Spektakuläre Datendiebstähle wie die bei der Liechtensteinischen Landesbank und der LGT Treuhand haben zahlreiche Steuersünder das Fürchten gelehrt. In der Finanzbranche, in der Daten- und Informationssicherheit schon lange ein Dauerbrenner ist, machte sich Nervosität breit. Auch die IT-Branche spürte die Unruhe. Doch trotz des Wirbels um die Steueraffäre blieb die große Auftragsflut aus. Zwar gibt es eine größere Sensibilisierung und insbesondere im Bankgewerbe scheint die Bereitschaft größer geworden zu sein, in Maßnahmen zur Datensicherheit zu investieren. Das Wissen, welche Lösungen geeignet sind, die angestrebten Ziele auch zu erreichen, setzt sich allerdings erst langsam durch. Bei der VÖB-Service spielen die Vertraulichkeit und der Schutz sensibler Datenbestände seit jeher eine herausragende Rolle. Als Dienstleister für öffentliche Banken und Sparkassen ist man sich seiner Verantwortung längst bewusst. In dem Projekt: „Zugriffsschutz von Dateien und Verzeichnissen“, das bereits 2004 ins Leben gerufen wurde, arbeiteten Experten intensiv an einem zufrieden stellenden Ergebnis. Eine Sicherheitslösung, die die Datenvertraulichkeit gewährleistet, war das Ziel. Stephan Henkel, Geschäftsführer der VÖB-Service, berichtet: „Die Aufgabe war seit langem klar: Dateien und Verzeichnisse von Geschäftsführung, Finanzbuchhaltung, Personalwesen und natürlich die Daten Dritter, sollten nur denjenigen zugänglich sein, die damit arbeiten. Unberechtigte Zugriffe, von außen wie von innen, sollten in jedem Fall verhindert werden. Wir waren davon überzeugt, dass nur eine Verschlüsselungslösung diese Gewähr bietet.“
Verschlüsselung muss anwenderfreundlich sein
Während eines Infotages mit dem Titel „Wenn Daten Füße kriegen …“, der von Applied Security (www.apsec.de) am 19. Juni 2008 im Sheraton Congress Hotel in Frankfurt/Main veranstaltet wurde, referierte Henkel über den Verlauf des Projektes. Mehrere Testinstallationen waren ohne befriedigendes Ergebnis gescheitert. Entweder ließ die Anwenderfreundlichkeit zu wünschen übrig. Oder die Preisvorstellungen waren völlig überzogen. Selbst ein anderthalb Jahre laufender Praxisversuch mit einem bekannten Produkt eines großen Anbieters brachte am Ende kein akzeptables Resultat.
Eine Erfahrung, die sicher kein Einzelfall ist, meinen die Experten von Applied Security. Viele Anbieter von Verschlüsselungslösungen liefern sich eine Materialschlacht um Kryptoalgorithmen, komplexe Passwortregeln und hochgranulare Konfigurationsmöglichkeiten. Das führt letztlich dazu, dass man ein Produkt ohne intensive und kostenpflichtige Beratung kaum noch einsetzen kann. Deshalb raten die Entwickler von Applied Security dazu, sich nicht von technischen Spielereien blenden zu lassen. Bei der Entscheidungsfindung, welches Produkt die eigenen Anforderungen am besten umsetzt, sollte man sein Augenmerk auf die Praxistauglichkeit einer Lösung lenken. Dies ist nicht nur ein Bequemlichkeits- und Kostenfaktor, sondern auch ein ganz wichtiger Sicherheitsaspekt. Denn: Nichts ist unsicherer, als eine Sicherheitslösung, die falsch konfiguriert ist und daher lediglich eine Scheinsicherheit suggeriert, meinen die Spezialisten für Informationssicherheit.
Von den Erfahrungen entmutigt, doch keinesfalls zur Aufgabe bereit, hielt die Servicegesellschaft an ihrem Vorhaben fest, Datenvertraulichkeit zu schaffen. „Schließlich überzeugte mich Klaus Breitenbach, Geschäftsführer von Applied Security davon, es mit ,fideAS file enterprise‘ zu versuchen“, berichtete Stephan Henkel weiter. In nur vier Projekttagen hatte das Softwareunternehmen aus Stockstadt bei Aschaffenburg seine Verschlüsselungslösung erfolgreich in die bestehende IT-Umgebung der VÖB-Service integriert. Ohne die Mitarbeiter in ihrem täglichen Arbeitsablauf zu beeinträchtigen, werden Dateien und Verzeichnisse jetzt automatisch verschlüsselt und so vor Verfälschungen oder Veränderungen bewahrt.
Echte Datensicherheit ist nun unabhängig vom Speicherort jederzeit gewährleistet. Die gesamte Dateiablage im Unternehmensnetzwerk, auf Notebooks und Wechseldatenträgern – etwa USB-Sticks – wird zuverlässig geschützt. Ganz nach dem „Need-to-know“-Prinzip kann nur derjenige Anwender Verzeichnisse und Dateien öffnen, der sie zur Bearbeitung seiner Aufgabe braucht. Das gilt auch für den Systemadministrator. Wegen der sehr einfachen Administration war auch keine Schulung der Mitarbeiter erforderlich.
Aufgrund ihrer guten Erfahrungen rät die VÖB-Service auch ihren Mitgliedern und Kunden dazu, auf Nummer sicher zu gehen und sensible Daten automatisch zu verschlüsseln. Mit dem Stockstadter Unternehmen für Informationssicherheit hat die Servicegesellschaft inzwischen eine Vereinbarung getroffen: Sie bietet den derzeit 34 ordentlichen und 28 außerordentlichen VÖB-Mitgliedern „fideAS file enterprise“ zum Vorzugspreis an. Denn besonders von Banken und Finanzdienstleistern erwarten die Geschäftspartner ein höchstes Maß an Sicherheit und Zuverlässigkeit.