Endpoint Security als Teil einer Compliance Strategie vor dem Hintergrund des Risikomanagements am Beispiel Devicelock

Aus Winfwiki

Wechseln zu: Navigation, Suche
Name des Autors: Christopher Sunico
Titel der Arbeit: "Endpoint Security als Teil einer Compliance Strategie vor dem Hintergrund des Risikomanagements am Beispiel Devicelock"
Hochschule und Studienort: FOM Neuss


Inhaltsverzeichnis


1 Abkürzungsverzeichnis

AbkürzungBedeutung
IT Informationstechnik (engl. information technology)
KonTraGGesetz zur Kontrolle und Transparenz im Unternehmensbereich
HGBHandelsgesetzbuch
AktGAktiengesetz
CobitControl Objectives for Information and Related Technology
MOFMicrosoft Operations Framework
ISOInternational Organization for Standardization
USBUniversal Serial Bus
CDCompact Disc
DVDDigital Versatile Disc
LDAPLightweight Directory Access Protocol
SQLStructured Query Language
WLANWireless Local Area Network
LPTLine Printing Terminal

2 Abbildungsverzeichnis

Abb.-Nr.Abbildung
1Säulen der IT-Compliance
2Wirkungskreislauf unter Cobit
3Hauptbedrohung der internen Sicherheit
4Funktionsaufbau von Devicelock
5Kanäle für den Verlust vertraulicher Daten

3 Tabellenverzeichnis

Tab.-Nr.Tabelle
1Beispiel Szenario Datenklau
2Kosten- / Nutzenrechnung

4 Einleitung

Die Bedeutung der Informationstechnologie für ein Unternehmen ist in der heutigen Zeit sehr hoch.[1] In vielen Fällen kann die IT die Position eines Unternehmens verbessern, aber auch das Image schlimmstenfalls verschlechtern. [2]

Bankkonten werden an Finanzbehörden übertragen, persönliche Daten von Millionen Bürgern sind Handelsware. Unerlaubte Nutzung und Zugriff auf personenbezogene Daten werden geradezu als Kavaliersdelikt betrachtet. Schlagzeilen, die man regelmäßig in den Medien findet. Dabei handelt es sich keineswegs um unerhebliche Ereignisse. Im Gegenteil. Unternehmen wie die Telekomtochter T-Mobile, der im Jahr 2006 17Millionen Kundendaten gestohlen wurde und auch in Großbritannien sind im Jahr 2007 unter anderem persönliche Daten von 25 Millionen Kindergeldempfängern abhanden gekommen.

Es werden gesetzliche und aufsichtsrechtliche Regelwerke oder auch freiwillige Vereinbarungen nicht eingehalten. Ein Verstoß gegen die Compliance, ein schlechtes oder nicht vorhandenes Risk Management und eine nicht vorhandene Endpoint Security mit teilweise gravierenden Folgen für die betroffenen Unternehmen sind erst der Anfang einer langen Liste von Konsequenzen: von Imageschädigungen, über Verlust von Kunden, bis hin zu strafrechtlichen Konsequenzen für die Verantwortlichen. Wer möchte schon Kunde einer Bank sein, die so sorglos mit den persönlichen Daten umgeht?

Die Qualität der IT-Systeme zeigt sich anhand der verarbeiteten und anvertrauten Daten. Mit dem richtigen Einsatz der IT können die gesetzlichen und unternehmensinternen definierten Regeln eingehalten und die Risiken unter Kontrolle gehalten werden.

In der folgenden Hausarbeit beschäftige ich mich mit der Endpoint Security in Zusammenhang mit der IT-Compliance und des Risk-Managements eines Unternehmen. Anhand dieser Ausarbeitung soll der Nutzen einer Endpoint Security, mit der Softwarelösung Devicelock, in den Unternehmen dargestellt werden und welche Bedeutung es mit sich bringt, sich an Regeln zu halten.

