Data Loss Prevention: So stopfen Unternehmen Datenlecks



Ähnliche Dokumente
AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Erfahrungen mit Hartz IV- Empfängern

DER SELBST-CHECK FÜR IHR PROJEKT

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Konzentration auf das. Wesentliche.

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

PIERAU PLANUNG GESELLSCHAFT FÜR UNTERNEHMENSBERATUNG

Die Post hat eine Umfrage gemacht

Welches Übersetzungsbüro passt zu mir?

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Die Dateiablage Der Weg zur Dateiablage

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

Geld verdienen als Affiliate

Outlook Vorlagen/Templates

Jederzeit Ordnung halten

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Egal, ob Sie neu bauen oder renovieren mit DATALIGHT bekommen Sie ein zukunftssicheres Strom- und Datennetz in einem. Und das bedeutet grenzenlose

Was meinen die Leute eigentlich mit: Grexit?

Flyer, Sharepics usw. mit LibreOffice oder OpenOffice erstellen

Arbeiten Sie gerne für die Ablage?

Cloud-Computing. Selina Oertli KBW

ICS-Addin. Benutzerhandbuch. Version: 1.0

Inkrementelles Backup

Der beste Plan für Office 365 Archivierung.

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

AdmiCash-Wiederherstellung auf einem neuen PC oder Betriebssystem

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Handbuch zur Anlage von Turnieren auf der NÖEV-Homepage

I.O. BUSINESS. Checkliste Effektive Vorbereitung aktiver Telefonate

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Leichte-Sprache-Bilder

Urlaubsregel in David

Ihr Weg in die Suchmaschinen

Datensicherung. Beschreibung der Datensicherung

Nicht über uns ohne uns

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Mobile Intranet in Unternehmen

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

Regeln für das Qualitäts-Siegel

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Fragen und Antworten zu Secure

Erstellen einer Collage. Zuerst ein leeres Dokument erzeugen, auf dem alle anderen Bilder zusammengefügt werden sollen (über [Datei] > [Neu])

Installationsanweisung Gruppenzertifikat

GPP Projekte gemeinsam zum Erfolg führen

pro4controlling - Whitepaper [DEU] Whitepaper zur CfMD-Lösung pro4controlling Seite 1 von 9

Kommunikations-Management

malistor Phone ist für Kunden mit gültigem Servicevertrag kostenlos.

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Stellen Sie bitte den Cursor in die Spalte B2 und rufen die Funktion Sverweis auf. Es öffnet sich folgendes Dialogfenster

Bedienungsanleitung für den SecureCourier

Zeit lässt sich nicht wie Geld für schlechte Zeiten zur Seite legen. Die Zeit vergeht egal, ob genutzt oder ungenutzt.

Das Leitbild vom Verein WIR

1 Einleitung. Lernziele. Symbolleiste für den Schnellzugriff anpassen. Notizenseiten drucken. eine Präsentation abwärtskompatibel speichern

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

Danke, dass sie sich für die Infoliste der Moodleveranstaltung eingetragen haben.

Erste Schritte mit Microsoft Office 365 von Swisscom

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

Tutorial: Wie kann ich Dokumente verwalten?

Anleitung über den Umgang mit Schildern

Diese Ansicht erhalten Sie nach der erfolgreichen Anmeldung bei Wordpress.

Was ist clevere Altersvorsorge?

Sicher kommunizieren dank Secure der Suva

Sicher auf Erfolgskurs. Mit Ihrem Treuhand-Betriebsvergleich

Ein Vorwort, das Sie lesen müssen!

Auswertung des Fragebogens zum CO2-Fußabdruck

- Google als Suchmaschine richtig nutzen -

Geld Verdienen im Internet leicht gemacht

Die Invaliden-Versicherung ändert sich

Gästeverwaltung. Gästestammdaten. Gäste verwalten. Hotelsoftware für Klein- und Mittelbetriebe

Die Beschreibung bezieht sich auf die Version Dreamweaver 4.0. In der Version MX ist die Sitedefinition leicht geändert worden.

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Zwischenablage (Bilder, Texte,...)

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Projektmanagement in der Spieleentwicklung

Grundlagen der Theoretischen Informatik, SoSe 2008

! " # $ " % & Nicki Wruck worldwidewruck

Primzahlen und RSA-Verschlüsselung

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Behindert ist, wer behindert wird

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

Test: Sind Sie ein Unternehmertyp?

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Carolo Knowledge Base

Professionelle Seminare im Bereich MS-Office

COMPUTER MULTIMEDIA SERVICE

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

Lizenzen auschecken. Was ist zu tun?

