Data Loss Prevention: So stopfen Unternehmen Datenlecks

Data Loss Prevention (DLP) ist kein Hexenwerk – sofern dieses Konzept im Rahmen einer gut durchdachten Sicherheitsstrategie aufgesetzt wird. Denn nur dann kann es vertrauliche Daten wirksam und umfassend vor Missbrauch abschirmen, inner- und außerhalb des Netzwerks.Als Praktikanten getarnte Wirtschaftsspione, unachtsame Anwender oder schnüffelnde Putzfrauen: Oftmals unterschätzen Unternehmen das Risiko, das in den eigenen vier Wänden lauert. Dabei geht es sowohl um unbeabsichtigte Datenverluste durch Mitarbeiter als auch um mutwilligen Diebstahl. Während sich Firmen heute bereits gut gegen Angriffe von auß;en schützen, weisen viele ihrer Sicherheitskonzepte eklatante Lücken auf, geht es um die Abwehr dieser Innentäter. Eine Kategorie von IT-Sicherheitslösungen hat sich dem Ziel verschrieben, Verluste vertraulicher Informationen durch Mitarbeiter zu verhindern. Die Marktforscher von Gartner haben diese Systeme unter der Beschreibung „Content Monitoring und Filtering (CMF) sowie Data Loss Prevention“ zusammengefasst.

Das Produktsegment für DLP gilt als Zukunftsmarkt. Hierzu zählen alle Lösungen und Technologien, die den Fluss vertraulicher Daten organisieren, indem sie die Dokumente sichern oder verschlüsseln, filtern und blockieren. Und dies unabhängig davon, wo die Dokumente sich gerade befinden, ob sie lediglich gespeichert, gerade transferiert oder genutzt werden. Die Umsätze der Branche werden bis 2011 auf 3,2 Milliarden Dollar ansteigen, erklären die Analysten der International Data Corp. (IDC) in einer aktuellen Studie . Data Loss Prevention sorgt dafür, dass Anwender regelbasierend autorisierten Zugriff zu wichtigen Informationen erhalten. Gleichzeitig verhindert eine derartige Lösung, dass Informationen ungeschützt und ungewollt das Unternehmen verlassen.

Unabhängig davon, ob man den Begriff CMF von Gartner oder das gängigere DLP favorisiert, die Konzepte dahinter erscheinen vielen Unternehmen allerdings als sehr komplex. Die Verantwortlichen wissen oft nicht, wo sie anfangen sollen. Ein durchdachter DLP-Fahrplan gibt die Antworten. Er liefert einen Überblick und verschafft einem Data Loss Prevention Projekt den wichtigen Erfolg.

Sanft disziplinieren

An erster Stelle beim verlässlichen Schutz vertraulicher Daten stehen die Erarbeitung und Realisierung eines umfassenden Sicherheitskonzepts. Das Ziel dieses Konzepts muss sein, dass keine wichtigen Daten das sichere Netzwerk unautorisiert verlassen. Es geht aber nicht darum, den Angestellten und Kollegen generell zu misstrauen, ihnen gewohnte und für die Firma nützliche Arbeitsweisen zu verbieten. Wären beispielsweise alle Daten generell für Kopiervorgänge gesperrt, würde dies jeglichen Arbeitsablauf stark behindern. Die Belegschaft würde ein solches Konzept und eine solche Lösung nicht annehmen, möglicherweise sogar versuchen, die aufgesetzten Hürden irgendwie zu umgehen.

Andererseits müssen Anwender heutzutage jedes Mal entscheiden, ob es sich bei dem Text, den Projektarbeiten, Zeichnungen oder Berechnungen um streng vertrauliche oder allgemeine, öffentliche Dokumente handelt. Und in jedem dieser Einzelfälle müssen sie genau wissen, was sie mit der Datei anstellen dürfen und was nicht. Die Verantwortung liegt ausschließ;lich in ihren Händen. Das lässt Raum für Fehler und falsches Verhalten. Wichtige Anhänge wie die Bilanzergebnisse gelangen viel öfter aus Unwissenheit oder Unachtsamkeit denn auf Grund krimineller Intentionen nach drauß;en.

Ein DLP-Konzept entlastet den gewöhnlichen Mitarbeiter von dieser Verantwortung. Es klärt ihn auf, sobald er gegen die Sicherheitsrichtlinien verstöß;t, die das Unternehmen für diese Klasse von Daten aufgesetzt hat. Auß;erdem greift es aktiv ein und stoppt die unautorisierte Aktion. Die Aufklärung geschieht beispielsweise mit Hilfe von Pop-ups, die dem Anwender genau erklären, was er aktuell falsch gemacht hat. So erfährt er beispielsweise, dass das aktuelle Dokument nur für interne Zwecke freigegeben ist und daher auf keine externen Geräte wie USB-Sticks kopiert werden darf.