5 IT-Risikomanagement

Die Bedeutsamkeit des Risikomanagement nimmt vor dem Hintergrund fortschreitender Technisierung vermehrt zu. Stichworte, wie das papierlose Büro, machen deutlich, wie abhängig Unternehmen von ihren Daten sind. Deren Schutz rückt durch die Verschärfung von Gesetzen direkt in den Aufgabenbereich des Managements. Es kann z.B. bei einem Ausfall der IT passieren, dass mehrere Geschäftsprozesse nur noch mit geringer Effizienz oder schlimmstenfalls gar nicht mehr ausgeführt werden können. Um solche Zwischenfälle zu vermeiden, müssen die IT-Risiken beim Risikomanagement in Betracht gezogen werden. Aber was bedeutet der Begriff Risiko?

„Ein Risiko ist ein Ereignis, von dem nicht sicher bekannt ist, ob es eintreten und/oder in welcher Höhe es einen Schaden verursachen wird. Es lässt sich aber eine Wahrscheinlichkeit für den Eintritt dieses Ereignisses (Risikowahrscheinlichkeit) und/oder für die Höhe des Schadens (Schadenswahrscheinlichkeit) angeben.“[3]

Kurz gefasst, ist ein Risiko die Möglichkeit des Eintritts eines Schadens. Damit ist das Risiko ein Ereignis, bei dem man nicht mit genauer Wahrscheinlichkeit sagen kann, ob dieses überhaupt eintreten wird. Genau an dieser Stelle spielt das Risikomanagement eine elementare Rolle. Es bietet nicht nur die Chance auf die Risiken zu reagieren, sondern schon vorzeitig zu agieren. Es ist der geplante Umgang mit Risiken.

Das Risikomanagement wird dabei in zwei Bereichen unterteilt, nämlich sowohl das operative als auch das strategische. Langfristige Einwirkungen auf das Unternehmen, wie auch Grundsätze zur Behandlung von Risiken sind Bestandteil des strategischen Risikomanagements. Das Operative setzt sich dabei aus mehreren Komponenten zusammen: [4][5]


  • Identifizieren
  • Beurteilen
  • Steuern
  • Überwachen der Risiken


Das Erfassen, Bewerten und Managen von operativen Risiken ist ein wichtiger Aspekt in einem Unternehmen. Als Konsequenz müssen Maßnahmen durchgesetzt werden, die das operative Risiko kontrollierbar machen. Ein simples Beispiel dafür kann aus dem alltäglichen Leben gegriffen werden:

Beispiel: Wetter


  1. Identifizierung „Wird es heute regnen?“
  2. Beurteilung „Die Wahrscheinlichkeit könnte schon sehr hoch sein.“
  3. Steuern „Um trocken zu bleiben nehme ich ein Regenschirm mit.“
  4. Überwachen der Risiken „Ich beobachte den Himmel.“


Die Frage ist „Warum und Wofür machen wir Risikomanagement?". Es soll mit Hilfe des Antonyms Chance dargestellt werden. Mit jedem Projekt nimmt man für das operative Geschäft Chancen wahr, allerdings ist mit jeder Chance auch das Risiko verbunden. Gegensätzlich dazu ist mit jedem Risiko auch eine Chance verknüpft. Diese sollten nach Möglichkeit im Gleichgewicht zueinander stehen. Somit ist Risikomanagement auch stets Chancenmanagement.[6]

Problematisch war es im Fall der Datenschutz und -sicherheit, da dies bis dato stets an die Verantwortlichen der IT-Abteilungen delegiert wurde. Eine unmittelbare Berücksichtigung im Risikomanagement gab es ebenso wenig, wie eine Verpflichtung zur Offenlegung von Datenverlusten, sodass für die Geschäftsführung keine Regress-Gefahr drohte.

5.1 IT-Compliance

Abbildung 1: Säulen der IT-Compliance
Abbildung 1: Säulen der IT-Compliance

Die IT-Compliance umschreibt die Pflicht, die für das Unternehmen vertraglichen Regelungen und geltenden Gesetze einzuhalten. Dabei erweitert die IT-Governance die Compliance um die Bereiche des Controlling, Geschäftsprozesse und Management. Beide, sowohl die Compliance als auch die Governance, dienen der Risikovorbeugung und der Schadensabwehr im Unternehmen.

