Data Loss Prevention: Einführung in DLP-Produkte

Mithilfe von DLP-Produkten (Data Loss Prevention) schützen Sie sensible Daten und erhöhen damit die IT-Sicherheit im gesamten Unternehmen.

Wir leben in einer Zeit, in der sich sensible Informationen nahtlos zwischen Unternehmen und Mitarbeitern rund um den Erdball bewegen. Leider können diese Daten in den Händen von unerwünschten Empfängern landen, die sie dann für eigene Profite missbrauchen oder veräußern. Die Bedrohung durch bösartige Insider ist eine gerechtfertigte Sorge. Allerdings werden Daten ebenso durch schlecht verstandene Geschäftsprozesse exponiert, die unsichere Protokolle und Prozeduren verwenden. Das gilt auch für den Umstand, wenn Angestellte die Daten nicht auf sichere Weise behandeln.

Um diese Probleme zu lösen, helfen Tools für Data Loss Prevention (DLP). Sie identifizieren und stopfen Informationslecks, bevor sich diese negativ auf das Unternehmen auswirken.

Die meisten Firmen setzen auf irgendeine Weise ein Schema zur Klassifizierung ein, um die verwendeten Daten identifizieren zu können. Sobald diese kategorisiert sind, werden angemessene Kontrollmechanismen implementiert. Damit überwacht und kontrolliert man den Zugriff auf die Daten, sowie den Transport und das Speichern. 

Als Unternehmen Daten noch auf Papier und Mikrofilm speicherten, gab es Mechanismen wie zum Beispiel geschriebene Zugriffsprotokolle, Sicherheitspersonal, abgesperrte Aktenschränke und Tresore, um unautorisierte Zugriffe und Veröffentlichung zu vermeiden. Heutzutage sind Daten meist in digitaler Form vorhanden. Somit müssen Unternehmen spezielle Software nutzen, um Datendiebstahl zu erkennen. So lange Papier und Mikrofilm noch existieren, muss das Unternehmen natürlich weiterhin auch die alten Kontrollmechanismen für die Sicherheit pflegen.

DLP: Daten in Benutzung, in Bewegung und im Ruhezustand

Je nach Einsatz können DLP-Tools die potenzielle Enthüllung sensibler Informationen erkennen und blockieren. Das gilt, wenn Daten in Benutzung, in Bewegung oder im Ruhezustand sind.

  • Daten in Benutzung sind Informationen, die sich im Speicher befinden oder in temporären Dateien präsent sind. An dieser Stelle besteht möglicherweise Gefahr, wenn unsichere Endgeräte die Daten verarbeiten oder diese an nicht genehmigtes Storage oder unautorisierte Außenstellen schicken.
  • Daten in Bewegung sind Informationen, die gerade im Netzwerk unterwegs sind und sich in einer Transaktion von Endpunkt zu Endpunkt befinden. Die Gefahr liegt hier bei Transaktionen von Daten, die sensible Informationen über die Grenzen des Unternehmens transportieren. Mögliche Gefahrenpunkte sind auch unbeaufsichtigte Ausdrucke oder Speichermedien.
  • Daten im Ruhezustand sind Informationen, die in digitaler Form in beständigen Dateien (im Gegensatz zu temporären) gespeichert sind. Es handelt sich hier möglicherweise um Dateien von Endanwendern oder Datenbanken auf Dateiservern, Backup-Bänder, SAN-Storage und tragbare Medien.

Data Loss Prevention kann sicherstellen, dass Endanwender keine sensiblen Daten aus dem Netzwerk des Unternehmens schicken, oder sie von sicherem auf unsicheres Storage verschieben. DLP-Produkte eignen sich hervorragend, um Bedrohungen durch Insider zu adressieren. Sie sind allerdings auch als technischer Kontrollmechanismus sehr nützlich, um eine versehentliche Enthüllung sensibler Daten zu verhindern. Möglicherweise sind sich Personen des Werts der Informationen nicht bewusst oder wissen nicht, wie man diese angemessen verarbeitet, überträgt oder speichert.

Wie DLP funktioniert: Vergleich von alleinstehenden mit integrierten Produkten

DLP-Produkte sind dafür ausgelegt, sensible Informationen zu erkennen, sobald auf diese mit einem Endpunktgerät zugegriffen wird. Dazu gehören zum Beispiel Desktops und mobile Clients. Möglicherweise liegen diese Daten brach und die Dokumente sind schon in Vergessenheit geraten. Der Schutz gilt auch dann, wenn sich die Informationen durch das Netzwerk des Unternehmens über irgendein Protokoll bewegen. DLP-Tools adressieren die Probleme beim Umgang mit dem Transport und dem Speichern von sensiblen Daten. Das Ganze basiert auf den Vorgaben eines Unternehmens, was es schützen möchte und wo sich Daten zu jedem Zeitpunkt befinden dürfen.