So lässt sich ebenfalls durchsetzen, dass ein als extrem wichtig eingestuftes Dokument automatisch umfassend abgesichert wird, beispielsweise indem es verschlüsselt wird. So sind die Anwender davon entlastet, solche Schritte selbstständig einzuleiten.

Aber auch der Freiraum für falsches Verhalten, das durch Unwissenheit oder Unachtsamkeiten befördert wird, ist extrem eingeschränkt. Will beispielsweise ein Mitarbeiter, der sich nur gelegentlich mit sensiblen Dokumenten beschäftigt, ein als solches eingestuftes Dokument gegen die Regeln der Firma als Anhang in einer E-Mail verschicken, verhindern die DLP-Mechanismen dies automatisch. Die E-Mail wird geblockt. Optional klären die DLP-Funktionen den Anwender mit Hilfe von Pop-ups darüber auf, dass er falsch gehandelt hat und schärfen so sein Wissen um Vertraulichkeit. Damit diese Automatismen greifen können, sind allerdings einige Vorleistungen nötig.

Bestandsaufnahme als Basis

Bei der Ausarbeitung des Sicherheitskonzepts müssen zunächst folgende Fragen beantwortet werden: Wo sind vertrauliche Daten gespeichert? Wer sollte sie wie nutzen dürfen? Und wie lassen sich die Daten am besten vor Verlust schützen? Hierzu muss sich das Unternehmen einen Überblick über die eigene Risikolage und Gefährdungssituation verschaffen.

Der erste Schritt ist eine vollständige Analyse und Klassifizierung des Datenbestandes. Nach dieser Inventur folgt die Diskussion, wie die Firma mit vertraulichen Daten umgeht, und ob gegebenenfalls neue Richtlinien vonnöten sind. Es folgt die Auswahl eines geeigneten DLP-Produktes mit Echtzeit-Überwachung. Zusammengefasst: Es gilt, die Datenlage zu erfassen, Informationen zu klassifizieren und passende Schutzmaß;nahmen zu planen. Dabei legen die Bereichsleiter fest, welche Daten welcher Sicherheitsstufe unterliegen müssen. Nicht vergessen werden darf in diesem Zusammenhang der menschliche Faktor: Denn DLP ist keine reine IT-Angelegenheit. Die Mitarbeiter müssen in die Prozesse einbezogen werden, um den Verlust vertraulicher Informationen zu verhindern. Egal, ob Personaldaten, Finanzinformationen oder Marketingpläne: Daten wie diese repräsentieren das Unternehmen und müssen geschützt werden. Dies muss auch allen Mitarbeitern klar sein.

Essenzieller Kern dieses wirkungsvollen Sicherheitskonzeptes ist die Sicherheitsrichtlinie, da sie alle Maß;nahmen regelt. Doch wie wird eine solche Richtlinie verfasst, um das beabsichtigte Resultat zu erzielen? Geltende Standards können hier als Checkliste dienen. Sie stellen sicher, dass kein wichtiger Aspekt vernachlässigt wurde. Ein vielfach bewährter Standard sind die Normen DIN ISO/IEC 27001 und 27002 . Sie stellen den Unternehmen ein kompetentes Werkzeug in deutscher Sprache zur Verfügung, welches die Anforderungen an die Informationssicherheit des Unternehmens klar und eindeutig definiert.

Die IT sorgt im Folgenden für die korrekte Umsetzung und technische Sicherheit mittels DLP. Moderne Lösungen wie Data Loss Prevention von Symantec beherrschen beispielsweise die wichtige Aufklärungsfunktion, mittels optionaler Pop-up-Fenster den Anwender auf die Verletzung einer Richtlinie aufmerksam zu machen. Dies schließ;t Links in das Intranet zur relevanten Sicherheitsrichtlinie ein. Schritt für Schritt erhöht sich so auch das Wissen um Sicherheitsanforderungen im Unternehmen.

Informationslecks aktiv schließ;en

Eine professionelle DLP-Lösung kontrolliert aber nicht nur den E-Mail-Verkehr. Sie kann die unsichere und unerwünschte Übertragung von Daten direkt stoppen. Durch entsprechende Regeln lässt sich beispielsweise durchsetzen, dass sensible Daten sowohl im ursprünglichen Format wie .doc oder .xls als auch in ein anderes Dateiformat wie .pdf konvertiert das Unternehmen nicht verlassen. Datentransfers, die offensichtlich gegen die Sicherheitsrichtlinie verstoß;en, werden automatisch blockiert. Gleichzeitig lassen sich durch den Einsatz einer DLP-Lösung vertrauliche Dokumente auf File-Servern, stationären PCs, Laptops und weiteren Datenspeichern aufspüren und explizit absichern. Wer also sein Unternehmen mit einem verlässlichen Schutzschild ausstaffieren möchte – jetzt und zukünftig – sollte auf eine Rundum-Strategie setzen. Auf diese Weise sind Menschen, Technologien und Prozesse gleichermaß;en mit einbezogen.

(Autor: Bernd Bilek, Experte für Data Loss Prevention bei Symantec)

Info: http://www.symantec.de/