Wie zurückgelassene Dateien ehemaliger Mitarbeiter schädigen können
Verwaiste Daten bzw. zurückgelassene Dateien, im Englischen „Orphaned Data“, sind Daten, die innerhalb eines Unternehmens keinen Owner haben. Beispielsweise, weil die für die Erstellung und Speicherung der Daten verantwortliche Person das Unternehmen verlassen hat, ohne das Eigentum oder das Wissen über die Daten an eine andere Person oder Abteilung zu übertragen. Solche „verwaiste Daten“ können für Organisationen zahlreiche Probleme darstellen.
Wie sammeln sich Orphaned Data an?
Angestellte in modernen Büroumgebungen produzieren während der Arbeit naturgemäß Daten, wie etwa E-Mails, Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen oder Datenbanken. Je nach Branche und Funktion sind die Menge und die Art der erzeugten Daten unterschiedlich. Die absolute Mehrheit dieser von Menschenhand erzeugten unstrukturierten Daten sind weitgehend harmlos. Der Nutzen dieser Daten für das Unternehmen ist im Allgemeinen jedoch eher gering.
Auch harmlos, wenn auch lästig, sind private Daten, die Mitarbeiter auf ihren Geräten und in Folge auf der Speicherinfrastruktur hinterlassen. Speichert ein Mitarbeiter beispielsweise seine Urlaubsfotos auf dem Dienstcomputer, so ist dies auf den ersten Blick kein großes Problem – der Rechner wird nach dem Ende des Arbeitsverhältnisses ohnehin meist neu formatiert. Doch Unternehmen fertigen von allen Daten Backups an, meist nach dem 3-2-1-Prinzip. Das bedeutet, dass die private Urlaubsfotosammlung nicht nur auf dem Rechner des ehemaligen Mitarbeiters gespeichert ist, sondern wahrscheinlich auch auf dem Backupspeicher und dem zweiten Air-Gap- oder Cloud-Backup-Speicher. Und dort können die Daten deutlich schwieriger als nutzlos identifiziert und gelöscht werden.
Zurückgelassene Dateien
Neben diesen lästigen und Speicher belegenden harmlosen Daten, gibt es auch Orphaned Data der gefährlichen Art: Denn viele Mitarbeiter, die ihre Geräte auch für private Zwecke nutzen, speichern oft zahlreiche Daten auf ihre Rechner, die dort nicht hingehören. Dazu können urheberrechtlich geschützte Dateien wie Videos, Filme, Serien, Musik, Bilder und Softwares zählen, oder auch Torrents, die zum Download von Dateien genutzt werden. Oft wurden diese Dateien aus irgendeiner Quelle aus dem Internet lokal auf den Rechner heruntergeladen. Solche zurückgelassenen Dateien können hohe Risiken bergen, beispielsweise durch die Verbreitung von Viren und Malware. Oder schlicht, weil sie illegal kopiert wurden und innerhalb der Infrastruktur eines Unternehmens gespeichert sind. Im schlimmsten Fall kann es sich um tatsächliche „illegale Daten“ handeln, deren alleiniger Besitz strafbar ist. Auch können sich auf Rechnern ehemaliger Mitarbeiter sensible oder vertrauliche Informationen befinden, die aus Compliance-Gründen nicht mehr gespeichert werden dürfen.
Doch egal ob harmlos, mehr oder weniger gefährlich oder gar illegal, alle Arten von Orphaned Data können zahlreiche Risiken bergen:
- Operative Risiken: Zurückgelassene Dateien können für Unternehmen auf der operativen Ebene eine enorme finanzielle Belastung darstellen. Sie belegen teuren Speicherplatz und müssen aktiv und kontinuierlich verwaltet werden. Sie belasten die IT-Infrastruktur unnötig und mindern dadurch die Systemleistung. Auch führen die unnötigen Daten zu längeren Backup-Intervallen. Die Kosten für die Speicherung und Pflege dieser Daten können sich schnell aufsummieren, insbesondere wenn eine große Menge Mitarbeiter in einer Organisation arbeitet, und diese eine hohe Fluktuation aufweist.
- Sicherheitsrisiken: Wenn zurückgelassene Dateien sensible oder vertrauliche Informationen enthalten, können sie eine Goldgrube für Cyberkriminelle sein. Geraten die Informationen in die falschen Hände, kann dies verheerende Folgen haben, wie Identitätsdiebstahl, Finanzbetrug oder Unternehmensspionage. Auch können von Mitarbeitern illegal heruntergeladene Dateien Malware in die IT-Infrastruktur einschleusen, die nur darauf wartet, aktiviert zu werden.
