photobank.kiev.ua - Fotolia

Sechs Kriterien für den Kauf von DLP-Produkten (Data Loss Prevention)

Das richtige DLP-Produkt (Data Loss Prevention) für das eigene Unternehmen zu finden, ist für die IT-Abteilung kein einfaches Unterfangen. Wir helfen.

DLP-Produkte (Data Loss Prevention) erlauben es Unternehmen, sensible Informationen zu schützen, die im Falle eine Verlustes oder Diebstahls einer Firma Schaden zufügen können. Zu solchen sensiblen Daten gehören unter anderem Betriebsgeheimnisse sowie Daten von Kunden und Angestellten. Das sind zum Beispiel Rentenversicherungsnummern, Informationen zur Persönlichkeit, persönliche Informationen über die Gesundheit und finanzielle Daten wie Kontonummern und Kreditkarteninformationen. Eigentlich kann jedes Unternehmen auf irgendeine Weise von DLP-Technologie profitieren. Die Branchen Finanzen, Gesundheitswesen, herstellende Betriebe und Regierungen finden DLP-Produkte mit hoher Wahrscheinlichkeit am nützlichsten.

DLP-Tools sind in der Regel so konzipiert, dass sie sensible Daten auf einem Endgerät erkennen, die in Benutzung sind, sich auf dem Weg von einem zum anderen Gerät befinden oder im Ruhezustand verweilen. Dabei können letztere Dateien auf einem Server oder auch auf portablen Medien liegen. Die DLP-Tools sind entweder alleinstehende Programme oder in bestehende Security-Technologien oder Produkte für die Sicherheit von Endprodukten integriert. Wir sprechen hier zum Beispiel von Intrusion Detection Systems (IDS ), Intrusion Prevention System (IPS) und Unified Threat Management (UTM).

Eine Firma sollte sich an sechs Schritte halten, wenn sie darüber nachdenkt, ein Produkt für Data Loss Prevention zu kaufen. Zunächst einmal muss man verstehen, welche Arten an schützenswerten Daten man in Benutzung hat und wie man diese klassifiziert.

Schritt Nummer Eins: Daten klassifizieren und abbilden

Bevor ein Unternehmen ein DLP-System kauft, muss es Kenntnisse darüber haben, mit welchen Arten an sensiblen Daten die Anwender umgehen. Dabei muss man auch wissen, wie diese Daten benutzt und reguliert werden. Compliance-Spezialisten, Geschäftsprozesse und Experten für Verhandlungsgegenstände sind wichtige Quellen bei dieser Arbeit. Das gilt natürlich auch für die Besitzer der relevanten Daten. Sollten administrative Kontrollmechanismen noch nicht im Einsatz sein, entwickelt die Firma am besten selbst welche. Dazu gehört auch eine Richtlinie zur Klassifizierung von Daten, damit man die entsprechenden Risiken bestimmen kann, die diese sensiblen Informationen für das Unternehmen haben können.

Sobald sich eine Firma über die Arten der Daten und die davon ausgehenden Risiken im Klaren ist, bildet man sie am besten mithilfe eines Datenfluss-Tools ab. Damit werden die Wege aufgezeigt, die sensible Daten während der Verarbeitung durchlaufen. Das gilt auch für Übertragungen und Speicherung. Ab diesem Punkt kann technisches Personal bestimmen, ob das Unternehmen für diese Pfade bereits Security-Tools im Einsatz hat, die integrierte DLP-Funktionen mit sich bringen.

Ist das der Fall, aber DLP ist noch nicht aktiviert, dann holen Sie das nach. Auf diese Weise überwachen Sie sensible Daten und verifizieren Ihre Annahmen zu den Pfaden. Ist das nicht der Fall, dann helfen Tools wie zum Beispiel Wireshark oder Tcpdump an verschiedenen Stellen, um Stichproben an Netzwerkpaketen zu entnehmen. Die Ergebnisse bringen Sie dann in einen Zusammenhang, um Ihre Annahmen zu den Routen zu untermauern.

Der zweite Schritt beim geplanten Kauf eines DLP-Produkts ist, dass Sie sich über den Umfang des Projekts für Ihre Firma im Klaren werden müssen.

