Datensicherheit ist nicht sexy – aber notwendig. Marco Peters von Solutionbar über häufige Datenlöcher in Kreativagenturen – und was man dagegen tun kann.
Kreativität und Datensicherheit – das sind zwei Begriffe, die nicht besonders oft miteinander assoziiert werden. Kreativität, das ist Ideen-Pingpong ohne Einschränkungen, den Gedanken freien Lauf lassen, herumspinnen und Neues erschaffen. Datensicherheit hingegen klingt so ziemlich nach dem Gegenteil. Wenn hier von Kreativagenturen die Rede ist, sind keinesfalls nur die großen Netzwerkagenturen gemeint.
Das »Rückgrat der Agenturbranche« ist die Mittelschicht – und gerade diese kann durch hohe Schadenersatzzahlungen im Falle eines Datenverlusts in erhebliche finanzielle Schieflage geraten.
Der Verlust von Kundendaten stellt einen Verstoß gegen das Bundesdatenschutz- gesetz dar
Dennoch hat das Thema Datensicherheit in den letzten Jahren kaum einen Kreativen hinter dem Ofen hervorgelockt. Doch langsam wenden die Auftraggeber das Blatt – denn diese prüfen Agenturen mittels Audit. Bei diesem Verfahren wird begutachtet, ob Prozesse und Datensicherheit in der Kreativagentur den Anforderungen der »Industrienorm« entsprechen. Früher reichte eine Unterschrift im Vertrag. Heute, in Zeiten zunehmender Cyberkriminalität, lassen Auftraggeber die Einhaltung ihrer gestellten Anforderungen von externen IT-Dienstleistern überprüfen.
Spätestens jetzt müssen auch die Kreativen einsehen, dass an professionellen IT-Strukturen kein Weg mehr vorbeiführt. Viele glauben, dass das Thema Informationssicherheit bei ihnen schon »irgendwie passt«. Doch ich wette, dass die meisten Agenturen mindestens drei der folgenden sieben Datenlöcher dringend stopfen müssten. Die passenden Tipps – deren Umsetzung übrigens nicht viel kostet – liefern wir Ihnen jeweils direkt dazu.
1. Tatort Festplatte
Der Präsentationstermin beim Kunden war erfolgreich, und der Projektmanager nimmt ein Taxi zur nächsten Besprechung. Erst dort bemerkt er, dass er seinen Laptop im Wagen vergessen hat. Der Supergau! Nicht nur die Hardware ist weg, auch alle sensiblen Daten könnten in fremde Hände gelangen. Jemand mit bösen Absichten könnte jederzeit externe Festplatten an den Rechner hängen und gezielt Daten klauen. Der Log-in beim Rechnerstart schützt davor nicht. Bei den eigenen Daten ist das nur ärgerlich. Bei Kundendaten drohen für die Nichteinhaltung von Geheimhaltungserklärungen, sogenannten Non-Disclosure Agreements (NDA), nicht selten hohe Vertragsstrafen. Davon abgesehen stellt der Verlust von Kundendaten einen Verstoß gegen das Bundesdatenschutzgesetz dar.
Alle Festplatten lassen sich mit Softwarelösungen verschlüsseln
Die Lösung: Alle Festplatten lassen sich mit Softwarelösungen verschlüsseln. Bei Apple-Computern ist eine Festplattenverschlüsselung im Betriebssystem integriert. Das funktioniert hier mit einem Klick und dem Log-in-Kennwort: Man muss nur die vorinstallierte Festplattenverschlüsselung FileVault in den Sicherheitseinstellungen aktivieren.
Dafür benötigt man weder Technik-Know-how, noch muss man die teils komplizierten Verschlüsselungstechniken verstehen. Nur eines sollte auf keinen Fall passieren: Wird das Log-in-Kennwort vergessen, gibt es keine Möglichkeit, die Festplatte jemals wieder zu entschlüsseln. Auch der Ausbau der Festplatte, der Target-Modus, ein Admin-Kennwort oder Ähnliches können hier nicht mehr helfen – verschlüsselt ist verschlüsselt.
