Data Loss Prevention (DLP) ist kein Hexenwerk sofern dieses Konzept im Rahmen einer gut durchdachten Sicherheitsstrategie aufgesetzt wird. Denn nur dann kann es vertrauliche Daten wirksam und umfassend vor Missbrauch abschirmen, inner- und außerhalb des Netzwerks. Data Loss Prevention: So stopfen Unternehmen Datenlecks Von Bernd Bilek, Experte für Data Loss Prevention bei Symantec. Als Praktikanten getarnte Wirtschaftsspione, unachtsame Anwender oder schnüffelnde Putzfrauen: Oftmals unterschätzen Unternehmen das Risiko, das in den eigenen vier Wänden lauert. Dabei geht es sowohl um unbeabsichtigte Datenverluste durch Mitarbeiter als auch um mutwilligen Diebstahl. Während sich Firmen heute bereits gut gegen Angriffe von außen schützen, weisen viele ihrer Sicherheitskonzepte eklatante Lücken auf, geht es um die Abwehr dieser Innentäter. Eine Kategorie von IT-Sicherheitslösungen hat sich dem Ziel verschrieben, Verluste vertraulicher Informationen durch Mitarbeiter zu verhindern. Die Marktforscher von Gartner haben diese Systeme unter der Beschreibung Content Monitoring und Filtering (CMF) sowie Data Loss Prevention zusammengefasst. Das Produktsegment für DLP gilt als Zukunftsmarkt. Hierzu zählen alle Lösungen und Technologien, die den Fluss vertraulicher Daten organisieren, indem sie die Dokumente sichern oder verschlüsseln, filtern und blockieren. Und dies unabhängig davon, wo die Dokumente sich gerade befinden, ob sie lediglich gespeichert, gerade transferiert oder genutzt werden. Die Umsätze der Branche werden bis 2011 auf 3,2 Milliarden Dollar ansteigen, erklären die Analysten der International Data Corp. (IDC) in einer aktuellen Studie 1. Data Loss Prevention sorgt dafür, dass Anwender regelbasierend autorisierten Zugriff zu wichtigen Informationen erhalten. Gleichzeitig verhindert eine derartige Lösung, dass Informationen ungeschützt und ungewollt das Unternehmen verlassen. Unabhängig davon, ob man den Begriff CMF von Gartner oder das gängigere DLP favorisiert, die Konzepte dahinter erscheinen vielen Unternehmen allerdings als sehr komplex. Die Verantwortlichen wissen oft nicht, wo sie anfangen sollen. Ein durchdachter DLP-Fahrplan gibt die Antworten. Er liefert einen Überblick und verschafft einem Data Loss Prevention Projekt den wichtigen Erfolg. Sanft disziplinieren An erster Stelle beim verlässlichen Schutz vertraulicher Daten stehen die Erarbeitung und Realisierung eines umfassenden Sicherheitskonzepts. Das Ziel dieses Konzepts muss sein, dass keine wichtigen Daten das sichere Netzwerk unautorisiert verlassen. Es geht aber nicht darum, den Angestellten und Kollegen generell zu misstrauen, ihnen gewohnte und für die Firma nützliche Arbeitsweisen zu 1 IDC, "Worldwide Information Protection and Control (IPC) 2007-2011 Forecast and Analysis: Securing the World's New Currency," Doc # 206750, May 2007
verbieten. Wären beispielsweise alle Daten generell für Kopiervorgänge gesperrt, würde dies jeglichen Arbeitsablauf stark behindern. Die Belegschaft würde ein solches Konzept und eine solche Lösung nicht annehmen, möglicherweise sogar versuchen, die aufgesetzten Hürden irgendwie zu umgehen. Andererseits müssen Anwender heutzutage jedes Mal entscheiden, ob es sich bei dem Text, den Projektarbeiten, Zeichnungen oder Berechnungen um streng vertrauliche oder allgemeine, öffentliche Dokumente handelt. Und in jedem dieser Einzelfälle müssen sie genau wissen, was sie mit der Datei anstellen dürfen und was nicht. Die Verantwortung liegt ausschließlich in ihren Händen. Das lässt Raum für Fehler und falsches Verhalten. Wichtige Anhänge wie die Bilanzergebnisse gelangen viel öfter aus Unwissenheit oder Unachtsamkeit denn auf Grund krimineller Intentionen nach draußen. Ein DLP-Konzept entlastet den gewöhnlichen Mitarbeiter von dieser Verantwortung. Es klärt ihn auf, sobald er gegen die Sicherheitsrichtlinien verstößt, die das Unternehmen für diese Klasse von Daten aufgesetzt hat. Außerdem greift es aktiv ein und stoppt die unautorisierte Aktion. Die Aufklärung geschieht beispielsweise mit Hilfe von Pop-ups, die dem Anwender genau erklären, was er aktuell falsch gemacht hat. So erfährt er beispielsweise, dass das aktuelle Dokument nur für interne Zwecke freigegeben ist und daher auf keine externen