Ziffer 4.1.3 Deutscher Corporate Governance Kodex formuliert den Compliance wie folgt:[7]

„Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).“

Die Verpflichtung zur Risikofrüherkennung ist durch das KonTraG eingeführt worden. Ziel des KonTraG ist es, die Corporate Governance in deutschen Unternehmen zu verbessern. Es erweitert dabei die Vorschriften des HGB und des AktG. Hauptpunkt des KonTraG ist es, Unternehmensleitungen zu zwingen ein unternehmensweites Früherkennungsystem für Risiken einzuführen und zu betreiben. Aussagen zu Risiken und Risikostruktur des Unternehmens sollen im Lagebericht des Jahresabschlusses veröffentlicht werden.[8]

In §91 AktG Abs.2 heißt es:„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.

Abbildung 1. visualisiert einen Teilbereich der Compliance. Folgende Anforderungen in der IT-Landschaft sollten dafür erfüllt sein: Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. Dargestellt werden diese durch die Säulen: Content-Filter/Mail, Firewall/Antivirus, Backup/Restore, Endpoint Security, Organisation und Rechtliche Prüfung.

Die Einhaltung von Compliance-Vorschriften ist Sache der obersten Führungsebene, also in der Regel der Geschäftsführung oder des Vorstandes.

5.2 IT-Governance

Durch den Missbrauch von Daten in Unternehmen, wird das Thema Corporate Governance wieder stärker in der Öffentlichkeit diskutiert. Ein Bestandteil dieser ist die IT-Governance. Das Wort „Governance“ heißt übersetzt „Regieren“ oder „Steuern“. In Bezug auf das Unternehmen bedeutet es die Optimierung der Unternehmensführung und ihrer Kontrolle.

Angesichts der steigenden Bedeutung der Informationstechnologie ist eine enge Zusammenarbeit zwischen Unternehmensstrategie und IT-Strategie unerlässlich. Sie ist sozusagen eine notwendige Verfeinerung der Corporate Governance und somit der IT-Compliance.

IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und unterliegt somit der Verantwortung der Geschäftsführung und des Vorstands. Die Umsetzung der IT-Governance wird durch unterschiedliche Verfahren unterstützt (Cobit, MOF, ISO 20000, IT Infrastructure Library).

Ein weit verbreitetes Prozessmodell ist das von Cobit (Abbildung 2)[9]:

Abbildung 2: Wirkungskreislauf unter Cobit

Mit Hilfe des Prozessmodells wird ein Kontrollsystem eingeführt, das auch die Überprüfung auf Einhaltung und Vollständigkeit ermöglicht. So können die gesetzten Ziele immer wieder untersucht werden, bis diese gänzlich ohne Risiken erreicht werden.

Abbildung 3: Hauptbedrohung der internen Datensicherheit
Abbildung 3: Hauptbedrohung der internen Datensicherheit

Eine erhebliche Rolle bei der Definition der IT-Governance spielt schließlich das Thema Sicherheit. Neben der Optimierung der Geschäftsprozesse, ist die Minimierung der Risiken im IT-Bereich ihr wichtigstes Ziel. Immer mehr Unternehmen lassen sich von Firmen überprüfen, um einen Stand des Sicherheitsniveaus im Unternehmen zu erhalten. Hier stehen Datenschutz und Datensicherheit im Mittelpunkt der Analyse. Die Risiken von Datendiebstahl, Datenmissbrauch und Wirtschaftsspionage müssen verhindert werden, um die gesetzlichen Anforderungen an die IT-Sicherheit zu erfüllen.[10]

Der Schutz des Netzwerks gegen Angriffe von außen wird bereits seit Jahren intensiv betrieben. Aufgrund der neuen Forderungen und Vorschriften besteht die Notwendigkeit mehr Beachtung auf die interne Datensicherheit zu legen. Unter dem Stichwort Data Leakage Prevention und Data Loss Prevention werden Schutzmechanismen zusammengefasst, deren Hauptfunktion auf diesem Aspekt liegen. Die Ausgaben für IT-Governance steigen weltweit. Das hat der „IT-Governance Global Status Report 2008“ des IT-Governance Institute (ITGI) ergeben. Rund 34 Prozent der weltweit befragten Führungskräfte haben eine IT-Governance. 2005 waren es erst 19 Prozent. 20 Prozent wollen ganz darauf verzichten. Im Jahr 2005 waren es noch 36 Prozent, die diese Meinung vertraten und zwei Jahre zuvor 42 Prozent. [11]

Laut einer Studie von infowatch.com (Abbildung 3) ist die „Hauptbedrohung der internen Datensicherheit“ der Verlust von vertraulichen Daten. Ein Schritt gegen diesen Datenmissbrauch ist die Einführung einer Endpoint Security.