2. Tatort E-Mail
Der überaus hilfsbereite Taxifahrer hat den Laptop zu seinem Besitzer zurückgebracht. Glück gehabt! Jetzt muss dieser die Präsentation vom Vormittag an den Kunden senden. Dazu schreibt er eine E-Mail und fügt die Präsentation mit den vertraulichen Informationen als Anhang an. Ein Moment der Unachtsamkeit, ein Vertipper – und schon ist die E-Mail an einen anderen Kontakt rausgegangen. Alle sensiblen Daten, innovativen Ideen und Projektdetails liegen nun bei einer projektfremden Person. Wenn man den Empfänger nicht zufällig sehr gut kennt und den Fauxpas im Nachhinein durch einen Anruf und anschließendes Löschen gerade biegen kann, hat man ein Problem.
Zudem ist ein Vertipper in Eile nicht der einzige Fallstrick. Bei der E-Mail-Kommunikation kann eine Menge schiefgehen: E-Mails werden automatisch weitergeleitet, weil der Empfänger im Urlaub ist, die Autofill-Funktion des E-Mail-Programms setzt einen falschen Empfänger ein, ein Adressbucheintrag wurde fehlerhaft angelegt und so weiter. Auch die eigene Unkonzentriertheit kann grobe Fehler verursachen, etwa wenn man in einer internen Mail, in der es um einen Kunden geht, den Kunden versehentlich selbst als Empfänger angibt.
Die einfachste Möglichkeit ist, E-Mail-Anhänge zu verschlüsseln
Die Lösung: Die einfachste Möglichkeit ist, E-Mail-Anhänge zu verschlüsseln. Dazu speichert man die Datei als PDF und wählt währenddessen die Option »Verschlüsseln«. Landet eine E-Mail mit einem derart gesicherten Anhang dann bei einem falschen Empfänger, kann dieser überhaupt nichts damit anfangen. Wichtig ist hierbei natürlich, dass das Passwort zur Datei niemals in derselben E-Mail mitgesendet werden darf. Dann wäre die ganze Aktion hinfällig. Am besten, man schickt das zugehörige Passwort über einen anderen Kanal, etwa per SMS.
3. Tatort Drucker
Den Laptop im Taxi liegen gelassen, den falschen E-Mail-Empfänger gewählt – wirklich kein guter Tag. Doch am Arbeitsplatz lauern weitere Sicherheitsfallen. Diesmal geht es um die Budget- und Ressourcenplanung eines Projekts. Während die sensiblen Daten an den Agenturdrucker gesendet werden, kommt ein wichtiger Anruf – und schon sind die Ausdrucke vergessen. Diese liegen jetzt für jeden Mitarbeiter frei zugänglich in der Papierausgabe des Druckers. Nicht auszudenken, was passieren kann, wenn die Planung in falsche Hände gerät.
Vorsicht geboten ist zudem beim Scannen von Originaldokumenten. Große Drucker speichern gescannte Formulare auf der internen Festplatte. Das bedeutet: Zuletzt gedruckte Dokumente könnten erneut ausgedruckt werden. Wird der Drucker also weitergegeben (zum Beispiel bei einer Firmenübernahme) oder zurück an die Leasingfirma geliefert, sind die zuletzt gedruckten Aufträge weiterhin abrufbar – Gleiches kann für Fotokopien gelten.
Eine weitere ebenso unsichere Funktion bei Druckern: gescannte Dokumente direkt als E-Mail versenden. Da wird der Drucker zum E-Mail-Client, der alle Scans unverschlüsselt versendet und oft auch zentral speichert. Ist diese Funktion aktiviert, können Hacker das ausnutzen.
