Sichern Sie Ihre Daten!

Kreativität und Datensicherheit – das sind zwei Be­griffe, die nicht besonders oft miteinander assoziiert werden. Kreativität, das ist Ideen-Pingpong ohne Ein­schränkungen, den Gedanken freien Lauf lassen, herumspinnen und Neues erschaffen. Daten­sicherheit hingegen klingt so ziemlich nach dem Ge­genteil. Wenn hier von Kreativagenturen die Rede ist, sind keinesfalls nur die großen Netzwerkagentu­ren gemeint.

Das »Rückgrat der Agenturbranche« ist die Mittelschicht – und gerade diese kann durch hohe Scha­denersatzzahlungen im Falle eines Datenverlusts in erhebliche finanzielle Schieflage geraten.

Der Verlust von Kundendaten stellt einen Verstoß gegen das Bundesdatenschutz- gesetz dar

Dennoch hat das Thema Datensicherheit in den letzten Jahren kaum einen Kreativen hinter dem Ofen hervorgelockt. Doch langsam wenden die Auf­traggeber das Blatt – denn diese prüfen Agenturen mittels Audit. Bei diesem Verfahren wird begutachtet, ob Prozesse und Datensicherheit in der Kre­a­tiv­agen­tur den Anforderungen der »Industrienorm« entsprechen. Früher reichte eine Unterschrift im Ver­trag. Heute, in Zeiten zunehmender Cyberkriminalität, lassen Auftraggeber die Einhaltung ihrer gestellten Anforderungen von externen IT-Dienstleis­tern überprüfen.

Spätestens jetzt müssen auch die Kreativen einse­hen, dass an professionellen IT-Strukturen kein Weg mehr vorbeiführt. Viele glauben, dass das Thema Informationssicherheit bei ihnen schon »irgendwie passt«. Doch ich wette, dass die meisten Agenturen mindestens drei der folgenden sieben Datenlöcher dringend stopfen müssten. Die passenden Tipps – deren Umsetzung übrigens nicht viel kostet – liefern wir Ihnen jeweils direkt dazu.

1. Tatort Festplatte

Der Präsentationstermin beim Kunden war erfolgreich, und der Projektmanager nimmt ein Taxi zur nächsten Besprechung. Erst dort bemerkt er, dass er seinen Laptop im Wagen vergessen hat. Der Supergau! Nicht nur die Hardware ist weg, auch alle sensiblen Daten könnten in fremde Hände gelangen. Jemand mit bösen Absichten könnte jederzeit exter­ne Festplatten an den Rechner hängen und gezielt Daten klauen. Der Log-in beim Rechnerstart schützt davor nicht. Bei den eigenen Daten ist das nur ärgerlich. Bei Kundendaten drohen für die Nichteinhaltung von Geheimhaltungserklärungen, sogenannten Non-Disclosure Agreements (NDA), nicht selten hohe Vertragsstrafen. Davon abgesehen stellt der Verlust von Kundendaten einen Verstoß gegen das Bundesdatenschutzgesetz dar.

Alle Festplatten lassen sich mit Softwarelösungen verschlüsseln

Die Lösung: Alle Festplatten lassen sich mit Softwarelösungen verschlüsseln. Bei Apple-Computern ist eine Festplattenverschlüsselung im Betriebssys­tem integriert. Das funktioniert hier mit einem Klick und dem Log-in-Kennwort: Man muss nur die vorinstallierte Festplattenverschlüsselung FileVault in den Sicherheitseinstellungen aktivieren.

Dafür benötigt man weder Technik-Know-how, noch muss man die teils komplizierten Verschlüsselungstechniken verstehen. Nur eines sollte auf keinen Fall pas­sieren: Wird das Log-in-Kennwort vergessen, gibt es keine Möglichkeit, die Festplatte jemals wieder zu ent­schlüs­seln. Auch der Ausbau der Festplatte, der Target-Modus, ein Admin-Kennwort oder Ähnliches können hier nicht mehr helfen – verschlüsselt ist verschlüsselt.

