Die Bedrohungen für sensible Unternehmensdaten wachsen ständig an. Mit gestohlenem geistigen Eigentum oder durch das Erlangen von Insider-Wissen lässt sich sehr viel Geld verdienen. Gleichzeitig werden Unternehmen durch die zunehmende Mobilität und die Verbreitung des Cloud Computing immer verwundbarer. Notebooks, Tablets und Smartphones bieten ebenso eine vergrößerte Angriffsfläche wie die zunehmende Online-Speicherung von Informationen. Hinter einem Datenverlust muss aber gar nicht immer böse Absicht stecken. Oft genügt die bloße Unachtsamkeit eines Mitarbeiters, etwa beim Versenden einer E-Mail, und schon gelangen vertrauliche Informationen in falsche Hände.
Data-Loss-Prevention-Lösungen (DLP) bieten Schutz vor ungewolltem Datenabfluss. Sie ermöglichen es beispielsweise, vertrauliche Dokumente mit einem digitalen Fingerabdruck zu versehen und gegebenenfalls zu verschlüsseln. Nur autorisierte Empfänger können dann mithilfe des Schlüssels die Informationen einsehen. Anhand von Richtlinien lässt sich außerdem genau festlegen, welche Informationen von welchem Absender an welchen Empfänger geschickt werden dürfen. Bei Verstößen blockiert das DLP-System den Versand.
Daten für sich selbst sprechen lassen
Wollen Sicherheitsverantwortliche eine DLP-Lösung einführen, warten aber einige Stolpersteine auf sie. So muss zunächst einmal das Management von der Notwendigkeit eines entsprechenden Projekts überzeugt werden. Um den wirtschaftlichen Führungskräften im Unternehmen seinen Nutzen klar zu machen, reicht es aber meist, die Daten für sich selbst sprechen zu lassen. Wird den Managern aufgezeigt, welche Folgen der Verlust etwa von Kundendaten, Konstruktionszeichnungen oder eines Geschäftsberichts hätte, und wie schnell bei den üblichen Arbeitsabläufen ein folgenschwerer Fehler passieren könnte, ist die Überzeugungsarbeit in aller Regel schon geleistet.
Die Grundlage für eine wirksame Data Loss Prevention ist die Klassifizierung der Unternehmens-Informationen. Um möglichst schnell Erfolge vorweisen zu können, sollten Sicherheits-Verantwortliche sich hierbei zunächst auf die wichtigsten Daten fokussieren, wie geistiges Eigentum eines Unternehmens, Kundendaten oder Bankverbindungen. Eine Möglichkeit ist, gemeinsam mit den „Information-Ownern“, also etwa den Leitern der Fachabteilungen, durchzugehen, welche Daten für ihre Abteilung besonders wichtig sind, und diese dann in verschiedene Dringlichkeits-Klassen einzuteilen. Denkbar wären dabei beispielsweise folgende Kategorien: Daten, die den Bestand des Unternehmens gefährden, wenn sie es ungewollt verlassen würden; Daten, die dem Unternehmen in diesem Fall Schaden zufügen würden; und Daten, bei denen es lediglich unangenehm wäre, sie zu verlieren.
Daten periodisch identifizieren und kennzeichnen
Geeignete DLP-Lösungen können dabei helfen, herauszufinden, wo im Unternehmens-Netzwerk diese kritischen Informationen gespeichert sind. Da sich die Daten und ihre Aufenthaltsorte ständig ändern, sollte das DLP-System in der Lage sein, sie in periodischen Abständen zu identifizieren und zu kennzeichnen. Ein weiterer wichtiger Aspekt, auf den Sicherheits-Verantwortliche bei der Auswahl einer DLP-Lösung Wert legen sollten, sind ihre forensischen Analyse-Möglichkeiten. Lässt sich mit der Lösung der Datenfluss überwachen, kann er im Fall der Fälle nachverfolgt werden. Nicht zuletzt sollten die Unternehmen natürlich außerdem eine Lösung wählen, die sich einfach einführen und mit möglichst wenig Aufwand verwalten lässt.
„Selbst große Firmen sind nicht vor Diebstahl oder Verlust ihrer sensibelsten Daten gefeit, das haben in der Vergangenheit zahlreiche spektakuläre Fälle deutlich gezeigt“, sagt Michael Rudrich, Regional Director Central Europe & Eastern Europe bei Websense in München. „Wird eine geeignete DLP-Lösung mit der richtigen Strategie verknüpft, können Sicherheits-Verantwortliche sensible Unternehmens-Informationen gezielt und umfassend schützen.“