6 Endpoint Security

Endpoint Security ist eine wichtiger Bestandteil der IT-Governance und sollte in jedem Unternehmen vorhanden sein. Die weite Verbreitung von Smartphone, USB-Sticks und andere mobile Massenspeicher erhöhen das Risiko von Datendiebstahl und Datenverlust. 35% der IT-Mitarbeiter nutzen, laut der Cyber-Ark-Studie[12] „Trust, Security & Passwords“, ihre Rechte, um auf sensible Daten zuzugreifen. Die Zahl der gestohlenen Daten und Firmengeheimnisse haben sich in den letzten Jahren drastisch erhöht. Virenscanner, Firewall und Webfilter werden breits zum Schutz vor Angriffen verwendet. Nichtsdestotrotz werden unternehmensinterne Sicherungen häufig übersehen. Daten können über diverse Schnittstellen wie USB oder CD im großen Umfang kopiert, verkauft und verwendet werden und zusätzlich Viren in das System einschleusen. Da die Art der Angriffe sich ständig wandelt, bieten Abwehrmaßnahmen wie Virenscanner keinen ausreichenden Schutz. Unternehmen haben erkannt, dass sie den Schutz ihrer Endgeräte verbessern müssen, um wirklich alle Bereiche abzudecken. Um sicherzustellen, dass keine Schwachstellen ausgenutzt werden können, müssen die Unternehmen dafür sorgen, dass alle Endgeräte und -schnittstellen überwacht, gesperrt und kontrolliert werden. Diesen Endgeräteschutz bieten diverse Unternehmen an. Dabei werden diese unterteilt in Software- und Hardwarelösungen. Trotz dieser hohen Angebotsvielfalt, verwenden weniger als 20 Prozent Sicherheitslösungen zur Kontrolle dieser Geräte.[13]

6.1 Softwarelösungen

Mangelhafte Security an USB-Port, Firewire- oder Bluetoothschnittstellen sind hohe Risiken, die meist von Unternehmen nicht geschützt werden. Genau hier setzen effiziente Softwarelösungen an. Sie gewährleisten einen zuverlässigen Schutz vor Schädigungen im Unternehmen, wie den Datendiebstahl und die Netzwerkbeschädigung durch mobile Datenträger.

Viele Unternehmen nutzen in ihrer IT-Infrastruktur Passwortblockaden und Sicherheitseinschränkungen der Daten, um diese vor Datenraub zu schützen. Schnittstellen wie der USB-Port werden regelrecht vernachlässigt. So kann ein Benutzer nichts ahnend Daten von seiner Festplatte auf seinen Ipod kopieren. Eine Autostartdatei sorgt dafür, dass ein Batchprogramm im Hintergrund gestartet wird und dieser kopiert z.B. alle Daten mit den Endungen *.doc; *.xls; *.pdf auf den Speicher des IPods und schon sind Firmgeheimnisse aus dem Haus.

Unternehmen wie Symantec,GFI, Devicelock, McAfee, CoSoSys und andere bieten daher eine Endpoint-Security-Lösung zum umfassenden Schutz der Daten an. Durch die neuesten Ereignisse und Datenklauaffären wächst das Angebot der Softwarelösung stetig weiter.

Die Funktionen der Softwarelösung umfassen:[14]

  • Zentrales Gerätemanagement
  • Dateiprotokollierung
  • Datei Whitelist-Verfahren
  • Netzwerk-Offline-Modus
  • Umsetzung von Sicherheitsrichtlinien
  • Reports und Analysen
  • Zentrales Management
  • Verschlüsselung mobiler Daten

Eine der Hauptfunktionen der Softwarelösung ist, welche Peripheriegeräte an einen Computer angeschlossen werden können und wie diese Peripheriegeräte genutzt werden. Die Gerätekontrolle schützt Endgeräte vor Verbindungen mit USB-Laufwerken, Brenner und andere mobile Datenträger.

  • Verhindert effektiver, dass vertrauliche Daten aus Endgeräten herausgelesen oder gestohlen werden können.
  • Verhindert die Infizierung von Endgeräten durch Viren, die sich über Peripheriegeräte verbreiten.