2. Tatort E-Mail

Der überaus hilfsbereite Taxifahrer hat den Laptop zu seinem Besitzer zurückgebracht. Glück gehabt! Jetzt muss dieser die Präsentation vom Vormittag an den Kunden senden. Dazu schreibt er eine E-Mail und fügt die Präsentation mit den vertraulichen Informationen als Anhang an. Ein Moment der Unachtsamkeit, ein Vertipper – und schon ist die E-Mail an einen anderen Kontakt rausgegangen. Alle sensiblen Daten, innovativen Ideen und Projektdetails liegen nun bei einer projektfremden Person. Wenn man den Empfänger nicht zufällig sehr gut kennt und den Fauxpas im Nachhinein durch einen Anruf und anschließendes Löschen gerade biegen kann, hat man ein Problem.

Zudem ist ein Vertipper in Eile nicht der einzige Fallstrick. Bei der E-Mail-Kommunikation kann eine Menge schiefgehen: E-Mails werden automatisch weitergeleitet, weil der Empfänger im Urlaub ist, die Autofill-Funktion des E-Mail-Programms setzt einen falschen Empfänger ein, ein Adressbucheintrag wur­de fehlerhaft angelegt und so weiter. Auch die eigene Unkonzentriertheit kann grobe Fehler verursachen, etwa wenn man in einer internen Mail, in der es um einen Kunden geht, den Kunden versehentlich selbst als Empfänger angibt.

Die einfachste Möglichkeit ist, E-Mail-Anhänge zu verschlüsseln

Die Lösung: Die einfachste Möglichkeit ist, E-Mail-Anhänge zu verschlüsseln. Dazu speichert man die Datei als PDF und wählt währenddessen die Option »Verschlüsseln«. Landet eine E-Mail mit einem derart gesicherten Anhang dann bei einem falschen Empfänger, kann dieser überhaupt nichts damit anfangen. Wichtig ist hierbei natürlich, dass das Passwort zur Datei niemals in derselben E-Mail mitgesendet werden darf. Dann wäre die ganze Aktion hinfällig. Am besten, man schickt das zugehörige Passwort über einen anderen Kanal, etwa per SMS.

3. Tatort Drucker

Den Laptop im Taxi liegen gelassen, den falschen E-Mail-Empfänger gewählt – wirklich kein guter Tag. Doch am Arbeitsplatz lauern weitere Sicherheitsfallen. Diesmal geht es um die Budget- und Res­sour­­cen­planung eines Projekts. Während die sen­sib­len Daten an den Agenturdrucker gesendet wer­den, kommt ein wichtiger Anruf – und schon sind die Ausdrucke vergessen. Diese liegen jetzt für jeden Mitarbeiter frei zugänglich in der Papierausgabe des Druckers. Nicht auszudenken, was passieren kann, wenn die Planung in falsche Hände gerät.

Vorsicht geboten ist zudem beim Scannen von Originaldokumenten. Große Drucker speichern ge­scannte Formulare auf der internen Festplatte. Das bedeutet: Zuletzt gedruckte Dokumente könnten er­neut ausgedruckt werden. Wird der Drucker also wei­tergegeben (zum Beispiel bei einer Firmenübernahme) oder zurück an die Leasingfirma geliefert, sind die zuletzt gedruckten Aufträge weiterhin abrufbar – Gleiches kann für Fotokopien gelten.

Eine weitere ebenso unsichere Funktion bei Druckern: gescannte Dokumente direkt als E-Mail versenden. Da wird der Drucker zum E-Mail-Client, der alle Scans unverschlüsselt versendet und oft auch zen­tral speichert. Ist diese Funktion aktiviert, können Hacker das ausnutzen.

