DLP-Produkte: Einsatzszenarien für Data Loss Prevention

Wenn Sie die Sicherheit sensibler Daten maximal gewährleisten wollen, dann können DLP-Lösungen eine sinnvolle Investition sein – oder auch nicht.

Produkte für Data Loss Prevention (DLP) sind wertvolle Tools für Unternehmen, die sensible Informationen und Daten effizient überwachen und kontrollieren möchten. Dazu gehören Finanzdaten, Informationen zur Identifikation von Kunden und Mitarbeitern, medizinische Aufzeichnungen, geistiges Eigentum und andere Arten an wichtigen Unternehmensdaten. Firmen mit sensiblen Daten, die langfristig aufgehoben werden müssen, werden Tools für DLP ebenfalls als wertvoll erachten.

Data Loss Prevention hilft Unternehmen außerdem dabei, sich gegen Insider-Bedrohungen zu wehren. Das reicht vom Raub von Kreditkartennummern bis hin zu Datendiebstahl durch Mitarbeiter, die die Firma verlassen und die Daten der alten Firma als Vorteil für die neue Stelle ausnutzen wollen. In einer Fallstudie, die der DLP-Anbieter Digital Guardian durchführte, hat ein leitender Wissenschaftler beim Verlassen des Unternehmens tausende technische Dokumente mitgenommen. 150 davon wurden sofort von der neuen Firma eingesetzt. Man schätzt den Verlust der Vorgängerfirma auf mehrere Millionen US-Dollar.

Weil DLP-Tools als spezialisierte Nischenprodukte gelten, deren Implementierung Daten im Ruhezustand, Daten in Benutzung und Daten im Transit adressiert, können die Kosten dafür schnell im sechsstelligen Bereich liegen. Allerdings sollten Sie das nicht nur als teures Übel ansehen, um damit die Checkliste für Konformität zu erfüllen. Setzt man die Komponente als Teil von größeren DLP- und Schutzanstrengungen ein, können DLP-Produkte Datenlecks durch schädliche Aktionen verhindern. 

Das gilt auch für fehlerhafte Geschäftsprozesse und Ignoranz von Angestellten, die sensible Daten nicht angemessen behandeln. Mit inbegriffen sind außerdem entsprechende Kontrollmechanismen für die IT-Sicherheit wie zum Beispiel eine angemessene Richtlinie für die Klassifizierung von Daten und Prozeduren, wie man die Daten während der gesamten Gültigkeitsdauer zu behandeln hat. Weiterhin muss man den Endanwender schulen, damit er verantwortungsvoll mit den Daten umgeht.

DLP-Tools werden nicht in einem Vakuum benutzt

Wenn Firmen DLP-Produkte ausrollen, entdecken sie oftmals schlecht dokumentierte Business-Prozesse, die regelmäßig sensible Daten im Transit exponieren. Dazu gehören zum Beispiel unbekannte Speicherorte mit sensiblen Daten, die sich auf verlassenen FTP-Servern und in nicht ausreichend gesicherten Freigaben befinden. Oftmals gibt es Lecks hinsichtlich sensibler Informationen, weil die Angestellten nicht wissen, wie sie die diese Daten angemessen behandeln sollen.

Der Einsatz von DLP-Tools sollte Teil einer Gesamtstrategie sein, bei der die Besitzer der Daten und Geschäftsprozesse mit dem Security-Team der IT-Abteilung zusammenarbeiten. Gemeinsam ermittelt man, welche Daten verwendet und geschützt werden sollten. Allerdings werden diese Produkte niemals in einem Vakuum eingesetzt.

Um DLP-Produkte effizient zu nutzen, müssen Unternehmen den monetären Wert und die Konformitätsanforderungen ihrer Daten kennen. Sie sollten wissen, wo sich die sensiblen Daten befinden und anhand dieser Informationen in der Lage sein, Flussdiagramme zu erstellen. Sie zeigen die erwarteten Pfade, auf denen sich sensible Daten bewegen, sowie die erwarteten Netzwerkprotokolle. Außerdem ist dort hinterlegt, wer Zugriff auf die sensiblen Informationen hat und wie man verhindert, dass diese kompromittiert werden. Firmen sollten außerdem in der Lage sein, Lücken und Risiken in Bezug auf die sensiblen Daten zu identifizieren. Zu guter Letzt sollte es einen Incident-Response-Plan geben, der Ereignisse von Datenverlust adressiert.

Welche Arten an Unternehmen sollten sich mit DLP Security auseinandersetzen?