Schritt Nummer Zwei: Bestimmen Sie den Umfang für das DLP-Projekt

Das Projekt-Team sollte die Zuordnungstabelle für die Daten nutzen, um den Umfang des DLP-Projekts bestimmen zu können. DLP-Projekte teilt man häufig in entsprechende Phasen für Daten in Benutzung (Agent auf dem Endgerät), Daten während der Übertragung (Netzwerk-Appliance) oder Daten im Ruhezustand (Daten-Scanner) ein. Zusätzlich möchten Unternehmen möglicherweise Phasen für mobiles DLP und Cloud-DLP festlegen, sollte das notwendig sein. Firmen, die geografisch weit verteilt sind oder sehr viele mobile Mitarbeiter haben, die auf mobile Services und Ressourcen in der Cloud angewiesen sind, wären gute Kandidaten für mobiles DLP und Tools für Cloud-DLP.

Vor dem Kauf eines DLP-Systems muss eine Organisation ein gutes Verständnis für die Arten von sensiblen Daten entwickeln, die es verarbeitet.

Sorgen bezüglich Konformität sind weitere treibende Faktoren, um DLP zu priorisieren. In den anfänglichen Phasen bei der Beschaffung von DLP-Produkten verlässt man sich am besten auf allgemeine Annahmen und entwickelt daraus einen detaillierteren Plan, sobald sich das Team besser mit DLP-Technologien auskennt.

Sobald das Unternehmen Einblicke hinsichtlich Tiefe und Komplexität bekommt, wo sich sensible Informationen befinden und wie die Geschäftsprozesse die Daten verwenden, stellt sich vielleicht heraus, dass das Vorhaben viel zu umfangreich für ein einzelnes Projekt ist. Gleichzeitig verlangt möglicherweise die Konformität nach einer sofortigen Lösung. Große Unternehmen oder Konzerne können sich das vielleicht leisten. Bei kleinen oder mittelständischen Firmen reichen in der Regel die finanziellen Möglichkeiten nicht aus. Aus diesem Grund muss man harte Entscheidungen treffen, wie viel des gesamten Problems man in einem einzelnen Jahr bewältigen kann.

Kristallisiert sich heraus, welchen Teil des Problems man zuerst angehen möchte, hilft das einem Unternehmen, die dringlichsten Konformitätsanforderungen einzuhalten. Gleichzeitig macht man einen Plan, wie die weniger relevanten Bereiche später angegangen werden sollen. Möglicherweise entscheidet sich eine Firma, ein Endpunkt-DLP-Tool zu testen, um den Ort der Datenverarbeitung zu adressieren. Kümmert man sich an dieser Stelle darum, wird das Daten in Benutzung und Daten bei der Übermittlung ins Auge fassen. Das gilt auch für die Daten, die sich auf dem Endgerät in Benutzung befinden.

Ein einfacher Entscheidungsplan für den Kauf eines DLP-Produkts könnte wie folgt aussehen:

Erstes Jahr und Phase 1: PCI-Compliance-Netzwerk

  • Phase 1a: Daten in Benutzung (Agents auf den Endgeräten)
  • Phase 1b: Daten während der Übertragung (Netzwerk-Appliances)
  • Phase 1c: Daten im Ruhezustand (Daten-Scanner)

Zweites Jahr und Phase 2: Unternehmensnetzwerk

  • Phase 2a: Daten in Benutzung (Agents auf den Endgeräten)
  • Phase 2b: Daten in Benutzung (Agents auf den Mobilgeräten)
  • Phase 2c: Daten während der Übertragung (Netzwerk-Appliances)
  • Phase 2d: Daten während der Übertragung (Cloud)
  • Phase 2e: Daten im Ruhezustand (Daten-Scanner)
  • Phase 2f: Daten im Ruhezustand (Cloud)

Wenn ein Unternehmen kein alleinstehendes Produkt kauft und integrierte DLP-Tools von verschiedenen Herstellern kombiniert, muss das IT-Team untersuchen, wie es die Log-Dateien konsolidieren und in eine Beziehung stellen kann. Ist ein SIEM-Produkt (Security Information and Event Management) vorhanden, sollte das Unternehmen sicherstellen, dass die relevanten DLP-Tools damit kompatibel sind. Andernfalls muss man an dieser Stelle eine Lösung entwickeln oder eine kaufen, um die unterschiedlichen DLP-Tools unter einen Hut zu bekommen. Ein Datenkorrelations-Tool wie zum Beispiel Splunk bietet Funktionen an, die in dieser Hinsicht weiterhelfen.