Beim Scannen niemals die Funktionen »Scan2Mail« und »Scan2Folder« für vertrauliche Dokumente verwenden

Die Lösung: Bei Druckaufträgen sollte man in den Druckeinstellungen immer die Option »geschützte Ausgabe« wählen. Das führt dazu, dass nicht nur die Datei erst dann ausgedruckt wird, wenn der betreffende Mitarbeiter seine PIN am Drucker eingegeben hat, auch die Druckdatei wird nicht im Drucker gespeichert. Die Einstellung für »geschützte Ausgabe« findet sich in der Regel in den druckerspezifischen Einstellungen, wo beispielsweise auch das Papierformat eingestellt wird.

Beim Scannen sollten die Funktionen »Scan2Mail« und »Scan2Folder« niemals für vertrauliche Dokumente verwendet werden. Viel besser ist hier ein Do­kumentenscanner, den man via USB an den Rechner anschließen kann. Des Weiteren sollte man stets auf eine aktuelle Druckersoftware achten, um Sicher­heitslücken auszuschließen.

4. Tatort Smartphone

Im Agenturalltag passiert es immer wieder: Man ver­legt sein Smartphone oder lässt es im Konferenzraum liegen, weil schon bald das nächste Meeting beginnt. Oder man vergisst das gute Stück nach einem Termin. Wer das Handy findet, drückt dann meist intuitiv die Power-Taste. Ist kein Sperrcode aktiviert, lässt sich über den Posteingang schnell herausfinden, wem das Smartphone gehört.

Findet ein Kollege das Smartphone, ist das halb so schlimm. Ist es ein Agenturkunde, wird auch er den Besitzer des Smartphones ausfindig machen wollen. Ungünstig, wenn dann interne E-Mails – vielleicht sogar zum laufenden Projekt – sichtbar werden. Also: Sperre aktivieren! Doch Achtung: Das eigene Ge­burtsdatum bietet keinen ausreichenden Schutz.

Nur Apps  aus offiziellen Stores herun­ter­laden, wo sie vorher auf Sicherheit geprüft werden!

Die Lösung: Nur sichere PINs und Codesperren auf sämtlichen beruflich genutzten Geräten bieten echten Schutz vor fremden Zugriffen. Der Code sollte möglichst sinnfrei sein und nicht mit dem Besitzer in Verbindung gebracht werden können. Außerdem soll­te sich die Sperre nach kurzer Zeit ohne Nutzung von selbst aktivieren.

Wer noch sicherer sein möchte, kann alle installierten Apps auf Zugriffsrechte überprüfen. Denn vie­le Apps können zum Beispiel standardmäßig auf die Kontakte zugreifen. Wer weiß schon genau, was die Betreiber mit diesen Daten machen dürfen? Des­halb sollte man Apps nur aus offiziellen Stores herun­ter­laden, wo sie vorher auf Sicherheit geprüft werden.

5. Tatort Server

In vielen Agenturen können die meisten Mitarbeiter ohne Probleme auf den Server zugreifen und haben so eventuell Einblick in Projekte, an denen sie nicht arbeiten oder die sogar geheim sind. Selbst bei eingeschränkter Serverfreigabe lassen sich einzelne Daten abrufen (etwa unverschlüsselt abgelegte Bilddateien), wenn einem projektfremden Mitarbei­ter etwa versehentlich die Freigabe erteilt wurde.

Generell reicht eine Zugriffssteuerung für eine Serverfreigabe »Projekt XY« allein nicht aus

Die Lösung: Generell reicht eine Zugriffssteuerung für eine Serverfreigabe »Projekt XY« allein nicht aus. Kommt es hier zu Rechteproblemen, erhält ein Mitarbeiter nicht nur Zugriff, sondern kann sogar alle Dateien öffnen und verändern, sofern diese nicht mit einem Passwort gespeichert sind. Jede sensible Datei muss also immer – egal, wo sie gespeichert ist – mit einem Passwortschutz versehen sein.