Beim Scannen niemals die Funktionen »Scan2Mail« und »Scan2Folder« für vertrauliche Dokumente verwenden
Die Lösung: Bei Druckaufträgen sollte man in den Druckeinstellungen immer die Option »geschützte Ausgabe« wählen. Das führt dazu, dass nicht nur die Datei erst dann ausgedruckt wird, wenn der betreffende Mitarbeiter seine PIN am Drucker eingegeben hat, auch die Druckdatei wird nicht im Drucker gespeichert. Die Einstellung für »geschützte Ausgabe« findet sich in der Regel in den druckerspezifischen Einstellungen, wo beispielsweise auch das Papierformat eingestellt wird.
Beim Scannen sollten die Funktionen »Scan2Mail« und »Scan2Folder« niemals für vertrauliche Dokumente verwendet werden. Viel besser ist hier ein Dokumentenscanner, den man via USB an den Rechner anschließen kann. Des Weiteren sollte man stets auf eine aktuelle Druckersoftware achten, um Sicherheitslücken auszuschließen.
4. Tatort Smartphone
Im Agenturalltag passiert es immer wieder: Man verlegt sein Smartphone oder lässt es im Konferenzraum liegen, weil schon bald das nächste Meeting beginnt. Oder man vergisst das gute Stück nach einem Termin. Wer das Handy findet, drückt dann meist intuitiv die Power-Taste. Ist kein Sperrcode aktiviert, lässt sich über den Posteingang schnell herausfinden, wem das Smartphone gehört.
Findet ein Kollege das Smartphone, ist das halb so schlimm. Ist es ein Agenturkunde, wird auch er den Besitzer des Smartphones ausfindig machen wollen. Ungünstig, wenn dann interne E-Mails – vielleicht sogar zum laufenden Projekt – sichtbar werden. Also: Sperre aktivieren! Doch Achtung: Das eigene Geburtsdatum bietet keinen ausreichenden Schutz.
Nur Apps aus offiziellen Stores herunterladen, wo sie vorher auf Sicherheit geprüft werden!
Die Lösung: Nur sichere PINs und Codesperren auf sämtlichen beruflich genutzten Geräten bieten echten Schutz vor fremden Zugriffen. Der Code sollte möglichst sinnfrei sein und nicht mit dem Besitzer in Verbindung gebracht werden können. Außerdem sollte sich die Sperre nach kurzer Zeit ohne Nutzung von selbst aktivieren.
Wer noch sicherer sein möchte, kann alle installierten Apps auf Zugriffsrechte überprüfen. Denn viele Apps können zum Beispiel standardmäßig auf die Kontakte zugreifen. Wer weiß schon genau, was die Betreiber mit diesen Daten machen dürfen? Deshalb sollte man Apps nur aus offiziellen Stores herunterladen, wo sie vorher auf Sicherheit geprüft werden.
5. Tatort Server
In vielen Agenturen können die meisten Mitarbeiter ohne Probleme auf den Server zugreifen und haben so eventuell Einblick in Projekte, an denen sie nicht arbeiten oder die sogar geheim sind. Selbst bei eingeschränkter Serverfreigabe lassen sich einzelne Daten abrufen (etwa unverschlüsselt abgelegte Bilddateien), wenn einem projektfremden Mitarbeiter etwa versehentlich die Freigabe erteilt wurde.
Generell reicht eine Zugriffssteuerung für eine Serverfreigabe »Projekt XY« allein nicht aus
Die Lösung: Generell reicht eine Zugriffssteuerung für eine Serverfreigabe »Projekt XY« allein nicht aus. Kommt es hier zu Rechteproblemen, erhält ein Mitarbeiter nicht nur Zugriff, sondern kann sogar alle Dateien öffnen und verändern, sofern diese nicht mit einem Passwort gespeichert sind. Jede sensible Datei muss also immer – egal, wo sie gespeichert ist – mit einem Passwortschutz versehen sein.