Alleinstehende DLP-Suites bringen große Vorteile mit sich. Die Oberfläche ist stimmig und man kann alle Teile von Data Loss Prevention in der gleichen Management-Schnittstelle verwalten. So werden die Mitarbeiter weniger verwirrt, was wiederum deren Schulung vereinfacht. Weiterhin werden DLP-Ereignisse von Erkennungsrichtlinien identifiziert, die von der gleichen Richtlinien-Engine erstellt wurden. Eine einheitliche Schnittstelle stellt die Ereignisse zueinander in Beziehung. Auch die Berichte und die Dashboards sind vereinheitlicht.

Schritt Nummer Drei: Die Engines für die Richtlinien evaluieren

Ob Sie nun ein integriertes oder ein alleinstehendes DLP-Produkt kaufen, ist weniger relevant. Die Engine für die DLP-Richtlinien oder -Regeln ist das allwissende Auge dieser Produkte. In Sachen Regel- und Test-Engines gibt es mehrere verfügbare Methoden. Dieser Teil ist für den Beschaffungsprozess sehr wichtig. Ein Unternehmen sollte sicherstellen, dass die Richtlinien-Engines speziell die sich im Einsatz befindlichen Informationstypen erkennen können. Weiterhin muss sie sich auf neue Arten an sensiblen Informationen anpassen lassen, sollte das in Zukunft notwendig sein.

Viele DLP-Produkte (alleinstehend und integriert) bieten Richtlinien oder Erkennungsregeln an, um damit die wichtigen Typen sensibler Daten erkennen zu können. Dazu gehören unter anderem Kreditkartennummern, Rentenversicherungsnummern und medizinische Daten. Meistens sind solche Richtlinien sehr rudimentär und liefern unter Umständen so viele sogenannte False Positives (falscher Positivbefund) wie korrekte Erkennungen.

Nehmen Sie diese Richtlinien als Startpunkt und fangen Sie dann an, eigene Regeln für das Unternehmen zu schreiben.

Nehmen wir als Beispiel Rentenversicherungsnummern. Meldet das DLP-Produkt nur einen Befund aufgrund der Nummer wie zum Beispiel xxx xxxxxx J xx? Oder kann das DLP-Tool auch jemanden entdecken, der versucht, die Nummer zu verschleiern? Es ist sehr wahrscheinlich, dass das Unternehmen selbst eine spezifische Regel schreiben muss.

Die Firma sollte genau unter die Lupe nehmen, wie die Regeln oder die Richtlinien für die Erkennung in den jeweiligen DLP-Produkten erstellt werden. Bei vielen frühen DLP-Tools wurden sogenannte reguläre Ausdrücke (REGEX) verwendet. In der Zwischenzeit setzt man meist auf Bayesian-Erkennungs-Algorithmus, Data Fingerprinting und andere Techniken.

Reguläre Ausdrücke helfen bei der Identifizierung von Phrasen, die den REGEX-Mustern entsprechen. Bayesian-Erkennungs-Algorithmen setzen auf die Wahrscheinlichkeit von Wortkombinationen, um entsprechende Kriterien zu erfüllen. Zum Glück bieten die meisten DLP-Anbieter REGEX noch als Option an. Somit haben Kunden die Möglichkeit, eigene Filter für die Erkennung von Mustern zu schreiben.

Die für die Regeln zuständigen Engines setzen möglicherweise auch auf Wörterbücher. Unternehmen sollten die Effizienz dieser Wortlisten testen. Am besten verwenden Sie dafür Beispiele, die den sensiblen Informationen aus Ihrem Unternehmen sehr ähnlich sind. Sollte es sich dabei zum Beispiel um geheime Gesundheitsinformationen handeln, muss man die gewünschte Performance der Richtlinien im der für diesen Bereich geltenden besonderen Vorgaben unter die Lupe nehmen.

Sich auf ein bestimmtes Wort zu stützen, wie zum Beispiel die Marke eines Schmerzmittels, könnte einen Alarm auslösen,  wenn ein Angestellter eine E-Mail zum Thema Arztbesuch oder Kinderkrankheiten schreibt. Verlässt man sich hingegen auf ein bestimmtes Format bei den sensiblen Daten, schlüpfen sie vielleicht durch, wenn man sie geringfügig verändert. Ein Beispiel wären etwa Trennstriche in einer Versicherungsnummer, die man dafür einfach weglassen könnte.