Bei Word, Excel oder PowerPoint ist das kein Problem. Schwierig wird es, wenn Designer mit InDesign, Photoshop et cetera arbeiten und dabei mit sen­siblen Informationen umgehen. Diese Dateien lassen sich nicht mit einem Passwort schützen. Hier gibt es zwei Möglichkeiten: Entweder man nutzt einen Extraserver nur für das Projekt – oder einen geschützten Container, der auf dem eigenen Server liegt. Auf diesen können dann nur am Projekt beteiligte Mitarbeiter per Passwort zugreifen.

6. Tatort Cloud

Die Zeit rennt, denn der Abgabetermin für ein Projekt nähert sich dramatisch. Es hat ewig gedauert, den zur Aufgabe gehörenden Imagefilm zu rendern, jetzt muss dieser auch noch in die Cloud geladen wer­den. Die Uhr tickt. Für das Filesharing über die Cloud wer­den oft Anbieter wie Dropbox oder WeTransfer genutzt. Doch Stopp! Genau wie beim E-Mail-Verkehr gilt hier: Was unverschlüsselt versendet wird, kann in falsche Hände gelangen. Und das war’s dann!

Sicherer ist der eigene Ser­ver plus Freigabeerteilung

Die Lösung: Cloudbasierte Datenaustauschpro­gram­me können bedenkenlos genutzt werden, sofern die Dateien passwortgeschützt sind und das zu­ge­hö­rige Kennwort separat verschickt wird. Für Agen­turen mit Großkunden ist es allerdings durchaus sinnvoll, auf Software für das Speichern von Daten auf dem eigenen Server zurückzugreifen – zum Beispiel ownCloud. Hier werden außerdem zwei Flie­gen mit einer Klappe geschlagen: Zum einen sind Services wie Dropbox oder WeTransfer in den Datenschutzrichtlinien von Kunden häufig nicht erlaubt beziehungsweise die Anbieter sogar in der Fire­wall des Kunden gesperrt. Sicherer ist der eigene Ser­ver plus Freigabeerteilung. Selbstverständlich muss auch bei der Freigabeerteilung auf entsprechende Sicher­heitsvorkehrungen (siehe »Tatort E-Mail«) geachtet werden.

Zum anderen punkten Dienste wie ownCloud in Sachen Schnelligkeit: Wenn das Datenaus­tausch­sys­tem auf dem eigenen Server liegt, entfallen lange Uploadzeiten und Abgabetermine lassen sich deutlich entspannter einhalten. Der Kunde lädt sich dann einfach die entsprechenden Dateien vom Agenturserver herunter.

7. Tatort Zettelwirtschaft

Endlich Wochenende, das letzte Meeting ist vorbei, alle wollen schnell nach Hause. Im Konferenzraum stehen aber immer noch die Arbeitsmaterialien zum aktuellen Projekt: Moodboards, Aufsteller mit Logo­­entwürfen und Post-it-Strategieschritte an der Wand.

Da liegt nun also das neue Logo für den Kunden im gläsernen Meetingraum wie auf dem Präsentierteller – das ganze Wochenende. Betriebsfremde Per­sonen, die Zugang zum Gebäude haben, können oh­ne Weiteres alles in Ruhe anschauen. Am Montag sind wieder einige Kundentermine in der Agentur angesetzt, der erste schon um 8:30 Uhr – wenn niemand aufräumt, sehen auch projektfremde Kunden die Entwürfe. Noch schlimmer: Diesen wird schnell klar, wie hier mit Geheimhaltung umgegangen wird.

In Kreativagenturen ist nichts sinnvol­ler als eine Clean-Desk-Policy

Die Lösung: In Kreativagenturen ist nichts sinnvol­ler als eine Clean-Desk-Policy. Alle Mitarbeiter müs­sen dafür Sorge tragen, dass die Schreibtische leer und die Arbeitsmaterialien unter Verschluss gehalten werden. Was online ein Passwortschutz leistet, passiert offline über abgeschlossene Schränke oder Räume. »Datenmüll« wie Ausdrucke, die nicht mehr gebraucht werden, kommen erst in den Schredder und dann in Sicherheitscontainer.