TK-Meinungspuls Gesundheit Cybermobbing, 04/2011 alle Werteangaben in %.

So bereiten Sie sich auf Betriebsrevisionen von Gewerbeaufsicht und Berufsgenossenschaft vor

Was ist eigentlich MinLand?

Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Zusammenführen mehrerer Dokumente zu einem PDF In drei Abschnitten erstellen Sie ein Dokument aus mehreren Einzeldokumenten:

Mit suchmaschinenoptimierten Übersetzungen erfolgreich mit fremdsprachigen Webseiten

WARENWIRT- SCHAFT UND ERP BERATUNG Mehr Sicherheit für Ihre Entscheidung

Transkript:

Data Loss Prevention (DLP) ist kein Hexenwerk sofern dieses Konzept im Rahmen einer gut durchdachten Sicherheitsstrategie aufgesetzt wird. Denn nur dann kann es vertrauliche Daten wirksam und umfassend vor Missbrauch abschirmen, inner- und außerhalb des Netzwerks. Data Loss Prevention: So stopfen Unternehmen Datenlecks Von Bernd Bilek, Experte für Data Loss Prevention bei Symantec. Als Praktikanten getarnte Wirtschaftsspione, unachtsame Anwender oder schnüffelnde Putzfrauen: Oftmals unterschätzen Unternehmen das Risiko, das in den eigenen vier Wänden lauert. Dabei geht es sowohl um unbeabsichtigte Datenverluste durch Mitarbeiter als auch um mutwilligen Diebstahl. Während sich Firmen heute bereits gut gegen Angriffe von außen schützen, weisen viele ihrer Sicherheitskonzepte eklatante Lücken auf, geht es um die Abwehr dieser Innentäter. Eine Kategorie von IT-Sicherheitslösungen hat sich dem Ziel verschrieben, Verluste vertraulicher Informationen durch Mitarbeiter zu verhindern. Die Marktforscher von Gartner haben diese Systeme unter der Beschreibung Content Monitoring und Filtering (CMF) sowie Data Loss Prevention zusammengefasst. Das Produktsegment für DLP gilt als Zukunftsmarkt. Hierzu zählen alle Lösungen und Technologien, die den Fluss vertraulicher Daten organisieren, indem sie die Dokumente sichern oder verschlüsseln, filtern und blockieren. Und dies unabhängig davon, wo die Dokumente sich gerade befinden, ob sie lediglich gespeichert, gerade transferiert oder genutzt werden. Die Umsätze der Branche werden bis 2011 auf 3,2 Milliarden Dollar ansteigen, erklären die Analysten der International Data Corp. (IDC) in einer aktuellen Studie 1. Data Loss Prevention sorgt dafür, dass Anwender regelbasierend autorisierten Zugriff zu wichtigen Informationen erhalten. Gleichzeitig verhindert eine derartige Lösung, dass Informationen ungeschützt und ungewollt das Unternehmen verlassen. Unabhängig davon, ob man den Begriff CMF von Gartner oder das gängigere DLP favorisiert, die Konzepte dahinter erscheinen vielen Unternehmen allerdings als sehr komplex. Die Verantwortlichen wissen oft nicht, wo sie anfangen sollen. Ein durchdachter DLP-Fahrplan gibt die Antworten. Er liefert einen Überblick und verschafft einem Data Loss Prevention Projekt den wichtigen Erfolg. Sanft disziplinieren An erster Stelle beim verlässlichen Schutz vertraulicher Daten stehen die Erarbeitung und Realisierung eines umfassenden Sicherheitskonzepts. Das Ziel dieses Konzepts muss sein, dass keine wichtigen Daten das sichere Netzwerk unautorisiert verlassen. Es geht aber nicht darum, den Angestellten und Kollegen generell zu misstrauen, ihnen gewohnte und für die Firma nützliche Arbeitsweisen zu 1 IDC, "Worldwide Information Protection and Control (IPC) 2007-2011 Forecast and Analysis: Securing the World's New Currency," Doc # 206750, May 2007