Schritt Nummer Vier: Eine Angebotsanfrage für das DLP-Projekt erstellen

Schreiben Sie nun eine Angebotsanfrage für das gewünschte DLP-Produkt, die auf den Untersuchungen zu den sensiblen Daten des Unternehmens basieren. Dazu gehören außerdem die Diagramme mit den Datenflüssen, die Konformitätsanforderungen und natürlich das Budget für das Projekt. Beschreiben Sie den Umfang für den anfänglichen Einsatz, die gewünschten Funktionen, die die Erkennungs- und Richtlinien-Engine enthalten soll und sämtliche andere Arten an Erkennung, die Sie eben gerne adressieren würden.

Es könnte zum Beispiel sein, dass Daten in Benutzung oberste Priorität genießen. Danach stehen Daten bei der Übertragung auf der Agenda und zum Schluss Daten im Ruhezustand. Wenn ein Unternehmen ein Projekt entwickelt, das Security Tools mit integrierten DLP-Funktionen nutzt, dann diskutieren Sie die gewünschten Funktionen bei diesen Tools. Das gilt vor allen Dingen dafür, wie sie mit dem vom Unternehmen eingesetzten SIEM hinsichtlich Konsolidierung und Korrelation zusammenarbeiten.

Schritt Nummer Fünf: Erstellen Sie einen Fragenkatalog, den Sie die Anbieter beantworten lassen

Eine Liste mit Fragen, die Sie dem Anbieter stellen möchten, ist auf keinen Fall verkehrt. Lassen Sie dabei die Untersuchungen über Ihre Firma hinsichtlich Data Loss Prevention und Security-Anforderungen einfließen.

Nachfolgend finden Sie einige Beispiele:

  1. Wie behandelt das DLP-Produkt Daten im Ruhezustand, Daten im Transit und Daten in Benutzung?
  2. Beschreiben Sie bitte, wie das DLP-Produkt verwaltet und aktualisiert wird. Inwiefern wird der Einsatz bei mehreren Standorten unterstützt?
  3. Erklären Sie bitte, wie die Richtlinien für die Erkennung verwaltet werden. Unterstützt das Produkt maßgeschneiderte Regeln und Wortlisten? Kann ich REGEX in maßgeschneiderten Regeln verwenden? Wenn nicht, wie lassen sich maßgeschneiderte Regeln erstellen?
  4. Wie arbeitet das DLP-Produkt mit SIEM-Lösungen und Software zusammen, die Daten in eine Beziehung stellen?
  5. Wenn es ein alleinstehende Produkt ist, wie adressiert die Engine für Richtlinien und Erkennung die Daten im Ruhezustand, im Transit und in Benutzung?
  6. Wie geht das Produkt mit Daten im Ruhezustand um? Können Agents für Endpunkte die Dateien auf sensible Daten scannen? Welcher Durchsatz ist möglich und wie viel Zeit würde der Datei-Scanner brauchen, um ein GByte an Endanwenderdateien zu überprüfen? Wie viel Zeit würde es dauern und welcher Durchsatz wäre notwendig, eine Datenbank von der Größe X GByte zu scannen? Lassen sich die Scans unterbrechen und zu einem späteren Zeitpunkt wieder aufnehmen? Wie werden die Scans für die Dateien geplant?
  7. Auf welche Weise werden verdächtige Inhalte in Quarantäne gesteckt? Wie geht das Produkt mit USB-Geräten und Netzwerkdruckern um? Verschiebt der Scanner für die Daten im Ruhezustand diese in die Quarantäne? Wie werden die Besitzer der Dateien informiert?
  8. Welche Netzwerkprotokolle und Dateitypen werden von dem DLP-Produkt erkannt? Wie geht das Tool mit verschlüsseltem Traffic und verschlüsselten Dateien um? Wird Traffic geblockt, welche Beweise werden gesammelt oder geloggt?
  9. Kann der Sensor für die Daten im Transit (Netzwerk-Appliance) in Reihe oder mit SPANed Switch Ports zusammenarbeiten? Mit wie vielen Eingaben kann der Sensor umgehen und wie sind die Durchsatzniveaus?
  10. Beschreiben Sie, wie ein Alarm generiert wird und wie man die Schwellenwerte dafür festlegt.
  11. Erklären Sie bitte, wie mobile Geräte und Data Storage in der Cloud überwacht werden.
  12. Beschreiben Sie bitte, wie verdächtige Dateien behandelt werden. Sind sie verschlüsselt und werden am selben Ort gelassen? Werden sie in einen Quarantäneordner oder einen gemeinsam genutzten Ordner verschoben? Wenn sie bewegt werden, hinterlegt das Produkt eine entsprechende Textdatei an der relevanten Stelle? Wie wird die Quarantäne für DLP administriert und was passiert, wenn man eine Datei aus der Quarantäne entlässt?

