Document Sanitization

Document Sanitization: So vermeiden Sie, dass Ihr Unternehmen negative Schlagzeilen macht

Wenn es um Datenpannen und den Erhalt unerwünschter Daten geht, ist menschliches Versagen für Unternehmen eines der größten Probleme. Zwar gibt es eine Reihe von Systemen, mit denen sich die Weitergabe vertraulicher Dateien an unautorisierte Personen vermeiden lässt. Was jedoch oft übersehen wird, sind die sensiblen Informationen, die sich in den Metadaten gängiger Dokumente und Dateien verstecken und die ebenfalls eine Datenpanne verursachen können.

Es wird leicht vergessen, dass die meisten digitalen Office-Dokumente automatisch erstellte sensible Daten enthalten, wie den Namen des Autors, den Revisionsverlauf, den Namen der Anwendungssoftware sowie die Versionsnummer. Dies sind so genannte Metadaten, und sie können peinliche Situationen nach sich ziehen, wenn sie an Empfänger außerhalb des Unternehmens weitergegeben werden. Unternehmen muss bewusst sein, wie schädlich Metadaten sein können und wie sie Datenpannen verursachen können.

Nehmen wir folgendes Beispiel: Im Unternehmen wird ein Geschäftsangebot erstellt. Dazu wird ein vorhandenes Dokument kopiert und an die neue Situation angepasst. Anschließend wird das Angebot an den Empfänger verschickt. Wenn nun das Dokument vor dem Verschicken nicht bereinigt wird und somit der Revisionsverlauf vorhanden bleibt, sieht der Empfänger, wer alles an dem Angebot gearbeitet hat. Zudem kann er etwaige Änderungen sehen, wie den Umfang des Projekts und das Budget.

Im harmlosesten Fall kann das peinlich werden, doch es gibt auch eine finstere Seite, nämlich dann, wenn Metadaten in die falschen Hände gelangen. Für Cyberkriminelle sind Metadaten nämlich ungeheuer wertvoll. Ein Hacker, der weiß, welche Softwareversion verwendet wird, kann einen Angriff vorbereiten, der auf die bekannten Schwachstellen in dieser Software abzielt. Kennt er den Autor und dessen E-Mail-Adresse, kann er eine Phishing-E-Mail mit schädlichem Anhang verfassen. Wie jedoch geraten Dokumente in die falschen Hände? Der einfachste Weg ist über das Internet, also wenn Metadaten in Dateien auf der Firmenwebsite abgegriffen werden.

Warum jetzt?

Die Gewissheit, dass vertrauliche Daten das Unternehmen nicht verlassen, oder besser: keine unautorisierten Empfänger erreichen können, ist im Angesicht der bevorstehenden Einführung der DSGVO besonders relevant. Gute Information Governance bedeutet in jedem Fall einen Wettbewerbsvorteil. Im Zuge der DSGVO können jedoch auch bestimmte Anträge gestellt werden, auf ein Unternehmen vorbereitet sein muss. Der lästigste davon betrifft das so genannte Recht auf Vergessenwerden.

Ab dem 25. Mai 2018 können Privatpersonen (einschließlich Kunden) verlangen, dass all ihre Daten gelöscht werden. Dafür ist es nötig, alle persönlichen Daten in Ihrem Netzwerk und auf Ihren Systemen zu finden und ggf. zu löschen. Informationen verbreiten sich rasant weiter, daher ist es wichtig, sie aufzufinden und dann zu entscheiden, ob sie auf effiziente Weise entfernt werden können. Diese Aufgabe endet jedoch nicht notwendigerweise an der Peripherie des Unternehmens. Sie kann auch Dritte betreffen, an die Sie die Daten weitergegeben haben. Oder umgekehrt.

Der Empfang unerwünschter (oder unzulässiger) Daten kann genau so viele Probleme bereiten wie eine Datenpanne. Dies gilt besonders für die Bearbeitung von Anträgen auf Datenlöschung. Daten, die Sie nicht erhalten haben, müssen Sie auch nicht suchen und löschen. Hier ein Beispiel: Es wurde eine Tabellenkalkulation verschickt, doch der Absender wusste nicht, dass sie versteckte Spalten mit sensiblen Informationen enthielt, die hätten entfernt werden müssen. Solch unerwünschter/unbeabsichtigter Empfang von Daten macht es dem Unternehmen noch schwerer, sensible Daten zu finden und zu entfernen, um einem Antrag zur Datenlöschung oder der DSGVO allgemein nachzukommen.

