting plus
Beratung GmbH
Girardetstraße 1-5
45131 Essen
Tel.: +49 201 27 90 40