Was muss eine DLP-Lösung leisten?

Von Michael Rudrich

Die richtige Lösung zur Data-Leak-Prevention (DLP) sollte nicht nur einen umfassenden Schutz vor Datenlecks bieten, sondern auch leicht einzurichten sein.

Der Schutz von Daten hat heutzutage in Unternehmen absolute Priorität. Datenskandale in der Vergangenheit haben gezeigt, dass selbst große Firmen nicht vor Hackerangriffen gefeit sind. Der finanzielle Schaden ist enorm, wenn Kreditkarteninformationen oder Adressen der Kunden in falsche Hände geraten – vom Vertrauensverlust einmal abgesehen, den Unternehmen dadurch erleiden.

Oftmals ist der Angreifer jedoch gar nicht mal ein Hacker, der irgendwo im stillen Kämmerlein sitzt. Auch im Unternehmen selbst gibt es schwarze Schafe, die entweder aus Unachtsamkeit oder Böswilligkeit unerlaubt Daten weitergeben. Sitzt der Feind im Inneren, sind gängige Schutzprogramme wie Virenscanner und Firewalls meistens wirkungslos. Unternehmen müssen deshalb besonderen Wert darauf legen, ihre Daten umfassend zu schützen. Für diesen Zweck stehen so genannte Data-Leak-Prevention-Lösungen, kurz „DLP“ zur Verfügung, die Web-Sicherheit, Überwachung aller Nachrichten und Datenschutz vereinen.

Schutz vor Datenlecks, wo immer es möglich ist

Eine wirksame DLP-Lösung muss die nicht-autorisierte Weitergabe vertraulicher Daten, zum Beispiel unternehmensinterne Informationen wie Verkaufsdokumente in E-Mails, erkennen und verhindern. Dazu werden die Daten mit einem „digitalen Fingerabdruck“ versehen und gegebenenfalls auch verschlüsselt. Nur autorisierte Empfänger können dann mithilfe des notwendigen Schlüssels die Daten auslesen und darauf zugreifen. Wichtig ist in diesem Zusammenhang die Frage, wer über sensible Daten verfügen darf und wohin sie überhaupt geschickt werden dürfen. So sollte zum Beispiel sichergestellt sein, dass die Unternehmensbilanz nur von einem ausgewählten Personenkreis verschickt werden darf und auch nur bestimmte Empfänger erreichen kann. Die DLP-Lösung sollte zudem Missbrauchsfälle erkennen: Wenn beispielsweise eine unbefugte Person aus einem Verkaufsdokument wichtige Daten per Copy&Paste extrahieren möchte, sollte hierfür eine Sperre im System installiert sein. Das gleiche gilt für jegliche Formen von Datenträgern oder USB-Sticks, auf die Daten kopiert werden können.

Eine DLP-Lösung sollte aber nicht nur zuverlässig arbeiten, sondern auch leicht umzusetzen und zu verwalten sein. Viele aktuelle DLP-Lösungen stammen leider noch aus einer frühen Technologiephase und lassen aktuelle Features vermissen: So ist die Anzahl der irrtümlich als Datenleck klassifizierten Vorfälle („false-positives“) in diesen Lösungen noch sehr hoch, die Einrichtung anhand schwierig zu bedienender Fenster umständlich und das Störfall-Management sehr aufwändig.

Einheitliche Sicherheits-Standards für alle Geräte

Bei einer DLP-Lösung ist es entscheidend, dass sie eine allumfassende Sicherheit bietet, selbst wenn der Mitarbeiter nicht am Arbeitsplatz sitzt oder einfach mobil arbeiten möchte. Wenn der Außendienst-Mitarbeiter zum Beispiel im Home Office beschäftigt ist und von zuhause auf das Firmennetzwerk zugreifen möchte, sollten die Daten genauso geschützt sein, als ob er sich im Unternehmen befände. Dasselbe gilt, wenn er mit seinem Smartphone am Flughafen wichtige E-Mails empfängt oder versendet.

Im Zuge des jüngsten Trends Consumerization verwenden auch immer mehr Mitarbeiter privat genutzte Geräte wie etwa Notebooks in Unternehmen. Auch hier gilt: Diese müssen denselben Sicherheitsbestimmungen wie das IT-Inventar im Büro unterliegen. Die ideale Sicherheitslösung muss also alle unternehmenskritischen Daten schützen, unabhängig davon, wo sich der Nutzer befindet und welche Geräte er verwendet. Das gilt übrigens auch bei lokaler Nutzung, wenn keine Verbindung zum Unternehmensnetz besteht.

Korrekte Erkennung des Empfängers

Eine wichtige Eigenschaft der DLP-Lösung ist auch eine genaue Einstufung des Empfängers. Die Klassifizierung des Empfängers ist der Schlüssel, um den Verlust sensibler Daten mit einem Minimum an false-positives zu verhindern. Eine zu hohe Zahl fälschlich klassifizierter Datenlecks kann für Verdruss sorgen, wenn der Empfänger von Daten eigentlich vertrauenswürdig ist, jedoch vom System als nicht autorisiert erkannt wird. Die DLP-Lösung sollte deshalb so intelligent sein, um die Vertrauenswürdigkeit richtig einschätzen zu können.

