Aufklärung mittels Logging

Thomas Ehrlich, Country Manager DACH von Netskope

Wie Data-Loss-Prevention eine 1,9-Milliarden-Loss-Prevention sein könnte.  Ein Kommentar von Thomas Ehrlich, Country Manager DACH von Netskope.

In aller Regel möchte man Verlorenes (oder gar Gestohlenes) nicht nur schnell wiederfinden, sondern auch herausfinden, wie es überhaupt abhandengekommen ist. Einerseits, um die Verantwortlichen zu identifizieren und Beweise zu sichern (Forensik), andererseits, um vergleichbare Fälle in Zukunft zu verhindern. Dabei spielt es im Grunde keine Rolle, ob es sich um (sensible oder vertrauliche) Daten oder wie bei Wirecard um 1,9 Milliarden Euro in den Bilanzen handelt.

Um dies zu erreichen, führt an Logging letztlich kein Weg vorbei. Und um gleich mit einem Missverständnis aufzuräumen: Beim Logging geht es nicht um die Überwachung der Mitarbeiter, um ihre Arbeitsleistung zu kontrollieren. Natürlich werden ihre Aktivitäten protokolliert, also ihr Verhalten beobachtet und die entsprechenden Daten gespeichert. Dies geschieht jedoch zunächst absichtslos und muss durch eine Betriebsvereinbarung auf solide Beine gestellt werden. In ihr wird genau festgelegt, in welchen Fällen die Logs überhaupt untersucht werden dürfen. Wovor möchte ich mich als Unternehmen schützen, wovor habe ich Angst? Dies könnte etwa die Exfiltration von Kundendaten oder geistigen Eigentums sein, oder im Fall Wirecard die Unterschlagung oder Bilanzmanipulation. Eine zweite Säule ist die Festlegung, wer bestimmt, ob dieser Fall überhaupt eingetreten ist. Bei Datendiebstählen ist dies in aller Regel das IT-Sicherheitsteam, bei Wirecard wären es die Buchprüfer gewesen. Wurde nun festgestellt, dass der vorab definierte Fall eingetreten ist, laufen ebenso vorab genau definierte Prozessketten ab, um dem Problem auf den Grund zu gehen und den oder die Verantwortlichen zu identifizieren und gerichtsverwertbare Informationen zu sammeln.

Durch Logging reist man sozusagen in der Zeit zurück, allerdings stets begrenzt auf den konkreten Fall, und niemals mit der Zielsetzung einer Überwachung aller. Wobei es im Interesse aller sein sollte, den Fall zu klären, um auf diese Weise das Unternehmen vor verheerenden Schäden zu schützen, die von empfindlichen Geldbußen oder Schadensersatzansprüche bis hin zur Insolvenz (siehe Wirecard) reichen können.

#Netskope