6.2 Hardwarelösungen

Lösungen, wie einen Router für den Haushalt oder auch die Firewall im Unternehmen, sind nicht mehr aus der heutigen Zeit des Internets und Onlinebanking wegzudenken. Diese schützen das Unternehmen aber nur von außen. Als es nur die Disketten gab, konnte man mit Hilfe eines Diskettenschlosses den Datenklau verhindern. Nachteil ist, dass man jeweils nur den lokalen Arbeitsplatz gesichert hat. Wie das Diskettenschloss ist auch ein USB-Schloss verfügbar, welches jedoch genau die gleichen Defizite mit sich bringt. Man stelle sich nur vor, man müsse in einem Unternehmen mit tausend Rechnern solche Schlösser anbringen. Preislich wie auch praktisch sind Hardwarelösungen keine gute Endpoint Security, weshalb der Schwerpunkt bei der Sicherung einzelner Schnittstellen in der Softwarelösung liegt.

7 DeviceLock

DeviceLock, Inc. wurde 1996 gegründet. Mit über vierzig Mitarbeiter in den Niederlassungen,[15]

Abbildung 4: Funktionsaufbau von DeviceLock
Abbildung 4: Funktionsaufbau von DeviceLock
  • Moskau,Russland (HQ, R&D)
  • Ratingen, Deutschland (DeviceLock Europe GmbH)
  • San Ramon, USA (Vertriebsniederlassung)
  • London, UK (Vertriebsbüro) und
  • Mailand, Italien (Vertriebsbüro)


widmen sie sich den Klein- bis Großunternehmen. Ihr Produktportfolio umfasst integrierte Lösungen für das Netzwerkmanagement. Ihr Schwerpunkt liegt dabei auf Managementlösungen und Endpoint Security-Systeme.

Mit mehr als 58000 Kunden, läuft die Software auf Rechnern von kleinen Arztpraxen bis hin zu US Air Force.

7.1 Beschreibung

Das Produkt DeviceLock ist eine Endpoint Security-Software die ein Teil der IT-Compliance ist und anhand dessen soll die Notwendigkeit einer Endpoint Security aufgezeigt werden. Durch diverse Funktionen der Software genießen Systemadministratoren komfortable Einstellmöglichkeiten zur Sperrung von Schnittstellen. Die Software DL integriert sich dabei in das Windows Active Directory, was für den Benutzer zentrale Administration und Überwachung aller Rechner bedeutet. Es ist eine flexible Lösung um Sicherheitsrichtlinien durchzusetzen und auch Aktivitäten an den Schnittstellen von Computern zu kontrollieren. Datenaustausch wird dabei von der Software geloggt und gegebenenfalls als Schattenkopie angelegt. Eine grafische Darstellung eines Beispielaufbaus zeigt die Abbildung 4. von DeviceLock.

7.2 Funktionen & Vorteile

[16][17] Um zu verstehen wie die Software arbeitet müssen einige Funktionen beschrieben werden:

  • Zugriffskontrolle: Bei der Zugriffskontrolle kann der IT-Sicherheitsbeauftragte festlegen, welcher Benutzer oder welche Benutzergruppe Zugriff auf die Schnittstellen hat. Folgende Geräte können gesperrt und evtl. freigegeben werden: USB, Firewire, Infrarot, COM und LPT-Ports, WLAN- und Bluetoothadapter, Drucker usw. . Es besteht zudem die Möglichkeit den Zugriff nur auf einen bestimmten Zeitraum zu begrenzen oder statt einer Komplettsperrung „nur lesen“ zu dürfen.
  • Schutz des DeviceLock-Service: Es gibt Malware die Software manipulieren oder sogar ausschalten können. So besteht die Chance, dass Firewall und Virenscanner automatisch ausgeschaltet werden, wenn der Benutzer lokale Administrationsrechte besitzt. Der DeviceLock-Service kann nur von der zentralen Verwaltungsstelle deaktiviert werden und ist somit vor äußeren Eingriffen geschützt.
  • Group Police /Active Directory Integration: Eine Integration in das Windowsnetzwerk vereinfacht die Benutzung der Software, da alle Einstellungen über eine zentrale Konsole verändert werden können. So können Sicherheitsrichtlinien für Tausende mit einem „Klick“ gesetzt werden.
  • LDAP-Unterstützung: Rechner können aus dem LDAP-Katalogservice ausgewählt werden.
  • Content-Aware Rules: Mit dieser Funktion werden Dateitypen kontrolliert. Es besteht dann die Möglichkeit, Worddokumentzugriffe komplett zu sperren und zugleich dem User Powerpointpräsentationen zur Bearbeitung freizugeben. Durch die Content-Aware Rules wird dem IT-Sicherheitsbeauftragten ermöglicht flexibel zu handeln.
  • USB-Whitelist: Hiermit können nur bestimmte Gerätemodelle freigegeben werden. Das erlaubt, dass z.B. nur USB-Sticks vom Unternehmen zu benutzen, die beispielsweise durch eine Seriennummer gekennzeichnet sind.
  • Medien-Whitelist: Auch bei den CDs /DVDs gibt es die Möglichkeit anhand der Datensignatur nur bestimmte Medien für das Laufwerk zu sperren oder freizugeben.
  • Audit: Alle Benutzereingriffe auf Dateien können protokolliert werden.
  • Data Shadowing: Daten die verändert oder kopiert wurden, werden extern gesichert und auf eine SQL-Datenbank gespeichert.
  • Network-Awareness: Es können unterschiedliche Sicherheitsrichtlinien erstellt werden. Zum Einen Online-Sicherheits-Richtlinien und zum Andern Offline-Sicherheits-Richtlinien. Ein Benutzer mit einem Notebook kann, sobald er sich vom Netzwerk getrennt hat, andere Zugriffe erhalten. Das erhöht die Sicherheit und vermindert die Gefahr Viren von außen eindringen zu lassen.

Viele der Funktionen sorgen dafür, dass interne Daten geschützt werden. Selbst das Verändern einiger sensibler Dateien kann durch Backups wiederhergestellt werden.

7.3 Installation

Die Installation von DeviceLock läuft nur auf Microsoft Betriebssystemen. Dabei werden sowohl 32-Bit- als auch 64-Bit-Plattformen unterstützt. Die Endpoint Security setzt sich aus drei Teilen zusammen: dem Agenten, dem Server und der Managementkonsole.

  • Der Agent wird auf jedem Client installiert und ist somit das Herzstück von DeviceLock. Im Hintergrund laufend bietet es den Schutz gegen mobile Datenträger.[18]
  • Der Server speichert vorhandene Schattenkopien und Protokolle in einem MS SQL Server ab. Dabei besteht die Möglichkeit mehrere MS SQL Server in Betrieb zu nehmen, um die Auslastung zu verteilen.[19]
  • Die Managementkonsole verwaltet die Schnittstellensteuerung. Von hier aus hat der Systemadministrator die Möglichkeit das DeviceLock Service von der Ferne aus zu steuern.[20]

Nach der Installation der drei Komponenten muss DeviceLock für das Unternehmen dementsprechend konfiguriert werden.

7.4 Beispiel für signifikanten Datenverluste

Der bislang größte Datenklau in Deutschland erfolgte bei der Telekom. 17 Millionen Datensätze wurden im Jahr 2006 entwendet. Kundeninformationen wie auch Geheimnummern von Prominenten und Politikern waren in diesen Datensätzen vorhanden.

Abbildung 5: Kanäle für den Verlust vertraulicher Daten
Abbildung 5: Kanäle für den Verlust vertraulicher Daten

Ein Beispiel wie schnell 17Millionen Datensätze geklaut werden können zeigt diese Tabelle:

Anzahl der Datensätze: 17000000
Größe der Datensätze (z.B.): 1000 Byte
Größe der Datenbank: rd. 16-17 GB
Datenübertragungsrate USB 2.0: 60MB/sec
Theoretische Dauer des Kopiervorgangs: Unter 20min

Tabelle 1: Beispiel Szenario Datenklau


Laut einer Umfrage von Infowatch.com gehen Unternehmen davon aus, dass 50% aller Datenverluste durch das Mitführen mobiler Geräte entstehen. DeviceLock setzt bei diesem Problem an und versucht durch Schützen der Schnittstellen Datenklau zu verhindern.