Wie unser kürzlich erschienener Bericht „Die DSGVO-Lücke zwischen dem Vorstand und der mittleren Führungsebene“ enthüllt, glauben fast die Hälfte der befragten Vorstandsmitglieder, dass sie über duplizierte Kundendaten verfügen, z. B. durch das Kopieren von Berichten auf mehrere Systeme. Das verdeutlicht, dass es für Unternehmen zunehmend schwierig ist, sich auf manuelle Prozesse (Inspizieren und Löschen) zu verlassen.

Da Mitarbeiter schon jetzt unsicher sind, ob sie in der Lage sein werden, Anträgen auf Datenlöschung nachzukommen, und nur ein Drittel der Vorgesetzten der Ansicht war, das Unternehmen könne mehrere Anträge gleichzeitig bearbeiten, müssen Unternehmen schnell handeln. Es gibt zwei Aspekte, die sich durch Technologie abdecken lassen: 1. Vermeidung unerwünschter Daten, indem unzulässige Informationen durch Bereinigung und Redaktion an der Peripherie entfernt werden, bevor sie in das Netzwerk gelangen. 2. Auffinden von Daten mittels einer Lösung, die das Netzwerk automatisch nach unstrukturierten Daten wie Berichten durchsucht und diese dann auf Anfrage verschiebt oder entfernt.

Dieselbe Technologie, die den Empfang unautorisierter Daten verhindert, kann auch zur Vermeidung von Datenverlust eingesetzt werden, und zwar ohne Beeinträchtigung der Zusammenarbeit. So werden sowohl das Unternehmen als auch seine Partner geschützt.

Unser Whitepaper enthüllt zudem, dass nur 17 % der Angestellten eine versehentlich von einer anderen Firma erhaltene E-Mail löschen würden. Noch weniger würden den Absender informieren, obwohl die E-Mail sensible Daten enthält. Dies erhöht die Wahrscheinlichkeit, dass Kundendaten aufgrund von unerwünschtem Datenerhalt dupliziert wurden, ohne dass sich der Absender bewusst war. Zur Gewährleistung der DSGVO-Konformität ist es unerlässlich, das Problem anzupacken und sicherzustellen, das Kundendaten nicht weitergegeben werden, egal ob versehentlich oder absichtlich.

Zuverlässige Sicherheit

Um nicht länger von manuellen Benutzerprozessen abhängig zu sein, sind unternehmensweite Systeme erforderlich, die automatisch merken, wenn sensible Daten über die Peripherie des Unternehmens hinaus verschickt oder empfangen werden. Systeme, die das gesamte Netzwerk zuverlässig und automatisch schützen, ohne die Geschäftsprozesse zu beeinträchtigen.

Bei der Document Sanitization  von Clearswift werden gängige Dateiformate automatisch von sensiblen Daten bereinigt, um versehentliche Datenpannen zu vermeiden:

  • Ausstehende Revisionsdaten werden entfernt.
  • Verlauf und Schnellspeicherdaten, die peinliche vertrauliche Informationen enthalten können, werden gelöscht.
  • Dokumenteigenschaften, wie „Autor“, „Unternehmen“ und „Status“, werden komplett entfernt.
  • Koordinaten und andere Metadaten in Fotos werden entfernt.
  • Granulare Einstellungen sorgen dafür, dass bestimmte Eigenschaften wie Klassifizierungsdaten beibehalten werden.

Automatisierung stellt sicher, dass die Richtlinien konsequent angewendet werden. Dank Document Sanitization können Benutzer getrost Dokumente und Dateien verschicken (sowohl innerhalb als auch außerhalb des Unternehmens), ohne eine Datenpanne oder einen Richtlinienverstoß zu verursachen.

Document Sanitization ist eine Komponente der einzigartigen Adaptive Redaction -Technologie von Clearswift und ist im Rahmen von SECURE Email  und Web Gateway von Clearswift erhältlich. Sie kann auch zur Verstärkung vorhandener E-Mail- und Internetprodukte von Drittanbietern eingesetzt werden.

Falls Sie weitere Fragen haben, nehmen Sie gerne Kontakt mit uns auf.