verbieten. Wären beispielsweise alle Daten generell für Kopiervorgänge gesperrt, würde dies jeglichen Arbeitsablauf stark behindern. Die Belegschaft würde ein solches Konzept und eine solche Lösung nicht annehmen, möglicherweise sogar versuchen, die aufgesetzten Hürden irgendwie zu umgehen. Andererseits müssen Anwender heutzutage jedes Mal entscheiden, ob es sich bei dem Text, den Projektarbeiten, Zeichnungen oder Berechnungen um streng vertrauliche oder allgemeine, öffentliche Dokumente handelt. Und in jedem dieser Einzelfälle müssen sie genau wissen, was sie mit der Datei anstellen dürfen und was nicht. Die Verantwortung liegt ausschließlich in ihren Händen. Das lässt Raum für Fehler und falsches Verhalten. Wichtige Anhänge wie die Bilanzergebnisse gelangen viel öfter aus Unwissenheit oder Unachtsamkeit denn auf Grund krimineller Intentionen nach draußen. Ein DLP-Konzept entlastet den gewöhnlichen Mitarbeiter von dieser Verantwortung. Es klärt ihn auf, sobald er gegen die Sicherheitsrichtlinien verstößt, die das Unternehmen für diese Klasse von Daten aufgesetzt hat. Außerdem greift es aktiv ein und stoppt die unautorisierte Aktion. Die Aufklärung geschieht beispielsweise mit Hilfe von Pop-ups, die dem Anwender genau erklären, was er aktuell falsch gemacht hat. So erfährt er beispielsweise, dass das aktuelle Dokument nur für interne Zwecke freigegeben ist und daher auf keine externen Geräte wie USB-Sticks kopiert werden darf. So lässt sich ebenfalls durchsetzen, dass ein als extrem wichtig eingestuftes Dokument automatisch umfassend abgesichert wird, beispielsweise indem es verschlüsselt wird. So sind die Anwender davon entlastet, solche Schritte selbstständig einzuleiten. Aber auch der Freiraum für falsches Verhalten, das durch Unwissenheit oder Unachtsamkeiten befördert wird, ist extrem eingeschränkt. Will beispielsweise ein Mitarbeiter, der sich nur gelegentlich mit sensiblen Dokumenten beschäftigt, ein als solches eingestuftes Dokument gegen die Regeln der Firma als Anhang in einer E-Mail verschicken, verhindern die DLP-Mechanismen dies automatisch. Die E-Mail wird geblockt. Optional klären die DLP-Funktionen den Anwender mit Hilfe von Pop-ups darüber auf, dass er falsch gehandelt hat und schärfen so sein Wissen um Vertraulichkeit. Damit diese Automatismen greifen können, sind allerdings einige Vorleistungen nötig. Bestandsaufnahme als Basis Bei der Ausarbeitung des Sicherheitskonzepts müssen zunächst folgende Fragen beantwortet werden: Wo sind vertrauliche Daten gespeichert? Wer sollte sie wie nutzen dürfen? Und wie lassen sich die Daten am besten vor Verlust schützen? Hierzu muss sich das Unternehmen einen Überblick über die eigene Risikolage und Gefährdungssituation verschaffen. Der erste Schritt ist eine vollständige Analyse und Klassifizierung des Datenbestandes. Nach dieser Inventur folgt die Diskussion, wie die Firma mit vertraulichen Daten umgeht, und ob gegebenenfalls neue Richtlinien vonnöten sind. Es folgt die Auswahl eines geeigneten DLP-Produktes mit Echtzeit- Überwachung. Zusammengefasst: Es gilt, die Datenlage zu erfassen, Informationen zu klassifizieren und passende Schutzmaßnahmen zu planen. Dabei legen die Bereichsleiter fest, welche Daten welcher