Alleinstehende DLP-Produkte

Alleinstehende DLP-Produkte können sich auf speziellen Appliances befinden. Sie werden auch als Software verkauft, die Unternehmen im Anschluss auf eigener Hardware installieren dürfen. Es handelt sich dabei um sehr spezielle Komponenten, die sich ausschließlich um Data Loss Prevention kümmern. 

Data Loss Prevention kann sicherstellen, dass Endanwender keine sensiblen Daten aus dem Unternehmens schaffen.

Eine allumfassende DLP-Lösung überwacht Daten im Ruhezustand und verwendet dafür eine Engine für das Scannen von Dateien. Weiterhin ist eine Appliance für das Netzwerk vorhanden, die solche Daten überwacht, die sich gerade im Netzwerk des Unternehmens bewegen. Die entsprechende Lösung kann dabei viele Netzwerkprotokolle gleichzeitig überwachen.

Ein sogenannter Agent auf dem Endpunkt erkennt sensible Informationen im Arbeitsspeicher, in Druckaufträgen, beim Kopieren auf tragbare Medien oder wenn diese mithilfe eines Netzwerkprotokolls das Netzwerk verlassen wollen. Möglicherweise identifizieren die Agenten auch Daten im Ruhezustand, indem sie die logischen Laufwerke auf dem Endgerät nach relevanten Dateien scannen.

Alleinstehende DLP-Produkte stellen möglicherweise auch eine Art Management-Konsole, eine Option für die Erstellung von Berichten und eine Richtlinienverwaltung zur Verfügung. Weiterhin ist eventuell eine Datenbank vorhanden, in der wichtige Ereignisse gespeichert werden, sowie ein Quarantäne-Server oder -Ordner, wo man abgefangene, sensible Daten hinterlegt. Es gibt in der Regel auch eine Methode, womit man maßgeschneiderte Richtlinien für die Erkennung erstellen kann.

Integrierte DLP-Produkte

Integrierte DLP-Funktionen findet man im Gegensatz zu alleinstehendem DLP häufig in Security Gateways am Perimeter. Dazu gehören Security Gateways für Web oder E-Mail, IDS/IPS (Intrusion Detection System /Intrusion Prevention System), Komponenten für die Sicherheit von Endpunkten und UTM-Systeme (Unified Threat Management). Abhängig von den Hauptfunktionen sind diese Produkte am nützlichsten für die Erkennung sensibler Daten, die sich in Bewegung befinden oder in Benutzung sind. Schwachstellen-Scanner bringen in der Regel DLP-Plug-ins mit sich, um sensible Daten zu erkennen, die sich im Ruhezustand befinden.

Security-Produkte mit integriertem DLP von verschiedenen Anbietern teilen sich nicht die Management-Konsole, die Engines für die Verwaltung von Richtlinien und das Storage für die Daten. An dieser Stelle ist ein alleinstehendes DLP-Produkt bequemer. Dieser Umstand könnte bei integrierten Lösungen bedeuten, dass die DLP-Leistungsfunktionen eines Unternehmens auf verschiedene Security-Produkte verteilt sind. Sollte es Funktionen für Quarantäne geben, werden diese ebenfalls mithilfe verschiedener Management-Schnittstellen verwaltet. Will man DLP-Ereignisse in einen Zusammenhang stellen, muss man das mithilfe eines SIEM-Systems (Security Information and Event Management) oder einer speziellen Engine für diese Aufgabe realisieren.

Der Nutzen von DLP

DLP-Tools eignen sich im Speziellen für Unternehmen, die sensible Daten mit einer langen Lebensdauer besitzen. Dazu gehören Finanzdaten, Aufzeichnungen im Gesundheitswesen oder geistiges Eigentum. Regierungsbehörden, Universitäten, Labore und Technologiefirmen sind beliebte Ziele für Cyberspionage. Banken, Einzelhändler, E-Commerce und Finanzinstitute haben natürlich ebenfalls viel zu verlieren. Gesundheitskassen sind nicht die einzigen Ziele im Bereich Medizin und Versicherungen. Jedes Unternehmen, das eigene Versicherungspläne für die Gesundheit der Mitarbeiter anbietet, ist auch ein potenzielles Opfer.

Bevor ein Unternehmen ein alleinstehendes DLP-Produkt käuflich erwirbt, sollte es Cybersecurity-Produkte untersuchen, die sich bereits im eigenen Besitz befinden.