Bei Word, Excel oder PowerPoint ist das kein Problem. Schwierig wird es, wenn Designer mit InDesign, Photoshop et cetera arbeiten und dabei mit sensiblen Informationen umgehen. Diese Dateien lassen sich nicht mit einem Passwort schützen. Hier gibt es zwei Möglichkeiten: Entweder man nutzt einen Extraserver nur für das Projekt – oder einen geschützten Container, der auf dem eigenen Server liegt. Auf diesen können dann nur am Projekt beteiligte Mitarbeiter per Passwort zugreifen.
6. Tatort Cloud
Die Zeit rennt, denn der Abgabetermin für ein Projekt nähert sich dramatisch. Es hat ewig gedauert, den zur Aufgabe gehörenden Imagefilm zu rendern, jetzt muss dieser auch noch in die Cloud geladen werden. Die Uhr tickt. Für das Filesharing über die Cloud werden oft Anbieter wie Dropbox oder WeTransfer genutzt. Doch Stopp! Genau wie beim E-Mail-Verkehr gilt hier: Was unverschlüsselt versendet wird, kann in falsche Hände gelangen. Und das war’s dann!
Sicherer ist der eigene Server plus Freigabeerteilung
Die Lösung: Cloudbasierte Datenaustauschprogramme können bedenkenlos genutzt werden, sofern die Dateien passwortgeschützt sind und das zugehörige Kennwort separat verschickt wird. Für Agenturen mit Großkunden ist es allerdings durchaus sinnvoll, auf Software für das Speichern von Daten auf dem eigenen Server zurückzugreifen – zum Beispiel ownCloud. Hier werden außerdem zwei Fliegen mit einer Klappe geschlagen: Zum einen sind Services wie Dropbox oder WeTransfer in den Datenschutzrichtlinien von Kunden häufig nicht erlaubt beziehungsweise die Anbieter sogar in der Firewall des Kunden gesperrt. Sicherer ist der eigene Server plus Freigabeerteilung. Selbstverständlich muss auch bei der Freigabeerteilung auf entsprechende Sicherheitsvorkehrungen (siehe »Tatort E-Mail«) geachtet werden.
Zum anderen punkten Dienste wie ownCloud in Sachen Schnelligkeit: Wenn das Datenaustauschsystem auf dem eigenen Server liegt, entfallen lange Uploadzeiten und Abgabetermine lassen sich deutlich entspannter einhalten. Der Kunde lädt sich dann einfach die entsprechenden Dateien vom Agenturserver herunter.
7. Tatort Zettelwirtschaft
Endlich Wochenende, das letzte Meeting ist vorbei, alle wollen schnell nach Hause. Im Konferenzraum stehen aber immer noch die Arbeitsmaterialien zum aktuellen Projekt: Moodboards, Aufsteller mit Logoentwürfen und Post-it-Strategieschritte an der Wand.
Da liegt nun also das neue Logo für den Kunden im gläsernen Meetingraum wie auf dem Präsentierteller – das ganze Wochenende. Betriebsfremde Personen, die Zugang zum Gebäude haben, können ohne Weiteres alles in Ruhe anschauen. Am Montag sind wieder einige Kundentermine in der Agentur angesetzt, der erste schon um 8:30 Uhr – wenn niemand aufräumt, sehen auch projektfremde Kunden die Entwürfe. Noch schlimmer: Diesen wird schnell klar, wie hier mit Geheimhaltung umgegangen wird.
In Kreativagenturen ist nichts sinnvoller als eine Clean-Desk-Policy
Die Lösung:In Kreativagenturen ist nichts sinnvoller als eine Clean-Desk-Policy. Alle Mitarbeiter müssen dafür Sorge tragen, dass die Schreibtische leer und die Arbeitsmaterialien unter Verschluss gehalten werden. Was online ein Passwortschutz leistet, passiert offline über abgeschlossene Schränke oder Räume. »Datenmüll« wie Ausdrucke, die nicht mehr gebraucht werden, kommen erst in den Schredder und dann in Sicherheitscontainer.
