“Deutsche Firmen brauchen neue Sicherheitsfunktionen”

silicon.de: Welche Sicherheitsvorkehrungen müssen im Bereich der IT-Infrastruktur getroffen werden, damit Unternehmen auf der sicheren Seite sind?

Gamby: Die Art und Weise, wie Daten geschützt werden, muss verpflichtend durchgesetzt werden. Die Mindestanforderungen sind:

• Den Wert und den benötigten Schutz für alle Informationen festlegen, die über Unternehmensgrenzen hinweg ausgetauscht werden. Dementsprechend müssen Prozesse und Technologien implementiert werden, die die notwendigen Schutzmechanismen durchsetzen.
• Die Entwicklung von Prozessen und Maßnahmen rund um die Neueinrichtung von Zugängen und für ständige Zugangskontrollen.
• Die Isolation von Daten, so dass der ausländische Partner nur auf die Daten zugreifen kann, die er benötigt.
• Die Verschlüsselung vertraulicher Informationen vor, während und nach der Übertragung.
• Die Bereitstellung von Sicherheitsservices, die vor Ort den Fernzugriff auf Daten limitieren und die chinesischen Systeme in Bezug auf Datenverlust und –veröffentlichung überwachen.
• Die Bereitstellung webbasierter oder anderer kontrollierter Zugriffsmethoden auf kritischen Daten über deutsche Systeme – anstatt die Daten auf lokale chinesische Systeme zu übertragen.

silicon.de: Gibt es darüber hinaus Möglichkeiten, um ein Unternehmen und dessen internes Wissen zu schützen? Und inwieweit hilft strikte Verschlüsselung?

Gamby: Deutsche Firmen müssen unternehmensintern neue Sicherheitsfunktionen schaffen (zum Beispiel durch einen regionalen Security Officer oder Sicherheits-Beauftragte vor Ort). In Zusammenarbeit mit chinesischen Managern muss dann ein Sicherheitsmechanismus etabliert werden, um zu garantieren, dass sensible Daten geschützt sind. Zudem brauche die Firmen eine Einschätzung zur Datenverlust-Prävention. Dazu gehört:

• Policies, Prozesse und verbindliche Standards, um den Datenbesitz des Unternehmens zu schützen.
• Data Leakage Protection, in Bezug auf:

• archivierte Daten (durch Verschlüsselung und verfeinerte Autorisierungs-Kontrollen)
• Datenübertragung (durch Filter und Inhalts-bezogene Policies)
• Daten in Gebrauch (durch Endpoint- und Virtualisierungs-Kontrollen), um ihren Diskretionsstatus zu verbessern.

Verschlüsselungstechnologien können Daten vor unerlaubten Zugriff schützen, schützen aber nicht vor Diebstahl durch autorisierte Nutzer.