Data Leakage Prevention

Transkript

1

2 Data Leakage Prevention Einleitung Schutz vor dem unerwünschten Abfluss von wertvollen Informationen aus Politik, Handel, Militär etc. dürfte die gesamte Geschichte der Menschheit begleitet haben. Die dabei entwickelten Verfahren und Methoden variierten mit der Zeit. Standen am Anfang drakonische Maßnahmen wie das Liquidieren von Geheimnisträgern oder die Androhung drastischer Strafen im Vordergrund, entwickelten sich die Techniken im Laufe der Zeit weiter, zumal es immer raffiniertere Vorgehensweisen der professionellen»geheimnisfindung«sprich»spionage«gab. In diesem Zusammenhang wurden beispielsweise die Steganografie, das raffinierte Verstecken von Informationen, und die Kryptografie»erfunden«und an die sich weiterentwickelnden Spionagetechniken angepasst. Heute findet Informationsaustausch und Informationsverarbeitung in elektronischer Form auf breiter Basis statt, womit sich das Problem der Entdeckung und Verhinderung von unerwünschten Datenabflüssen erheblich verschärft hat. Seit der Berichterstattung über PRISM, TEMPORA und ähnliche Systeme ist jedem bewusst, dass weltweit großflächig Daten auf allen Ebenen abgesaugt, gespeichert und ausgewertet werden nicht zuletzt, weil heute nahezu jede Kommunikation von jedem Ort der Welt aus belauschbar ist. Die Nachfrage nach sensiblen Informationen aus der Wirtschaft boomt. Im Fokus sind u.a. Betriebsgeheimnisse, die durch geheimdienstliche Spionage und Werksspionage von Wettbewerbern erlangt werden, von Insidern kopierte DVDs mit Finanzdaten sowie illegal kopierte Filme der Unterhaltungsindustrie. Die Vorgehensweisen reichen von der systematischen Überwachung aller Aktivitäten eines Unternehmens über elektronische Angriffe per Internet und mittels anderer Kommunikationskanäle bis hin zur Abwerbung und Bestechung von Know-how-Trägern. Da die allermeisten sensiblen Informationen in IT-Systemen gespeichert und über Netze übertragen werden, konzentrieren sich entsprechende Spionage- 9

3 DATA LEAKAGE PREVENTION aktivitäten immer mehr darauf, sogenannte Datenlecks (Data Leaks) anzuzapfen. Hierunter versteht man Schnittstellen, Kanäle und Medien, über die man sensible Daten natürlich unerwünscht und meist unentdeckt transportieren kann. Für die betroffenen Unternehmen wird damit der Schutz des eigenen Knowhows und der Betriebsgeheimnisse immer wichtiger aber auch immer schwieriger. Ein vergleichbares Problem haben auch Regierungsstellen und Behörden, die sich selbst als befreundete Staaten im Visier mancher Geheimdienste sehen. Sensible Informationen bzw. Daten von Organisationen fallen in den Sicherheitskonzepten sofern solche vorhanden sind unter das Sicherheitsziel der Vertraulichkeit, das meist durch vielfältige Sicherheitslücken und Schwachstellen bedroht ist. Diese können zu exorbitanten Risiken führen. Man begegnet ihnen in aller Regel mit der Forderung nach Access Control (Zutritts-, Zugriffs-, Zugangskontrolle), die im Sicherheitskonzept mit vielen Detailmaßnahmen geplant und später umgesetzt wird. Bei diesem Vorgehen gibt es zwei grundsätzliche Defizite: Access Control wirkt in der Praxis nie so umfassend, dass alle möglichen Kanäle und Datenlecks erfasst werden (Abdeckungsgrad). Access Control funktioniert nach der Devise, Befugten etwas zu gestatten, Unbefugten dagegen etwas zu verwehren. Damit sind Aktionen von Befugten eigentlich gar nicht kontrollierbar, d.h. die gesamte Insider-Problematik fällt aus dieser Form der Sicherheitsmaßnahme heraus. Um Data Leakage zu vermeiden oder zumindest zu entdecken, muss der Umgang mit sensiblen Daten (Kopieren, Speichern Drucken, Übertragen etc.) von Befugten kontrolliert werden, was natürlich juristische Implikationen nach sich zieht. Gerade hier ist aber ein hohes Potenzial für den unerwünschten Abfluss von Daten vorhanden. In den letzten Jahren ist diese Thematik mit den Begriffen Data Loss Prevention bzw. Data Leakage Prevention umschrieben worden, wobei der erste Begriff mehr den Abfluss von Daten mangels geeigneter Kontrollen, der zweite Begriff mehr den zufälligen, technisch nicht erfassbaren Abfluss meint. Die Abkürzung DLP steht für beides. Datenlecks sind in vielen unserer heutigen Systeme und Netze zahlreich vorhanden. Inzwischen gibt es auf dem Markt Produkte, die zumindest einige Defizite vorhandener Systeme kompensieren, indem sie beispielsweise 10