Geräte wie USB-Sticks kopiert werden darf. So lässt sich ebenfalls durchsetzen, dass ein als extrem wichtig eingestuftes Dokument automatisch umfassend abgesichert wird, beispielsweise indem es verschlüsselt wird. So sind die Anwender davon entlastet, solche Schritte selbstständig einzuleiten. Aber auch der Freiraum für falsches Verhalten, das durch Unwissenheit oder Unachtsamkeiten befördert wird, ist extrem eingeschränkt. Will beispielsweise ein Mitarbeiter, der sich nur gelegentlich mit sensiblen Dokumenten beschäftigt, ein als solches eingestuftes Dokument gegen die Regeln der Firma als Anhang in einer E-Mail verschicken, verhindern die DLP-Mechanismen dies automatisch. Die E-Mail wird geblockt. Optional klären die DLP-Funktionen den Anwender mit Hilfe von Pop-ups darüber auf, dass er falsch gehandelt hat und schärfen so sein Wissen um Vertraulichkeit. Damit diese Automatismen greifen können, sind allerdings einige Vorleistungen nötig. Bestandsaufnahme als Basis Bei der Ausarbeitung des Sicherheitskonzepts müssen zunächst folgende Fragen beantwortet werden: Wo sind vertrauliche Daten gespeichert? Wer sollte sie wie nutzen dürfen? Und wie lassen sich die Daten am besten vor Verlust schützen? Hierzu muss sich das Unternehmen einen Überblick über die eigene Risikolage und Gefährdungssituation verschaffen. Der erste Schritt ist eine vollständige Analyse und Klassifizierung des Datenbestandes. Nach dieser Inventur folgt die Diskussion, wie die Firma mit vertraulichen Daten umgeht, und ob gegebenenfalls neue Richtlinien vonnöten sind. Es folgt die Auswahl eines geeigneten DLP-Produktes mit Echtzeit- Überwachung. Zusammengefasst: Es gilt, die Datenlage zu erfassen, Informationen zu klassifizieren und passende Schutzmaßnahmen zu planen. Dabei legen die Bereichsleiter fest, welche Daten welcher
Sicherheitsstufe unterliegen müssen. Nicht vergessen werden darf in diesem Zusammenhang der menschliche Faktor: Denn DLP ist keine reine IT-Angelegenheit. Die Mitarbeiter müssen in die Prozesse einbezogen werden, um den Verlust vertraulicher Informationen zu verhindern. Egal, ob Personaldaten, Finanzinformationen oder Marketingpläne: Daten wie diese repräsentieren das Unternehmen und müssen geschützt werden. Dies muss auch allen Mitarbeitern klar sein. Essenzieller Kern dieses wirkungsvollen Sicherheitskonzeptes ist die Sicherheitsrichtlinie, da sie alle Maßnahmen regelt. Doch wie wird eine solche Richtlinie verfasst, um das beabsichtigte Resultat zu erzielen? Geltende Standards können hier als Checkliste dienen. Sie stellen sicher, dass kein wichtiger Aspekt vernachlässigt wurde. Ein vielfach bewährter Standard sind die Normen DIN ISO/IEC 27001 und 27002 2. Sie stellen den Unternehmen ein kompetentes Werkzeug in deutscher Sprache zur Verfügung, welches die Anforderungen an die Informationssicherheit des Unternehmens klar und eindeutig definiert. Die IT sorgt im Folgenden für die korrekte Umsetzung und technische Sicherheit mittels DLP. Moderne Lösungen wie Data Loss Prevention von Symantec beherrschen beispielsweise die wichtige Aufklärungsfunktion, mittels optionaler Pop-up-Fenster den Anwender auf die Verletzung einer Richtlinie aufmerksam zu machen. Dies schließt Links in das Intranet zur relevanten Sicherheitsrichtlinie ein. Schritt für Schritt erhöht sich so auch das Wissen um Sicherheitsanforderungen im Unternehmen. Informationslecks aktiv schließen Eine professionelle DLP-Lösung kontrolliert aber nicht nur den E-Mail-Verkehr. Sie kann die unsichere und unerwünschte Übertragung von Daten direkt stoppen. Durch entsprechende Regeln lässt sich beispielsweise durchsetzen, dass sensible Daten sowohl im ursprünglichen Format wie.doc oder.xls als auch in ein anderes Dateiformat wie.pdf konvertiert das Unternehmen nicht verlassen. Datentransfers, die offensichtlich gegen die Sicherheitsrichtlinie verstoßen, werden automatisch blockiert. Gleichzeitig lassen sich durch den Einsatz einer DLP-Lösung vertrauliche Dokumente auf File-Servern, stationären PCs, Laptops und weiteren Datenspeichern aufspüren und explizit absichern. Wer also sein Unternehmen mit einem verlässlichen Schutzschild ausstaffieren möchte jetzt und zukünftig sollte auf eine Rundum-Strategie setzen. Auf diese Weise sind Menschen, Technologien und Prozesse gleichermaßen mit einbezogen. Textumfang: ca 8.430 Zeichen mit Leerzeichen 2 DIN ISO/IEC 27001:2007002 Informationssicherheits-Managementsysteme Anforderungen Deutsche Übersetzung unter Lizenz erhältlich in Papierform oder als PDF-Datei bei www.din.de