Gerade in den Bereichen Finanzen, Regierungen, Gesundheitswesen und Versicherungen setzt man stark auf DLP. Aber auch andere Firmen können davon profitieren, wenn der Verlust sensibler Informationen zu einem ernsten Problem für den kontinuierlichen Betrieb werden könnte.

DLP kann sicherstellen, dass Endbenutzer keine vertrauliche Informationen nach außen verschicken oder von einem sicheren auf einen unsicheren Speicherort verschieben.

In der Finanzbranche sind die Bedrohung durch Datenverlust und die strenge Compliance durch Vorgaben wie Payment Card Industry Data Security Standard (PCIDSS) und diverse Gesetze hinsichtlich Datensicherheitsverletzungen und Privatsphäre strikt geregelt. DLP-Tools sind eine wertvolle Hilfe, wenn man Konformitätsverletzungen erkennen und verhindern möchte.

Die Konformitätsrichtlinien bei Unternehmen aus den Branchen Gesundheitswesen und Versicherungen decken sich an vielen Stellen mit denen aus der Finanzwelt. Es ergeben sich aber besonders im Gesundheitswesen weitere Anforderungen, die sich aus den zu speichernden besonders sensiblen Daten ergeben. Das bringt zusätzliche Herausforderungen mit sich, da man die Informationen über den Patienten in Berichten, in prozeduralen Verfahren und im Gesundheitswesen ausreichend schützen muss. DLP-Tools können an dieser Stelle die komplexen technischen Herausforderungen adressieren. So verhindern sie, dass Informationen zu persönlichen Informationen an die Außenwelt gelangen, während man Daten mit Business-Partnern und anderen Unternehmen austauscht. Dazu gehören Versicherungsmakler, medizinische Spezialisten, Labore und Abrechnungsprozesse.

Staatliche Agenturen und Unternehmen, die für diese Einrichtungen arbeiten, sind potenzielle Ziele von Industrie- oder staatlicher Spionage. Dort ist der Einsatz von automatisierten Tools sinnvoll, um den Missbrauch von Daten entdecken zu können. Das ist eine Aufgabe, für die DLP-Tools prädestiniert sind.

Herstellende und Technologieunternehmen können ebenfalls von DLP-Tools profitieren. Das komplexe Netz an Zulieferern und Subunternehmen, die möglicherweise noch weit über Kontinente verstreut sind, liefert viele Angriffsvektoren, um Daten zu exponieren und somit Informationen stehlen zu können. Arbeitet man mit einem weltweiten Netz an Zulieferern, Vertrags- und Geschäftspartnern, teilt man regelmäßig Informationen zu geistigem Eigentum mit Dritten, weil sie einfach Bescheid wissen müssen. Das Ganze sichert man durch Vertraulichkeitsvereinbarungen oder Geheimhaltungsabkommen ab.

DLP-Produkte können helfen, dass Angestellte oder mitarbeitende Instanzen lediglich auf die für bestimmte Unterfangen notwendigen Informationen Zugriff haben.

Welche Unternehmenstypen benötigen keine DLP-Produkte?

Ob Unternehmen ein DLP-Produkt brauchen oder nicht, finden sie heraus, indem Sie Richtlinien und Prozeduren für den Fall des Datenverlusts erstellen. Das ist die größte Herausforderung und auch dann notwendig, wenn die Firma vielleicht gar keine DLP-Tools braucht. Es handelt sich hierbei um einen administrativen Aufwand, der komplett unabhängig von Richtlinien-Tools wie DLP ist.

Zu den Aufgaben an dieser Stelle gehört ein Evaluieren, wie sensible Daten gespeichert werden. Weiterhin muss man bestimmen, über welche Netzwerkpfade der Zugriff geschieht und welche Endpunkte überhaupt zugreifen dürfen. In so eine Analyse gehört darüber hinaus, welche technischen Kontrollmechanismen derzeit im Einsatz sind, um Zugriffe, Modifikationen, Storage und Übertragung sensibler Daten zu überwachen.

Die Klassifizierung von Daten ist für viele Unternehmen alles andere als eine einfache Aufgabe. Dabei kommt es nicht darauf an, wie groß die Firma ist. Auf den ersten Blick sieht das wie eine recht simple Übung aus, der Teufel steckt allerdings im Detail. Sobald die Unternehmen die Abteilungsleiter zu fragen beginnen, welche Arten an Informationen genau verarbeitet werden und wer für den einen oder anderen Typus an sensiblen Daten zuständig ist (die Besitzer der Daten), werden möglicherweise sensible Daten gefunden, von denen man gar nicht wusste, dass sie existieren.