- Compliance-Risiken: Wenn ein Unternehmen verwaiste Daten nicht ordnungsgemäß verwaltet, können sich diese im Laufe der Zeit ansammeln und zur Nichteinhaltung von Vorschriften wie DSGVO, SOX, HIPAA und FISMA führen. Die Nichteinhaltung von Branchenvorschriften kann für Unternehmen ein Albtraumszenario sein. Die potenziellen rechtlichen und finanziellen Strafen können ruinös sein und zu hohen Geldstrafen, Gerichtsverfahren und sogar zur Schließung des Unternehmens führen.
- Reputationsrisiken: Der Verlust sensibler oder vertraulicher Daten aufgrund von Nachlässigkeiten bei der Datenverwaltung ist für viele Unternehmen ein weiteres Schreckensszenario. Dies könnte ein fataler Schlag für den Ruf des Unternehmens und das Vertrauen der Kunden sein. Der Schaden, der durch einen solchen Vorfall entsteht, kann unermesslich sein, und es kann Jahre dauern, bis man sich von dem Verlust des Vertrauens und der Loyalität der Kunden erholt hat. Ganz zu schweigen von den Kosten, die durch mögliche Klagen und Vergleiche entstehen.
Die Einführung von Richtlinien und Verfahren zur Datenverwaltung
Offenbar belegen zurückgelassene Dateien nicht nur unnütz Speicherplatz, sie können Unternehmen auf zahlreiche Art und Weise schädigen. Es ist für Unternehmen also von großem Interesse, das Problem verwaister Daten dauerhaft zu lösen. Dies bedeutet in der Theorie, bestehende verwaiste Daten entweder wieder einem neuen Owner zuzuordnen oder sie zu löschen, wenn nicht mehr benötigt werden. Was einfach klingt, kann in der Praxis unendlich schwieriger sein.
Denn ein Unternehmen, das unbekannte Mengen verwaister Daten hat, hat offenbar keine festgelegten Richtlinien für die Erstellung und Speicherung von Daten – und sehr wahrscheinlich auch keine technische Lösung, um verwaiste Daten zu identifizieren und zu löschen. Um sicherzustellen, dass alle Daten ordnungsgemäß dokumentiert, gespeichert und gepflegt werden, müssen Unternehmen zuerst einmal Richtlinien und Verfahren zur Datenverwaltung einführen. Dies kann die Durchführung regelmäßiger Datenaudits, die Zuweisung klarer Eigentumsrechte und Verantwortlichkeiten für Daten sowie die Festlegung von Richtlinien für die Erstellung und Speicherung von Daten beinhalten.
Herstellerunabhängige Lösungen für die Verwaltung zurückgelassener Dateien
Dies gelingt am einfachsten mit einer herstellerunabhängigen Lösung für die Verwaltung unstrukturierter Daten. Die Lösung muss herstellerunabhängig sein, damit sie alle auf zahlreichen unterschiedlichen Datenspeichern abgelegten Daten zugreifen kann. Mitgelieferte proprietäre Lösungen für das Datenmanagement von Speicherherstellern tun sich schwer damit, Daten auf Speichern anderer Hersteller zu verwalten.
Darüber hinaus ist die Verwaltung aller unstrukturierter Daten deutlich einfacher, wenn man dies aus nur einer einzigen Lösung und Oberfläche tun kann. Solche Lösungen ermöglichen es, verwaiste Daten zu identifizieren und zu verwalten, indem sie Einblick in unstrukturierte Daten gewährt, die im gesamten Unternehmensbestand gespeichert sind. Durch den Vergleich der Liste der aktuellen Mitarbeiter mit den Daten, die sich auf dem Speicher befinden, können so alle Daten identifiziert werden, die keinen eindeutigen Eigentümer haben. Anschließend können aus der Lösung selbst Maßnahmen ergriffen werden. Dies kann unter anderem das Löschen, die Übertragung des Eigentums oder die Verlagerung in eine geeignetere Umgebung umfassen.
Fazit: Aktives Datenmanagement reduziert das Risiko
Unter dem Strich ist es keine Option, die Risiken zurückgelassener Dateien einfach zu ignorieren. Wenn man keine Maßnahmen zur effektiven Verwaltung von Daten ergreift, können die Sicherheit, der Ruf und die finanzielle Stabilität des Unternehmens auf dem Spiel stehen. Um alle Daten ordnungsgemäß zu dokumentieren, zu speichern und zu verwalten, müssen Unternehmen Richtlinien und Verfahren zur Datenverwaltung einführen und diese mit der Nutzung einer geeigneten Lösung für das Management unstrukturierter Daten umsetzen. So wird das Risiko verwaister Daten erheblich reduziert.