Abbildung 1.1: Sicherheitsrisiken in der IT 2

Transkript

1 Überblick Schlägt man heute ein aktuelles Magazin mit einer Informatik- oder Multimedia-Seite online oder in der Papierausgabe auf, stößt man mit großer Wahrscheinlichkeit auf einen berichtenswerten Vorfall von unerwünschtem Datenabfluss. Es entsteht der Eindruck, Data Leakage sei heute allgegenwärtig und dieser Eindruck ist nicht falsch. Die Datenflut und Zugangsmöglichkeiten in Firmen- und Behördennetzen, Clouds, sozialen Netzwerken, auf mobilen Gerätschaften wie Smartphones, Tablet-Computern und transportablen Wechselmedien sind geradezu eine Einladung an Personen, diese Daten legal oder illegal für ihre Zwecke auszunutzen. Das reicht von kompromittierenden Enthüllungen auf Plattformen wie Wikileaks bis hin zu dem Verkauf von persönlichen Daten, Kundeninformationen, Betriebsgeheimnissen etc. Vom deutschen Mittelstand wird in einer Corporate Trust Studie von 200 der unerwünschte Informationsabfluss als das größte Sicherheitsrisiko in der IT aufgeführt. Abbildung.: Sicherheitsrisiken in der IT schwarz: Deutschland, grau: weltweit 3

2 KAPITEL ÜBERBLICK Mit den Schutzmechanismen gegen Data Leakage verhält es sich ähnlich: Von der Kontrolle von Rechnerschnittstellen über das Echtzeit-Monitoring von Netzwerk- und Benutzerverhalten bis hin zum Mobile Device Management erstreckt sich ein ausgedehnter Katalog von Maßnahmen: auf den ersten und vielleicht auch zweiten Blick ein undurchsichtiges Konglomerat. Wir werden uns deshalb in diesem ersten Kapitel um eine Strukturierung der Problematik Data Leakage/Data Loss bemühen. Wir wollen noch kurz anführen, dass die Inhalte dieses Buchs gleichermaßen auf Unternehmen, Behörden, Verbände etc. angewendet werden können. Diesen Sachverhalt drücken wir dadurch aus, dass zusammenfassend von Organisationen die Rede ist.. Definitionen Beginnen wir mit den Definitionen. In der Literatur werden häufig die Begriffe»Data Loss«und»Data Leakage«sowie bei der Beschreibung des entsprechenden Schutzes»Protection«und»Prevention«synonym verwendet und mit»dlp«abgekürzt; die Bezeichnungen variieren immer wieder einmal. Das Ziel derlei Lösungen ist jedoch in jedem Fall das Gleiche: sensible Daten in einer Organisation zu identifizieren und deren Verbreitung sowie Nutzung zu kontrollieren. Alle Begriffe basieren auf dem Schutz der Vertraulichkeit von Informationen als eines der drei Ziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) und sind insofern nichts Neues. Je nach Ausprägung der Schutzmaßnahmen kann auch Integrität und Verfügbarkeit direkt oder indirekt miteinbezogen sein. Vereinfacht ist DLP eine Ansammlung von Maßnahmen zum Schutz von Daten gegen nicht autorisierte Weitergabe, die direkt durch Personen oder indirekt durch Software erfolgen kann. Bei»Data Loss«und»Data Leakage«handelt es sich um einprägsame,»süffige Begriffe«, die zu Marketingzwecken eingeführt wurden, in einigen Quellen aber unterschieden werden:»data Loss Prevention«ist der Schutz gegen den unerwünschten Abfluss von Daten, der Schaden verursacht und auch bemerkt wird, während»data Leakage Prevention«für einen Schutz gegen ein vermutetes, aber nicht messbares und manchmal auch im Einzelfall gar nicht feststellbares Weitergeben von Informationen an unerwünschte Empfänger steht

3 SENSIBLE DATEN Hinweis In der Praxis ist Data Loss oft der Auslöser für Data Leakage Prevention. Man hat einen Datenabfluss mit ernsten Schäden und Konsequenzen bemerkt und möchte einer Wiederholung durch Eliminieren von bekannten Schwachstellen und Überwachung der Informationsverarbeitung vorbeugen; vielleicht ist dies auch eine Erklärung für die überwiegend synonyme Verwendung der beiden Begriffe. In den weiteren Ausführungen werden wir der Einfachheit halber»data Leakage«und»Data Leakage Prevention«, abgekürzt»dlp«, verwenden..2 Sensible Daten Ziel von Data Leakage Prevention ist es, die nicht autorisierte Weitergabe von sensiblen Daten zu verhindern. Aber was sind in diesem Zusammenhang sensible Daten? Spontan werden einem dazu folgende Beispiele einfallen: Daten, die unter gesetzliche Regulierungen fallen, z.b. personenbezogene Daten (BDSG), Sozialdaten, Finanzdaten, Bilanzdaten (Sarbanes-Oxley Act, SOX), Staatliche oder andere Verschlusssachen. Geistiges Eigentum (»Betriebsgeheimnisse«) wie etwa Forschungs-, Projekt- und Entwicklungsdaten, Herstellungsverfahren, Rezepturen, sonstige proprietäre Verfahren und Methoden, Quellcode von Software, Patentanmeldungen. Weitere sensible Daten, z.b. Zugangsdaten, Infrastrukturdaten und -pläne, Zahlungsdaten, Marketingstrategien, Auditberichte, Logdateien sowie Daten, denen eine Beweiskraft zukommt. 5