Im Jahre 2010 hatte beispielsweise der US-Fernsehsender CBS News berichtet, im Besitz eines Kopiergeräts zu sein, das früher der Krankenversicherung Affinity Health Plan gehörte. Die Festplatte des Kopiergeräts enthielt persönliche und medizinische Daten von 409.000 Personen. Die Firma musste öffentlich bekannt geben, dass diese Informationen möglicherweise kompromittiert wurden, sobald sich das Kopiergerät nicht mehr unter der eigenen Kontrolle befand. Dann gibt es da noch die peinliche Datensicherheitsverletzung bei Sony Online Entertainment aus dem Jahre 2011. Sony bestätigte offiziell, dass jemand eine veraltete Datenbank gestohlen hat, in der sich persönliche Informationen und Kreditkartennummern von Kunden aus Europa befanden.

Bevor Sie sich entscheiden, ob Ihr Unternehmen ein DLP-Produkt benötigt, sollten Sie also Ihre Hausaufgaben machen. Entscheiden Sie sich dafür, können Sie so auch den notwendigen Umfang einschätzen. Kleinere und mittelständische Unternehmen setzen vielleicht kein DLP-Produkt ein, wenn der potenzielle, monetäre Verlust geringer als die Kosten für die Security-Komponente ist. Besitzt eine kleine Firma allerdings sehr viel hochwertiges geistiges Eigentum, dann will sie unter Umständen schon ein DLP-Produkt verwenden. So wird verhindert, dass Betriebsgeheimnisse in falsche Hände oder zur Konkurrenz gelangen.

Tools für Data Loss Prevention sind keine Wunderwaffe und manchmal auch viel zu teuer, um die Ausgabe rechtfertigen zu können.

Wie Sie an den obigen Beispielen sehen, will oder kann sich nicht jede Firma eine allumfassende DLP-Suite leisten. Es ist aber auch klar, dass jedes Unternehmen eine Strategie hinsichtlich Datenverlusts benötigt, sofern sie mit sensiblen Daten hantiert. Dazu gehören Richtlinien und Prozeduren zur Verarbeitung der Daten, sowie automatisierte Tools, um diese durchsetzen zu können.

Kleinere Organisationen scheuen sich womöglich vor den Kosten von DLP Suites, die für 500 bis 1000 Angestellte schon mit 125.000 bis 250.000 US-Dollar zu Buche schlagen können. Sie sollten einen Blick auf DLP-Funktionen werfen, die in anderen Security Tools implementiert sind. Dazu gehören UTM Appliances (Unified Threat Management), IDS/ IPS (Intrusion Prevention System/ Intrusion Detection System) und Produkte für die Sicherheit von Endgeräten. 

Die Herausforderung ist hier allerdings, wie man die entsprechenden DLP-Informationen mithilfe eines SIEMs (Security Information and Event Management) integriert und in eine Wechselbeziehung mit DLP-Berichten, -Alarmen und -Dashboard stellt. Moderne SIEMs können Informationen sammeln, die mittels der eingebauten DLP-Funktionen erhoben wurden, in eine Beziehung stellen und übersichtlich darstellen. Werfen Sie einen Blick auf existierende SIEM-Produkte in Ihrem Unternehmen und schauen Sie nach, ob sie DLP-Funktionen enthalten, die man nutzen oder auf die man aufbauen könnte.

Fazit

Zerbricht man sich über Datensicherheitsverletzungen den Kopf, dann muss der Fokus auf dem Schutz sensibler Daten liegen. DLP-Tools sind allerdings keine Wunderwaffe für diesen Prozess und manchmal auch viel zu teuer, um die Ausgabe rechtfertigen zu können.

Ob Sie ein umfassendes DLP-Produkt einsetzen oder nicht, fängt mit dem Verständnis an, wie die Firma sensible Daten in den Geschäftsprozessen benutzt. Danach folgt die Implementierung von Kontrollmechanismen für die Informations-Security. Das hilft beim Management, wie diese Daten verwendet, übertragen und gespeichert werden. Eine gute Portion dieser Kontrollmechanismen adressiert man in Richtlinien und Prozeduren, sowie angemessenen Schulungen für die Mitarbeiter. Sollte eine Firma zu der Entscheidung kommen, DLP-Tools einzusetzen, dann verwendet man diese Kontrollkomponenten, um die bestehenden DLP-Richtlinien zu erzwingen. Ob man nun eine alleinstehende DLP-Suite oder DLP-Funktionalitäten in existierenden Security-Produkten und -Lösungen verwendet, muss jedes Unternehmen für sich selbst entscheiden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juli 2015 aktualisiert

Erfahren Sie mehr über Data-Loss-Prevention (DLP)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close