1. Infokasten DLP in Zahlen IT-Kriminalität und Attacken auf Unternehmens-IT haben in den vergangenen zwei Jahren drastisch zugenommen und werden weiter zunehmen. Es handelt sich dabei nicht länger um ein theoretisches Risiko: 98 Prozent von 1.000 Befragten haben bereits eigene Erfahrungen gemacht wie beispielsweise Produktivitäts- oder Umsatzeinbußen (Quelle: Report Managed Security in the Enterprise, Symantec 2009). Die meisten Datenverluste in Unternehmen sind dem fehlerhaften Verhalten von Mitarbeitern geschuldet (50 Prozent), externe Bedrohungen machen gerade einmal drei Prozent aus. An zweiter Stelle der Risiken für die Datensicherheit stehen Mängel in der Ablauforganisation (40 Prozent) (Quelle: Quocirca Insight Report). Wenn Mitarbeiter ein Unternehmen verlassen, nehmen 59 Prozent von 1.000 Befragten Daten ihres früheren Arbeitgebers mit (Quelle: Ponemon 2009). Je schlechter der Mitarbeiter seinen Arbeitgeber beurteilt, umso eher nimmt er Daten mit (Quelle: Ponemon 2009). Am häufigsten nehmen ausscheidende Mitarbeiter Kundendaten mit. 39 Prozent nehmen Kundendaten, 35 Prozent personenbezogene Daten mit (Quelle: Ponemon 2009). Mehr als die Hälfte der Mitarbeiter hat auch lange nach dem Ende des Arbeitsverhältnisses noch Zugriff auf Firmensysteme. 41 Prozent der Befragten haben nur noch am Tag nach ihrem offiziellen Ausscheiden Zugriff auf die Daten ihres ehemaligen Arbeitgebers, 23 Prozent bis zu drei Tage danach, 15 Prozent bis zu eine Woche und 20 Prozent sogar noch länger (Quelle: Ponemon 2009). Viele Kunden wollen heute wissen, ob ihre Daten beim Lieferanten sicher sind (37,8 Prozent) (Quelle: Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft). Textumfang Infokasten 1: ca 1,700 Zeichen mit Leerzeichen 2. Infokasten DLP-Fahrplan In vier Schritten zum effektiven Sicherheitsmanagement: Entwickeln einer Sicherheitspolitik, Erstellen eines IT-Sicherheitskonzepts, Realisieren der IT-Sicherheitsmaßnahmen sowie laufende Aktualisierung. Die Details: 1. Risiken und deren Tragweite definieren, dabei auch Menschen und Prozesse einbeziehen. 2. Sicherheitsrichtlinien erstellen, geltende Standards als Checkliste nutzen. Folgende Kriterien sind relevant: Richtlinien nach Nutzer, Art der Inhalte, Speicherort und Netzwerkkommunikation differenzieren. 3. Nutzer sind neben Mitarbeitern auch Lieferanten, Kunden und andere Geschäftspartner. Wer soll
welche Befugnisse besitzen? 4. Art der Inhalte: Inhalte sollten nach dem Grad der Vertraulichkeit unterschieden werden. Ausgefeilte Sicherheitspolitik differenziert zunächst zwischen verschiedenen Arten von Informationen im Unternehmen und entwickelt dann für jede Kategorie geeignete Schutzmaßnahmen. 5. Inhalte werden unterschieden in öffentliche Inhalte, sensible Inhalte, Inhalte, die das Wissenskapital des Unternehmens darstellen, und personengebundene Daten. 6. Speicherort und Netzwerkkommunikation: fest installierte Geräte, mobile Endgeräte sowie Netzwerkkommunikation. 7. Richtlinien für die Krisenkommunikation erstellen. 8. Richtlinien implementieren und deren Einhaltung kontrollieren. Dazu gehören auch Schulungen. 9. Know-how der Anwender um eine Technologie ergänzen, die die Einhaltung der Richtlinien kontinuierlich und automatisch überprüft. 10. Verantwortlichkeiten klar definieren. Textumfang Infokasten 2: ca 1,500 Zeichen mit Leerzeichen 3. Infokasten Ziele und Eigenschaften von DLP-Lösungen DLP-Lösungen: Ziele und Eigenschaften Data Loss Prevention steuert per Regel, dass Anwender autorisierten Zugriff zu wichtigen Informationen erhalten. Gleichzeitig verhindert eine derartige Lösung, dass Informationen ungeschützt das Unternehmen verlassen. Neben einer umfassenden Überwachung des E-Mail-Verkehrs verhindert eine professionelle DLP-Lösung die unerwünschte Übertragung von Daten. Zudem spürt DLP geschäftskritische Daten auf File-Servern, stationären PCs, Laptops und weiteren Datenspeichern auf und schützt diese. Textumfang Infokasten 3: ca. 560 Zeichen mit Leerzeichen