4 KAPITEL ÜBERBLICK Die so entstehende Liste wird sehr wahrscheinlich nicht vollständig sein. Gehen wir deshalb das Problem von einer abstrakteren Sicht an und fragen uns: Was ist allen sensiblen Daten gemein? 4 Wichtig Sensible Daten haben alle eines gemeinsam: Diese Daten sollten nicht in die falschen Hände geraten und nicht unkontrolliert kopierfähig sein. Die Vertraulichkeit 4 dieser Daten wird dabei von Gesetzen geschützt und/oder stellt einen hohen Wert für ihre legitimen Besitzer dar. Bisher war die Rede von Informationen und von Daten also die codierte Form von Informationen. Die Vertraulichkeit bezieht sich natürlich primär auf den jeweiligen Informationsgehalt unabhängig von seiner Codierung, dem Speicherort der codierten Daten etc. Informationen können z.b. von Menschen an Menschen mündlich weitergegeben werden aber eben auch auf technischem Wege, wenn die Informationen als Daten in bestimmten Systemen vorliegen. Im Folgenden werden wir die genaue Unterscheidung zwischen Informationen und Daten nur dann vornehmen, wenn dies sachlich geboten ist. Vom Verlust der Vertraulichkeit sprechen wir, wenn vertrauliche Informationen Unbefugten zur Kenntnis gelangen. Das Problem dabei ist, dass man weder Informationen noch Daten den Verlust der Vertraulichkeit ansehen kann sie können also Unbefugten längst zur Kenntnis gelangt sein, ohne dass dies von den Befugten registriert wurde. Dies macht es schwierig, die Wirksamkeit von DLP-Maßnahmen zu messen oder bewerten, da nie klar ist, ob und inwieweit sensible Informationen bereits gestreut worden sind. Was sind die Ursachen für den Verlust der Vertraulichkeit von Informationen? Grundsätzlich ist zunächst zu unterscheiden, ob eine Informationsweitergabe unbeabsichtigt wenn auch vielleicht fahrlässig oder beabsichtigt geschieht. Sodann geht es darum, ob die Weitergabe 4. Für Informationen bzw. Daten dieser Art können auch andere Sicherheitsziele wie die Integrität, Verfügbarkeit, Authentizität bestehen. Diese sind jedoch nicht primär Gegenstand von DLP. 6

5 ARTEN VON DATA LEAKAGE PREVENTION ihre Ursache in organisatorischen, technischen oder infrastrukturellen Schwachstellen hatte, die von Befugten oder Unbefugten ausgenutzt wurden, durch Befugte an Unbefugte mündlich oder auf anderem nicht-technischen Wege erfolgte (Schwachstelle Mensch). DLP sollte grundsätzlich beide Formen von Data Leakage adressieren. Eine wichtige Überlegung: Eine Zugriffskontrolle verhindert möglicherweise den nicht autorisierten Zugriff durch Unbefugte, verhindert aber selten die Weitergabe durch Befugte. Folglich kann eine noch so gute Zugriffskontrolle das Problem der Data Leakage nur teilweise lösen..3 Arten von Data Leakage Prevention Wie bereits in der Einleitung erwähnt, kann Data Leakage direkt durch den Zugriff von Personen oder indirekt durch Software verursacht werden. Der Zugriff auf die Daten erfolgt in unterschiedlichen Lokationen, die für die Auswahl der Schutzmaßnahmen maßgeblich sind. Abbildung.2: Objekte und Subjekte für DLP.3. Kommunikationsbezogenes DLP Sensible Daten müssen innerhalb und außerhalb von Organisationen im Rahmen ihrer Verarbeitung transportiert werden. Personenbezogene Daten durchlaufen Verarbeitungsschritte innerhalb von Personalabteilungen, Entwicklungsdaten werden an Patentabteilungen kommuniziert, Marketingstrategien werden im Vertrieb zur Planung benötigt, sensible Daten werden zwi- 7