7.5 Kosten- / Nutzenrechnung

Die folgende Aufstellung von Kosten und Nutzen skizziert, inwiefern der Einsatz einer EndPoint Security rentabel ist.

DeviceLock Rentabilitätsrechnung
Erfassungsbereich:
Wie viele Windows-PCs sollen mit DeviceLock geschützt werden? 300 PCs
Wie hoch setzen Sie den Wert der zu schützenden Daten an? 100.000,00 €
Wie hoch schätzen Sie die Wahrscheinlichkeit von Datenverlust ein? 25,0%
Wie hoch bewerten Sie den durch DeviceLock erbrachten Schutz? 80,0%

Hinweis: DeviceLock sichert bei korrekter Benutzung den

USB-Port Ihrer PCs zu 100%. Allgemeinen Umfragen zufolge

wird in 80% der Fälle der USB-Port als die Schnittstelle an-

gegeben, über die Daten widerrechtlich aus dem Unternehmen

entfernt werden.

Ergebnisbereich:
Zu berücksichtigender Wert des Risikos: 25.000,00 €
Wert des Risikos mit DeviceLock: 5.000,00 €
Anschaffungskosten für 300 Lizenzen DeviceLock: 3.630,00 €
Zu berücksichtigender Wert des Risikos mit DeviceLock: 8.630,00 €
Ersparnis im ersten Jahr: 16.370,00 €
Anschaffungskosten für 300 x Wartungsverlängerung DeviceLock: 909,00 €
Ersparnis in den Folgejahren: 19.091,00 €

Tabelle 2: Kosten- / Nutzenrechnung[21]

8 Fazit

In vielen Fällen kann IT die Wettbewerbsposition verbessern und einen wesentlichen Bestandteil zur Realisierung von Unternehmenszielen darstellen. Je größer ein Unternehmen ist, desto anspruchsvoller und komplexer gestaltet sich auch die IT. Durch die steigende Komplexität der Prozesse ist die Absenz der IT-Systeme unvorstellbar. Die IT-Governance regelt, dass die Unternehmensziele mit maximalem Einsatz der IT erreicht werden. Es zeigt sich im Verlauf der Hausarbeit, dass die IT-Governance eng mit der IT-Compliance verknüpft ist. Ebendiese bedeutet die Einhaltung von Gesetzen und Anforderungen. Eine weitere signifikante Rolle der IT-Compliance ist das Thema Sicherheit. Die meisten Unternehmen werden von außen durch Virenscanner oder Firewall geschützt. Unternehmensinterne Information sind hingegen in IT-Systemen oft unzureichend gesichert. Vorfälle wie die der Telekom zeigen, dass sich die Täter in den eigenen Reihen befinden. Die Arbeit der Mitarbeiter spiegelt sich am Erfolg der Firma wider, aber es birgt auch das größte Sicherheitsrisiko, sobald diese an sensible Daten kommen. Es ist infolgedessen notwendig Lese- und Schreibrechte für die User festzulegen. Abschließend ist zu ermitteln, wie relevant es ist Risiken zu reduzieren um größere Schäden zu verhindern. Dabei spielt die Endpoint Security als Bestandteil der IT-Compliance eine essentielle Rolle. Durch das zentrale Kontrollieren und Verwalten der Schnittstellen, ist es dem Systemadministrator möglich, Benutzer wie auch Benutzergruppen in ihren Lese-/und Schreibrechte einzuschränken.Vieles wäre der Telekom erspart gewesen wenn eine Endpoint Security im Einsatz gewesen wäre.

9 Fußnoten

  1. Vgl. Hofmann (2007), S.294
  2. Vgl. Seibold (2007), S.19
  3. Vgl. Arendts (2008), S.9
  4. Vgl. Witt (2006), S.125
  5. Vgl. Ahrendts (2008), S.14
  6. Vgl.Ahrendts 2008, S.10
  7. Vgl. DCGK
  8. Vgl. Wecker (2008) S.47 & S.122f
  9. Vgl. Wallmüller (2004), S.45ff
  10. Vgl.Fröhlich (2007), S.62f
  11. Vgl. ITGI
  12. Vgl. Cyber-Ark TSP
  13. Vgl. GFI
  14. Interview Armin Jost: Vergleich Exceltabelle div. Anbieter
  15. Vgl. DeviceLock
  16. Interview Armin Jost
  17. vgl. DeviceLock
  18. Vgl. Webinar
  19. Vgl. Webinar
  20. Vgl. Webinar
  21. Interview Mathias Knops