Fazit: Die Mitarbeiter sind das größte Risiko

Für das Stopfen von Sicherheitslücken in Krea­tiv­agenturen braucht es keinen Fachmann. Oftmals sind es kleine Dinge, die wider besseres Wissen im Alltag vernachlässigt werden – wie etwa die Codesperre im Smartphone. Jede Agentur sollte deshalb das Thema Informationssicherheit ganz oben auf ihre Agenda setzen. Mit ein paar Handgriffen ist viel getan, und man riskiert weder Datenklau noch hohe Vertragsstrafen.

Bei allen Sicherheitsfaktoren gilt: Den meisten Mitarbeitern fehlt das Bewusstsein für das Thema Datensicherheit

Bei allen Sicherheitsfaktoren gilt: Den meisten Mitarbeitern fehlt das Bewusstsein für das Thema Datensicherheit. Sie öffnen E-Mail-Anhänge von un­bekannten Absendern (Stichwort: Schadsoftware), rufen sensible Daten über Tische hinweg durch den Raum und gehen sorglos mit Passwörtern um. Diese werden gern in Kalendern oder Adressbüchern notiert, am Telefon buchstabiert – und nicht selten verwenden Mitarbeiter für alle Anwendungen (auch für die privaten) dasselbe Passwort, das sie nie ändern. Mitarbeiter brauchen deshalb klare Linien, an die es sich zu halten gilt – etwa Richtlinien, Vorgaben und dazu passende Schulungen, die ihnen das nötige Know-how vermitteln.

Regelmäßige Sicherheitsschulungen im Mitarbeiterkreis, die immer wieder die Achtsamkeit er­hö­hen, haben sich bewährt. Vieles kann man nicht oft genug sagen. Ab einer gewissen Agenturgröße emp­fiehlt es sich, einen Mitarbeiter zu benennen, der eine Fortbildung zum »Informations­si­cher­heits­beauf­tragten« macht und sich dann zentral um das Thema kümmert, regelmäßig Tipps gibt und Schu­lun­gen für Mitarbeiter anbietet. Steht ein Audit an, sollte zusätzlich Expertenhilfe in Anspruch genommen werden. Hier geht die Überprüfung noch einen Schritt weiter, und ein Fachmann nimmt alle technischen Sicherheitsvorkehrungen genauestens unter die Lupe.

Das Mini-ISMS hat bei vielen Audits, die wir begleitet haben, komplett ausgereicht

Was noch nicht oft vorkommt – aber in Zukunft zunehmen wird – ist, dass ein Kunde einen Auftrag nur an eine Kreativagentur vergibt, sofern diese ein ISO-27001-zertifiziertes Information Security Management System (ISMS) nachweisen kann. Das betrifft vor allem Kreativagenturen, die beispielsweise für Kunden aus dem Automotive-Bereich arbeiten. Da diese Forderung aber noch nicht so häufig gestellt wird, haben wir uns bei Solutionbar die Lösung des »Mini-ISMS« ausgedacht. Wie bei der Einführung eines »richtigen« ISMS geht es hierbei um die Erstellung von Richtlinien, um Sicherheitsschulun­gen und um Prozesse zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen.

Das Mini-ISMS hat bei vielen Audits, die wir begleitet haben, komplett ausgereicht – mit dem Vorteil, dass die Kosten bei nur etwa der Hälfte eines zertifizierten ISMS liegen. Sollte irgendwann dann eine richtige ISO-Zertifizierung erforderlich sein, kann auf das Mini-ISMS aufgebaut werden.

Marco Peters bringt gerne Ordnung in chaotische Strukturen – früher als Head of IT in einer der größten Kreativ­agenturen Deutschlands, heute als Gründer und geschäfts­führender Gesellschafter in seinem Unternehmen Solutionbar in München.

Merken

Merken

Merken

Merken

Merken