4 INHALT DES BUCHES auch die Aktivitäten Befugter (!) protokollieren und bei der Auswertung der Protokolle unterstützen, sodass etwa das Kopieren einer sensiblen Datei auf einen externen Datenträger nachvollzogen werden kann und möglicherweise zu einem Alarm führt, oder zu kopierende bzw. zu übertragende Daten dynamisch nach bestimmten Regeln, Klassen oder anderen Merkmalen als sensibel einstufen und bei einer hohen Sensibilität geeignet überwachen. Bei solchen DLP-Produkten geht es natürlich darum, sie vernünftig zu konfigurieren, sie in vorhandene Sicherheitskonzepte und Richtlinien so einzubauen, dass ein wesentlicher Beitrag zur Vermeidung oder zumindest Begrenzung von Datenlecks geleistet wird. Inhalt des Buches In diesem Buch möchten wir nach einer Einführung zu den unterschiedlichen Arten von Data Leakage die praxisrelevanten Ausprägungen des Schutzes der Vertraulichkeit von sensiblen Daten darstellen und insbesondere den Schutz geistigen Eigentums und von Betriebsgeheimnissen diskutieren. (Kapitel 1) Danach wenden wir uns den aktuellen Ursachen für das immer stärker um sich greifende Data Leakage zu. Wir unterscheiden technische Ursachen wie spezialisierte Computerviren und Phishing-Trojaner von durch Personen verursachten Datenabflüssen. Zu Letzterem zählen mit Vorsatz stattfindende Datendiebstähle etwa im Rahmen von Werksspionage und nicht vorsätzlich verursachte Datenlecks. Der»menschliche Faktor«wie Spieltrieb und Unachtsamkeit spielt hier eine wesentliche Rolle. Der momentan vorherrschende Zeitgeist der Selbstdarstellung in sozialen Netzwerken trägt in besorgniserregendem Ausmaß ebenfalls dazu bei. (Kapitel 2) Nach der Darstellung der Ursachen für Data Leakage diskutieren wir die relevanten Kanäle, über die in der Praxis der Abfluss von sensiblen Daten stattfindet. Für die anschließend vorgestellten Maßnahmen zur Verhinderung des unerwünschten Datenabflusses ist es wichtig, unvollständig kontrollierte Echtzeitkommunikation, ad hoc Cloud Computing, nicht ausreichend administrierte mobile Infrastrukturen mit Smartphones, Tablet-Computern und den dazugehörigen mobilen Speichermedien zu untersuchen. Für Data Leakage Protection (DLP) bringt die sich stark ausbreitende Unternehmensphilosophie 11

5 DATA LEAKAGE PREVENTION des Einbindens mitarbeitereigener Mobilgeräte (BYOD,»Bring Your Own Device«) eine erhebliche Verschärfung der Problematik mit sich. (Kapitel 3) Anschließend beschreiben und bewerten wir geeignete rechtliche, organisatorische und personelle Maßnahmen im DLP-Umfeld. (Kapitel 4) Wir stellen den Bezug von DLP zu den etablierten Sicherheitsstandards ISO und BSI 1 -Grundschutz her und behandeln die korrespondierenden Aufgaben des Sicherheitsmanagements. Dabei geht es unter dem Blickwinkel von DLP insbesondere um die Anpassung bestehender Sicherheitsleitlinien, Sicherheitskonzepte und Sicherheitsrichtlinien. (Kapitel 5) Danach diskutieren wir umfassende DLP-Systeme, wie sie in der Praxis Verwendung finden. Wir unterscheiden zwischen netzwerkbasierten und hostbasierten Systemen mit Agenten auf den Endpoints und zentralen DLP- Management-Servern. (Kapitel 6) Für eine zentrale DLP-Lösung sind umfassende Vorüberlegungen organisatorischer und rechtlicher Natur erforderlich. Dazu gehören Betriebsvereinbarungen zur Überwachung auf DLP am Endgerät als auch ein Richtlinienkatalog mit Kontrollmaßnahmen zur DLP. Wie wir bereits erwähnten, nehmen mit dem Einsatz von mobilen (insbesondere BYOD) Endgeräten die Bedrohungslage und die damit verbundenen Risiken für die Ziele des DLP für die auf mobilen Geräten übertragenen, verarbeiteten und gespeicherten Daten stark zu. Diese Problematik ist ebenfalls ein nicht unwesentlicher Faktor bei der Auswahl von DLP-Systemen sowie bei der Aufstellung von Richtlinien und Übertragung von Rollen und Verantwortlichkeiten. (Kapitel 7) Sodann behandeln wir Auswahlkriterien für DLP-Systeme sowie ergänzende Maßnahmen bei Einführung und Betrieb eines DLP-Systems, vor allem Kontroll- und Überwachungsmaßnahmen. (Kapitel 8) Den Abschluss des Buches bilden eine Zusammenfassung und ein Ausblick auf weiterführende Aktivitäten im Zusammenhang mit Data Leakage. (Kapitel 9) Im September 2013 Gerhard Klett Heinrich Kersten 1. Bundesamt für Sicherheit in der Informationstechnik, 12