10 Literaturverzeichnis

Monographien
Ahrendts (2008)Ahrendts, Fabian / Marton, Anita: IT-Risikomanagement leben!, Springer Berlin 2008
Fröhlich (2007)Fröhlich, Martin / Glasner, Kurt: IT-Governance - Leitfaden für eine praxisgerechte Implementierung, Gabler 2007
Gaulke (2004)Gaulke, Markus: Risikomanagement in IT-Projekten, Aufl.2, Oldenbourg 2004
Hauschka (2007)Hauschka, Christoph E.: Corporate Compliance - Handbuch der Haftungsvermeidung im Unternehmen, C.H. Beck München 2007
Hofmann (2007)Hofman, Jürgen / Schmidt Werner: Kompaktkurs IT-Management, Vieweg+Teubner Verlag 2007
Lenges (2009)Lenges, Michael: Framework zum IT-Risikomanagement: Integriertes Betriebssicherheitsmanagement der Geschäftsprozesse und Datenverfügbarkeit, Books on Demand 2009
Paetzmann (2008)Paetzmann, Karsten: Corporate Governance, Springer-Verlag Berlin Heidelberg 2008
Prokein (2008)Prokein, Oliver: IT-Risikomanagement: Identifikation, Quantifizierung und wirtschaftliche Steuerung, Deutscher Universitätsverlag 2008
Seibold (2007)Seibold, Holger: IT-Risikomanagement,Oldenbourg 2006
Wallmüller (2004)Wallmüller, Ernest: Risikomanagement für IT- und Software-Projekte: Ein Leitfaden für die Umsetzung in der Praxis, Hanser Fachbuchverlag 2004
Wecker (2008)Wecker, Gregor / van Laak, Hendrik: Compliance in der Unternehmerpraxis, Gabler 2008
Witt (2006)Witt, Bernhard C.: IT-Sicherheit kompakt und verständlich, Vieweg+Teubner 2006
Internet-Quellen
Cyber-Ark Cyber-Ark: "The Global Recession and its Effect on Work Ethics", November 2008, http://www.storagesearch.com/cyber-art-art-12-2008.pdf, (01.12.2008)
Cyber-Ark TSP Cyber-Ark: 2009 Trust, Security & Passwords Survey Research Brief, http://www.cyber-ark.com/pdf/Cyber-Ark_Spring_2009_Snooping_Survey.pdf (10.06.2009)
DCGK Deutscher Corporate Governance Kodex: Deutscher Corporate Governance - Kodex, http://www.corporate-governance-code.de/ger/kodex/index.html (06.06.2008)
DeviceLock DeviceLock: Stoppen Sie permanente Gefahr von Datenverlust, http://www.devicelock.com/de/ (28.04.2009)
GFI GFI: Umfassende Steuerung des Einsatzes von iPods, USB-Laufwerken und anderen tragbaren Geräten, http://www.gfisoftware.de/de/endpointsecurity/, (14.07.2009 00:28)
ITGI ITGI: IT Governance Global Status Report—2008, http://www.isaca.org/template_ITGI.cfm?template=/ContentManagement/ContentDisplay.cfm&ContentID=40584 (2008)
Sicherheit.info Sicherheit.info: Zunahme des Datendiebstahl-Risikos, http://www.sicherheit.info/SI/cms.nsf/si.ArticlesByDocID/1105465?Open&Channel=SI-WI-RM&SessionID=9915402-232748 (25.06.2009)
Webinar DeviceLock: Webinar, http://www.devicelock.com/dl/demo/Contents.html (2009)
Interview-Quellen
Armin Jost Presales Engineer , Ratingen (08.06.2009 10:30Uhr)
Mathias Knops Business Development Manager, Ratingen (08.06.2009 11:15Uhr)
Von „http://winfwiki.wi-fom.de/index.php/Endpoint_Security_als_Teil_einer_Compliance_Strategie_vor_dem_Hintergrund_des_Risikomanagements_am_Beispiel_Devicelock
Persönliche Werkzeuge