Fazit: Die Mitarbeiter sind das größte Risiko
Für das Stopfen von Sicherheitslücken in Kreativagenturen braucht es keinen Fachmann. Oftmals sind es kleine Dinge, die wider besseres Wissen im Alltag vernachlässigt werden – wie etwa die Codesperre im Smartphone. Jede Agentur sollte deshalb das Thema Informationssicherheit ganz oben auf ihre Agenda setzen. Mit ein paar Handgriffen ist viel getan, und man riskiert weder Datenklau noch hohe Vertragsstrafen.
Bei allen Sicherheitsfaktoren gilt: Den meisten Mitarbeitern fehlt das Bewusstsein für das Thema Datensicherheit
Bei allen Sicherheitsfaktoren gilt: Den meisten Mitarbeitern fehlt das Bewusstsein für das Thema Datensicherheit. Sie öffnen E-Mail-Anhänge von unbekannten Absendern (Stichwort: Schadsoftware), rufen sensible Daten über Tische hinweg durch den Raum und gehen sorglos mit Passwörtern um. Diese werden gern in Kalendern oder Adressbüchern notiert, am Telefon buchstabiert – und nicht selten verwenden Mitarbeiter für alle Anwendungen (auch für die privaten) dasselbe Passwort, das sie nie ändern. Mitarbeiter brauchen deshalb klare Linien, an die es sich zu halten gilt – etwa Richtlinien, Vorgaben und dazu passende Schulungen, die ihnen das nötige Know-how vermitteln.
Regelmäßige Sicherheitsschulungen im Mitarbeiterkreis, die immer wieder die Achtsamkeit erhöhen, haben sich bewährt. Vieles kann man nicht oft genug sagen. Ab einer gewissen Agenturgröße empfiehlt es sich, einen Mitarbeiter zu benennen, der eine Fortbildung zum »Informationssicherheitsbeauftragten« macht und sich dann zentral um das Thema kümmert, regelmäßig Tipps gibt und Schulungen für Mitarbeiter anbietet. Steht ein Audit an, sollte zusätzlich Expertenhilfe in Anspruch genommen werden. Hier geht die Überprüfung noch einen Schritt weiter, und ein Fachmann nimmt alle technischen Sicherheitsvorkehrungen genauestens unter die Lupe.
Das Mini-ISMS hat bei vielen Audits, die wir begleitet haben, komplett ausgereicht
Was noch nicht oft vorkommt – aber in Zukunft zunehmen wird – ist, dass ein Kunde einen Auftrag nur an eine Kreativagentur vergibt, sofern diese ein ISO-27001-zertifiziertes Information Security Management System (ISMS) nachweisen kann. Das betrifft vor allem Kreativagenturen, die beispielsweise für Kunden aus dem Automotive-Bereich arbeiten. Da diese Forderung aber noch nicht so häufig gestellt wird, haben wir uns bei Solutionbar die Lösung des »Mini-ISMS« ausgedacht. Wie bei der Einführung eines »richtigen« ISMS geht es hierbei um die Erstellung von Richtlinien, um Sicherheitsschulungen und um Prozesse zur kontinuierlichen Verbesserung der Sicherheitsmaßnahmen.
Das Mini-ISMS hat bei vielen Audits, die wir begleitet haben, komplett ausgereicht – mit dem Vorteil, dass die Kosten bei nur etwa der Hälfte eines zertifizierten ISMS liegen. Sollte irgendwann dann eine richtige ISO-Zertifizierung erforderlich sein, kann auf das Mini-ISMS aufgebaut werden.
Marco Peters bringt gerne Ordnung in chaotische Strukturen – früher als Head of IT in einer der größten Kreativagenturen Deutschlands, heute als Gründer und geschäftsführender Gesellschafter in seinem Unternehmen Solutionbar in München.