Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Exportkontrolle für Daten

Geschrieben von Michael Buckbee | Jul 31, 2014 5:41:00 AM

Von Cyril Simonnet, Sales Director DACH / NORDICS / Emerging Markets

In einem unserer letzten Blogpostings haben wir Bilanz gezogen was das aktuelle Datenwachstum anbelangt. Eine kaum vorstellbare Zahl von 44 Zettabyte wird für das Jahr 2020 prognostiziert, 70% davon sind unstrukturierte nutzergenerierte Daten mit einem hohen Prozentsatz an sensiblen Informationen. In einer stark verflochtenen, global agierenden Wirtschaft kommt noch ein weiterer Aspekt hinzu, der zwar bekannt, im Ausmaß seiner Bedeutsamkeit aber nicht selten unterschätzt wird. Nämlich der Bereich Technologietransfer und Exportkontrolle. Neben Waren kann die Ausfuhr von Software, Technologie oder die Erbringung technischer Dienstleistungen genehmigungspflichtig sein. Zuständig für die umfassenden und nicht ganz trivialen Vorschriften ist das Bundesamt für Wirtschaft und Ausfuhrkontrolle, kurz BAFA.

Exportkontrolle für Daten?

Aus Sicht der Exportkontrolle sind Informationen, technische Daten, Fertigungslisten, Konstruktionspläne, Dokumentationen und sogar Dienstvorschriften oftmals noch sensibler als Produkte und Komponenten. Genau diese Daten sind inzwischen schier unübersehbar geworden. Ein Terabyte an Daten enthält geschätzte 50.000 Ordner. Viele dieser Ordner enthalten vertrauliche Daten, die gegebenenfalls für exportrechtliche Kontrollen relevant sein können.

Anwendungsfall: Ausfuhr im weitesten Sinne

Es gibt eine ganze Reihe von Anwendungsfällen, in denen Lösungen wie DatAdvantage dabei helfen können, wenn es um die Exportkontrolle einer Ausfuhr  geht. „Ausfuhr“ ist so betrachtet ein weites Feld. Es kommt nämlich nicht darauf an wie eine Technologie übermittelt wird, sondern darauf, dass sie übermittelt wird. Das betrifft praktisch alle Varianten der digitalen Kommunikation und des Speicherns von Daten, egal ob auf einem Speichermedium oder einem Server.

Dazu einige praktische Beispiele.

  • Wird eine Technologie (zum Beispiel technische Daten, aber auch Dokumentationen oder Dienstvorschriften zur entsprechenden Technologie) per E-Mail in einen Staat außerhalb der Europäischen Gemeinschaft übertragen und der Absender weiß, dass der Empfänger der E-Mail sich in einem Drittland außerhalb der EU befindet, ist das aller Wahrscheinlichkeit nach eine Ausfuhr.
  • Und ein weiteres Beispiel: ein im Ausland ansässiges Tochterunternehmen oder ein im Ausland tätiger Mitarbeiter greifen über ein VPN auf das firmeneigene Intranet und die entsprechenden Technologiedaten zu.
  • Oder die IT-Administration soll ins Ausland verlagert werden und der zuständige Administrator unbeschränkte Zugriffsmöglichkeiten auf das Netzwerk bekommen.
  • Der  Betrieb einer Service-Hotline fällt ebenfalls darunter, denn Ausfuhr kann auch in Form des „Bereitstellens“ stattfinden.

Datenschutz, Steuerrecht und Compliance komplettieren das Anspruchsprofil. Hat man denn nun zweifelsfrei für sich ermittelt, dass man als Unternehmen mit dem Export von genehmigungspflichtigen Waren befasst ist, muss man laut BAFA einen sogenannten Ausfuhrverantwortlichen schriftlich benennen, das ist zwingend jemand aus Vorstand oder Geschäftsführung. Er ist für die Einhaltung der Exportkontroll-vorschriften verantwortlich. Persönlich.

Wissen über Daten – Mehr Wissen über Daten

Wir haben das enorme und stetig wachsende Datenvolumen schon angesprochen. Die Vielzahl der Dateien und Daten erschwert es bei der Exportkontrolle den Überblick zu behalten. Was kann an dieser Stelle helfen? Mehr über seine Daten zu wissen.

Das reine Wissen allein reicht allerdings nicht aus, man braucht den entsprechenden Kontext, welche Aktivitäten und Metadaten mit besagten Daten verknüpft sind. Wer greift auf welche Daten zu? Wer darf zugreifen, und wer tut es tatsächlich?

Dazu sollte das Wissen um die vergebenen Berechtigungen kommen und wie diese im Einzelnen strukturiert sind. Voraussetzung: man weiß, wer welche Berechtigungen hält, wo Berechtigungen vielleicht bereits veraltet sind und gelöscht werden sollten, wo zu viele Berechtigungen existieren oder sie zu weit gefasst sind.

In den seltensten Fällen haben Unternehmen das bisher idealtypisch lösen können.

Es hilft ein bidirektionaler Blick auf die Filesystemberechtigungen. Damit erkennt man sofort, welcher Benutzer oder welche Gruppen tatsächlich zugreifen oder prinzipiell zugreifen können oder sollten.

Idealerweise nutzen Data-Governance-Lösungen in der Folge statistische Prozesse um eine sinnvolle Berechtigungsstruktur zu empfehlen.

Wenn man lückenlos nachvollziehen kann, welche Aktivitäten mit bestimmten Dateien verbunden sind, kann man im Umkehrschluss ebenfalls nachvollziehen welche Datenpfade und Inhalte gerade nicht benutzt worden sind. Es kann beispielsweise hilfreich sein zu wissen, wenn ein Mitarbeiter in einem bestimmten Zeitraum auf Geschäftsreise in einem Nicht-EU-Land war.

Das sind nur einige von zahlreichen wichtigen Informationen zu seinen Daten, die einen Ausfuhrverantwortlichen entlasten.

The post Exportkontrolle für Daten appeared first on Varonis Deutsch.