Die DLP-Lösung sollte auch das Kommunikationsmedium richtig einstufen können: Zum Beispiel repräsentiert das Senden von vertraulichen Daten über einen Mail-Account eine kleinere Gefahr als dieselben Daten an eine Social-Networking-Site zu schicken. Eine DLP-Lösung sollte daher nicht nur Datenverluste verhindern können, sondern auch potenzielle Datenverluste via Web rechtzeitig erkennen und den Nutzer gegebenenfalls darauf hinweisen. Das verhindert wiederum den Verwaltungsaufwand, was sich wiederum in signifikanten Kosteneinsparungen für das Unternehmen äußert.

false-positive-Raten überprüfen

Eine möglichst geringe Zahl von fälschlich erkannten Datenlecks ist zwar eine wichtige Kenngröße für die Effektivität einer Datenschutzlösung, viele Anbieter von DLP-Lösungen geben aber absichtlich eine niedrigere Rate an, als es das System in Wirklichkeit liefern kann. Es ist daher empfehlenswert, diese Angaben in der Praxis zu überprüfen. Wenn die Rate der false-positives schon nach einem ersten Test zu wünschen übrig lässt, sollte von der DLP-Lösung Abstand genommen werden. Eine moderne DLP-Lösung ist darüber hinaus in der Lage, verschiedene Erkennungsmuster zu bieten. Aktuelle Technologien gehen dabei über eine simple Texterkennung hinaus und nutzen eine voll ausgestattete script-basierte Erkennung von Inhalten, die zusätzlich durch eine einfache Mustererkennung ergänzt wird.

Eine einfache Konfiguration ist Pflicht

Um die Komplexizität so gering wie möglich zu halten, sollte im Idealfall eine DLP-Komplettlösung verwendet werden, die auf einer einheitlichen Architektur basiert. Das macht sich auch an niedrigeren Kosten für die IT bemerkbar, denn dann reicht in der Regel ein einziger Server oder eine einzige Appliance aus, die nur im Bedarfsfall erweitert werden muss. Lösungen, die aus einer Vielzahl von Einzelprodukten bestehen, benötigen auch immer mehrere Geräte, verbrauchen mehr Platz, sind schwieriger zu implementieren und erfordern einen höheren Administrationsaufwand. Letzteres ist gerade für kleinere Unternehmen schwierig bereitzustellen, da diese im Regelfall nur über begrenzte finanzielle Ressourcen verfügen.

Eine gut durchdachte DLP-Lösung sollte auch skalierbar sein und sich problemlos an die unterschiedlichen Anforderungen eines Unternehmens anpassen lassen. Dazu gehören auch Vorschriften für den Datenschutz, die je nach Benutzerprofil verändert werden können. So sollte ein Außendienst-Mitarbeiter zum Beispiel andere Rechte zum Versenden von wichtigen Verkaufsdokumenten besitzen als der Chef des Unternehmens. Unausgereifte DLP-Lösungen zeigen gerade bei der individuellen Konfiguration der Mitarbeiter-Profile ihre Schwächen: Sie sind meistens aufwändiger einzurichten und benötigen zahllose Konfigurationsschritte. Das treibt wiederum die Administrationskosten in die Höhe und leistet manuellen Fehlern Vorschub. Bei einem ausgereiften Produkt wird die gesamte Verwaltung und Konfiguration hingegen über eine einheitliche grafische Oberfläche erledigt.

Eine gute Lösung sollte auch eine umfangreiche Ausstattung an sofort einsatzfähigen Sicherheitsrichtlinien enthalten. Das ermöglicht Unternehmen einen schnellen Einstieg und eine effiziente Administration. Da jedes Unternehmen unterschiedliche schützenswerte Daten besitzt, werden spezielle kundenspezifische Nutzerprofile benötigt. Die DLP-Lösung sollte beim Erstellen und Testen dieser Profile behilflich sein.

Im Idealfall sollte eine DLP-Lösung eine allumfassende Sicherheit bei der Erkennung von Datenlecks bieten. Ein wichtiger Faktor ist zunächst die Kenntnis, wo im Unternehmen sensible Daten einem Risiko ausgesetzt werden und auf welchen Wegen sie das Unternehmen verlassen. Dann gilt es, die fahrlässige Weitergabe und den Diebstahl unternehmenskritischer Daten über alle Kommunikationswege wirksam zu verhindern.

  • Michael Rudrich, Regional Director DACH bei Websense

 

 

 

 

 

 

 

Abbildung 1               (data leak.jpg)

Mit einer Data-Leak-Prevention-Lösung wird verhindert, dass Daten unbemerkt den Rechner verlassen können.

 

 

 

 

 

 

 

 

Abbildung 2               (Digitaler Fingerabdruck.jpg)

Anhand eines digitalen Fingerabdrucks können Daten eindeutig zugeordnet und eine unbefugte Weitergabe gestoppt werden.