Sie finden weitere Beispielfragen hier, um den Anbietern des gewünschten DLP-Produkts auf den Zahn zu fühlen.

Schritt Nummer Sechs: Testen Sie die Produkte für Data Loss Prevention

Sobald ein Unternehmen die Liste der aussichtsreichsten Kandidaten an DLP-Produkten zusammengestellt hat, sollte es sie auch in der eigenen Umgebung testen. Die DLP-Anbieter stellen oftmals Demo-Produkte Ihrer Software für den Einsatz am Kundenstandort zur Verfügung. Potentielle Kunden können dann in den eigenen Netzwerken testen. Das ist nützlich, um Informationen über die Performance der verschiedenen DLP-Produkte zu sammeln. Außerdem bekommen Sie ein Gespür dafür, wie diese funktionieren. Weiterhin ist es für die Verkaufsstrategie natürlich vorteilhaft, wenn die DLP-Produkte erste sensible Daten finden.

Nur weil ein DLP-Produkt während der Tests Datenlecks aufgespürt hat, muss es noch lange nicht die richtige Lösung für eine Firma sein. Kaufen Sie das Produkt nicht nur deswegen, weil es etwas gefunden hat. Stellen Sie hingegen sicher, dass die Anforderungen des Unternehmens tatsächlich erfüllt werden. Wir haben darüber in den Schritten Eins und Zwei gesprochen. Auch das Budget ist natürlich ausschlaggebend.

Bekommen Sie vom Anbieter keine DLP-Testprodukte für das Netzwerk der eigenen Firma, kann die IT-Abteilung die Funktionen und die Performance der Tools mithilfe von webbasierten Demoversionen ansehen. Weiterhin können sich kleinere Unternehmen oftmals keine Testumgebungen leisten. Diese Lücke füllen dann die genannten Online-Demos der Anbieter. Sobald ein Produkt vielversprechend aussieht, könnte sich die IT-Abteilung mit anderen Firmen unterhalten, die das Produkt bereits im Einsatz haben. So erfährt man, ob die Erwartungen erfüllt werden.

Wenn Sie DLP-Produkte in Erwägung ziehen, planen Sie im Voraus

Eine Angebotsanfrage für ein DLP zu schreiben, kann eine ziemliche Herausforderung sein. Wie bei allen großen Projekten müssen Sie ihre Hausaufgaben machen. Erst dann wissen Sie genau, was Sie aufnehmen müssen. Zum Glück bieten DLP-Anbieter den Unternehmen oftmals Hilfe an, um die eigenen Anforderungen auf einen Punkt zu bringen. Für eine Firma ist es sehr wichtig zu verstehen, welche Art an sensiblen Informationen sie verwendet und verarbeitet. Kennt man den Umfang des Projekts, hilft das, um das DLP-Projekt in kleinere Arbeitsschritte einzuteilen. Die Planung ist extrem wichtig.

Ein entscheidender Teil der Analyse sollte sich auf die Engine für die Richtlinien und die Erkennung konzentrieren. Wenn Ihr Unternehmen die eigentlichen Produkte testet, dann sehen Sie sich genau an, ob die Engines Beispieldaten erkennen können. Diese sollten möglichst die im Unternehmen eingesetzten Typen an sensiblen Informationen widerspiegeln. Weiterhin sollten die Anbieter Ihrer Firma Testversionen der relevanten DLP-Produkte für eine Probefahrt zur Verfügung stellen. Unterhalten Sie sich darüber hinaus mit anderen Anwendern, die in Frage kommende DLP-Produkte bereits im Einsatz haben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Oktober 2015 aktualisiert

Erfahren Sie mehr über Data-Loss-Prevention (DLP)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close