6 KAPITEL ÜBERBLICK schen Projektpartnern bzw. zwischen Auftraggeber und Auftragnehmer ausgetauscht um nur einige Beispiele aufzuführen. Bei der Kommunikation bzw. Übertragung dieser Daten kann es zu unerwünschten Abflüssen kommen: Netzwerkleitungen und Funkstrecken können (unbemerkt) angezapft bzw. abgehört werden; bei der Übertragung im Internet sind die beteiligten Knotenrechner meist nicht vorherbestimmbar, d.h. wer immer Zugriff zu einem solchen Knoten hat, kann den Datenverkehr leicht abhören. Zu den Funkstrecken zählt neben WLAN, Bluetooth auch die gesamte mobile Kommunikation. Auf höheren Kommunikationsebenen finden wir Anwendungen wie etwa und Datei-Transfer (z.b. per FTP), deren Kommunikationsverlauf leicht beobachtet werden kann. Nicht beteiligte Dritte können die übertragenen Daten kopieren und unbefugt, aber auch unbemerkt weiterverwenden. Ein besonders kritisches Thema sind existierende Wartungsschnittstellen von IT-Geräten und darüber hinaus von Produktionsanlagen; bei der Kommunikation über diese Schnittstellen fließen nicht nur vertrauliche Daten (Einstellungen, Systemzustände, Konfigurationsdaten) hier bieten sich sogar weitere Angriffspunkte in Richtung Sabotage. Die Kommunikation muss deshalb einen entsprechenden Schutz aufweisen. Überwachung das Monitoring von Netzwerkverbindungen, verschlüsselte Kommunikationskanäle, Ende-zu-Ende-Verschlüsselung, Virtual Private Networks sind nur einige Beispiele für Schutzmaßnahmen, die bei kommunikationsbezogenem DLP zur Anwendung kommen können..3.2 Medienbezogenes DLP Sensible Daten werden heute mannigfaltig auf unterschiedlichsten Medien in IT-Infrastrukturen gespeichert. Hier sind zunächst die redundante Speicherung (Replikation) von Daten mit dem Ziel der Erhöhung der Verfügbarkeit, dann das klassische Backup der Daten, aber auch eine Speicherung in Archiv- Systemen zu nennen. Hier ist die Redundanz»gewollt«. Das Ausdrucken sensibler Daten wird an vielen Stellen erforderlich sein was passiert aber mit dem Medium»bedrucktes Papier«? Es macht eher wenig Sinn, über DLP nachzudenken, wenn z.b. wesentliche Teile des Fir- 8

7 ARTEN VON DATA LEAKAGE PREVENTION men-know-hows irgendwelchen Listings entnommen werden können, die bedenkenlos zum Müll gegeben wurden. Oft aber erfolgt die Speicherung sensibler Daten redundant, ohne dass dies den Verursachern bewusst ist. Dazu einige Beispiele, die für DLP eine enorme Herausforderung darstellen: Die aktuellen IT-Infrastrukturen mit ihrem stark wachsenden mobilen Anteil in Form von Smartphones und Tablet-Computern mit kommunikationsfreudigen Apps, Cloud-Zugängen und Wechselspeichern. Die zahlreichen»eingebetteten«webserver in Kopierautomaten, Druckern, Routern etc. mit der Fähigkeit, zumindest temporäre Kopien sensibler Daten zu speichern. Von Hardware, Betriebssystemen und anderer Software genutzte temporäre Speicher (etwa in Tastaturen, im Rahmen der Interprozesskommunikation, als Puffer etc.) sind in allen Systemen zahlreich vorhanden und können mit entsprechender Software»beobachtet«und ausgelesen werden. Statistiken zeigen, dass ein beträchtlicher Anteil der Datenabflüsse über solche Medien erfolgt. So verwundert es nicht, dass ein hoher Anteil der kommerziell verfügbaren DLP-Systeme medienbezogene DLP-Systeme sind. Abbildung.3: Kanäle für Datenabflüsse

8 KAPITEL ÜBERBLICK Für ein wirksames, medienbezogenes DLP muss man. alle Speicherorte der sensiblen Daten kennen, 2. Schutzmaßnahmen für diese Lokationen etablieren oder 3. im Einzelfall die Speicherung in diesen Lokationen verhindern, falls DLP wirtschaftlich nicht angemessen möglich ist. Zur Verdeutlichung zählen wir wieder einige Schutzmaßnahmen für medienbezogenes DLP auf: Verschlüsselung von Festplatten, Speicherkarten, USB-Sticks etc. Verschlüsselte Datenablage in mobiler Infrastruktur (Endgeräte, Peripherie, Clouds). Überwachung temporärer Speicher, gesicherte Entsorgung von Medien. Kontrolle von USB-Ports, FireWire-Schnittstellen, WLAN-Zugängen, Bluetooth etc. Gerade der letzte Punkt ist bei den aktuellen IT-Landschaften ein sehr ehrgeiziges Unterfangen, wie das folgende Bild zeigt. Abbildung.4: Medien für Data Leakage in einem modernen Umfeld