Wenn über DLP gesprochen wird, dann kommen natürlich auch Kreditkartennummern ins Gespräch. Kreditkartendaten stehen bei Cyberkriminellen hoch im Kurs. Allerdings erkennt man den Diebstahl solcher Informationen in der Regel relativ schnell. Sobald diese Daten im Untergrund angekommen sind, verlieren sie normalerweise binnen weniger Tage ihre Gültigkeit. Durchschnittlich sind die Untergrundpreise für Kreditkartennummern gesunken. Im russischen Darknet kostete ein Datensatz einer gestohlenen Kreditkarte aus den USA im Jahr 2011 drei US-Dollar. 2013 war dieser Preis auf einen Dollar gesunken. Für gestohlene Informationen aus dem Gesundheitswesen bekommt man hingegen bis zu zehn US-Dollar pro Datensatz.

Cyberkriminelle haben es unter anderem deswegen auf Aufzeichnungen aus dem Gesundheitsbereich abgesehen, weil die Haltbarkeit sehr hoch ist und ein Diebstahl normalerweise nicht sofort erkannt wird. Diese Datensätze enthüllen Namen von Patienten, deren Versicherungsnummern, Diagnose-Codes und Daten mit persönlichen Informationen. Cyberkriminelle können diese Daten verwenden, um medizinische Ausrüstung und verschreibungspflichtige Medikamente zu erwerben. Diese Produkte verkauft man im Anschluss weiter. Weiterhin lassen sich damit falsche Identitäten erstellen, die sich wiederum für Versicherungsbetrug nutzen lassen.

DLP und die Lernkurve

DLP-Tools werden häufig mit vordefinierten Richtlinien geliefert, um bei der Erkennung sensibler Datentypen zu helfen. Dazu gehören geistiges Eigentum, persönliche Informationen, geschützte Daten zur Gesundheit, Sozialversicherungs- und Kreditkartennummern. In der Praxis sieht es so aus, dass jede Firma Daten anders verarbeitet und speichert. Deswegen ist eine gute Portion an Anpassung notwendig, um eine Kompromittierung von Daten korrekt erkennen und somit verhindern zu können.

Das Niveau an Komplexität ist natürlich hoch. Deswegen ist die Lernkurve für das Cybersecurity-Personal hinsichtlich System-Administration und Analyse entsprechend steil. Das gilt natürlich auch für die Konfiguration und den Einsatz von DLP-Technologie. Offizielle Schulungen für DLP und Wissen, wie man reguläre Ausdrücke (Regular Expressions) zum Parsen einsetzt, sind sehr nützlich. Zusätzlich sollten sich für DLP verantwortliche Mitarbeiter mit den Verantwortlichen der Geschäftsprozesse an einen Tisch setzen, um mehr über die jeweiligen Arten, sowie die Formen und Formate der sensiblen Daten zu erfahren.

DLP-Entscheidungen

Bevor ein Unternehmen ein alleinstehendes DLP-Produkt käuflich erwirbt, sollte es Cybersecurity-Produkte untersuchen, die sich bereits im eigenen Besitz befinden. Möglicherweise sind dort schon DLP-Funktionen implementiert und man kann diese entweder zusätzlich oder sogar als Ersatz für ein komplettes DLP-Produkt einsetzen. Die Preise für alleinstehende DLP-Produkte sind nicht unerheblich. Deswegen sollte man den Kauf mit dem notwendigen Aufwand und den zusätzlich benötigten Produkten vergleichen, um aus integrierten DLP-Funktionen eine kohärente DLP-Lösung schaffen zu können.

Die Preisgestaltung von DLP-Produkten mit Enterprise-Niveau richtet sich in der Regel an größere Konzerne oder an Unternehmen, die höheren Risiken ausgesetzt sind oder sehr hohe Anforderungen an die Konformität haben. Kleinere Firmen mit einem niedrigeren Budget wollen möglicherweise den Weg der integrierten DLP-Lösungen beschreiten. Das setzt natürlich voraus, dass eine kritische Masse an integrierten DLP-Produkten bereits vorhanden ist.

In jedem Fall können DLP-Projekte ein nicht unerhebliches Investment an Ressourcen verlangen. Dazu gehören IT-Fachwissen, Hardware, Storage und natürlich Geld.

Im nächsten Artikel dieser Serie über die Anschaffung und den Einsatz von DLP-Produkten sehen wir uns die Gründe genauer an, warum ein Unternehmen so eine Technologie für den Schutz der Daten einsetzen möchte.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im August 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Data-Loss-Prevention (DLP)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close