Sicherheitsstufe unterliegen müssen. Nicht vergessen werden darf in diesem Zusammenhang der menschliche Faktor: Denn DLP ist keine reine IT-Angelegenheit. Die Mitarbeiter müssen in die Prozesse einbezogen werden, um den Verlust vertraulicher Informationen zu verhindern. Egal, ob Personaldaten, Finanzinformationen oder Marketingpläne: Daten wie diese repräsentieren das Unternehmen und müssen geschützt werden. Dies muss auch allen Mitarbeitern klar sein. Essenzieller Kern dieses wirkungsvollen Sicherheitskonzeptes ist die Sicherheitsrichtlinie, da sie alle Maßnahmen regelt. Doch wie wird eine solche Richtlinie verfasst, um das beabsichtigte Resultat zu erzielen? Geltende Standards können hier als Checkliste dienen. Sie stellen sicher, dass kein wichtiger Aspekt vernachlässigt wurde. Ein vielfach bewährter Standard sind die Normen DIN ISO/IEC 27001 und 27002 2. Sie stellen den Unternehmen ein kompetentes Werkzeug in deutscher Sprache zur Verfügung, welches die Anforderungen an die Informationssicherheit des Unternehmens klar und eindeutig definiert. Die IT sorgt im Folgenden für die korrekte Umsetzung und technische Sicherheit mittels DLP. Moderne Lösungen wie Data Loss Prevention von Symantec beherrschen beispielsweise die wichtige Aufklärungsfunktion, mittels optionaler Pop-up-Fenster den Anwender auf die Verletzung einer Richtlinie aufmerksam zu machen. Dies schließt Links in das Intranet zur relevanten Sicherheitsrichtlinie ein. Schritt für Schritt erhöht sich so auch das Wissen um Sicherheitsanforderungen im Unternehmen. Informationslecks aktiv schließen Eine professionelle DLP-Lösung kontrolliert aber nicht nur den E-Mail-Verkehr. Sie kann die unsichere und unerwünschte Übertragung von Daten direkt stoppen. Durch entsprechende Regeln lässt sich beispielsweise durchsetzen, dass sensible Daten sowohl im ursprünglichen Format wie.doc oder.xls als auch in ein anderes Dateiformat wie.pdf konvertiert das Unternehmen nicht verlassen. Datentransfers, die offensichtlich gegen die Sicherheitsrichtlinie verstoßen, werden automatisch blockiert. Gleichzeitig lassen sich durch den Einsatz einer DLP-Lösung vertrauliche Dokumente auf File-Servern, stationären PCs, Laptops und weiteren Datenspeichern aufspüren und explizit absichern. Wer also sein Unternehmen mit einem verlässlichen Schutzschild ausstaffieren möchte jetzt und zukünftig sollte auf eine Rundum-Strategie setzen. Auf diese Weise sind Menschen, Technologien und Prozesse gleichermaßen mit einbezogen. Textumfang: ca 8.430 Zeichen mit Leerzeichen 2 DIN ISO/IEC 27001:2007002 Informationssicherheits-Managementsysteme Anforderungen Deutsche Übersetzung unter Lizenz erhältlich in Papierform oder als PDF-Datei bei www.din.de

1. Infokasten DLP in Zahlen IT-Kriminalität und Attacken auf Unternehmens-IT haben in den vergangenen zwei Jahren drastisch zugenommen und werden weiter zunehmen. Es handelt sich dabei nicht länger um ein theoretisches Risiko: 98 Prozent von 1.000 Befragten haben bereits eigene Erfahrungen gemacht wie beispielsweise Produktivitäts- oder Umsatzeinbußen (Quelle: Report Managed Security in the Enterprise, Symantec 2009). Die meisten Datenverluste in Unternehmen sind dem fehlerhaften Verhalten von Mitarbeitern geschuldet (50 Prozent), externe Bedrohungen machen gerade einmal drei Prozent aus. An zweiter Stelle der Risiken für die Datensicherheit stehen Mängel in der Ablauforganisation (40 Prozent) (Quelle: Quocirca Insight Report). Wenn Mitarbeiter ein Unternehmen verlassen, nehmen 59 Prozent von 1.000 Befragten Daten ihres früheren Arbeitgebers mit (Quelle: Ponemon 2009). Je schlechter der Mitarbeiter seinen Arbeitgeber beurteilt, umso eher nimmt er Daten mit (Quelle: Ponemon 2009). Am häufigsten nehmen ausscheidende Mitarbeiter Kundendaten mit. 39 Prozent nehmen Kundendaten, 35 Prozent personenbezogene Daten mit (Quelle: Ponemon 2009). Mehr als die Hälfte der Mitarbeiter hat auch lange nach dem Ende des Arbeitsverhältnisses noch Zugriff auf Firmensysteme. 41 Prozent der Befragten haben nur noch am Tag nach ihrem offiziellen Ausscheiden Zugriff auf die Daten ihres ehemaligen Arbeitgebers, 23 Prozent bis zu drei Tage danach, 15 Prozent bis zu eine Woche und 20 Prozent sogar noch länger (Quelle: Ponemon 2009). Viele Kunden wollen heute wissen, ob ihre Daten beim Lieferanten sicher sind (37,8 Prozent) (Quelle: Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft). Textumfang Infokasten 1: ca 1,700 Zeichen mit Leerzeichen 2. Infokasten DLP-Fahrplan In vier Schritten zum effektiven Sicherheitsmanagement: Entwickeln einer Sicherheitspolitik, Erstellen eines IT-Sicherheitskonzepts, Realisieren der IT-Sicherheitsmaßnahmen sowie laufende Aktualisierung. Die Details: 1. Risiken und deren Tragweite definieren, dabei auch Menschen und Prozesse einbeziehen. 2. Sicherheitsrichtlinien erstellen, geltende Standards als Checkliste nutzen. Folgende Kriterien sind relevant: Richtlinien nach Nutzer, Art der Inhalte, Speicherort und Netzwerkkommunikation differenzieren. 3. Nutzer sind neben Mitarbeitern auch Lieferanten, Kunden und andere Geschäftspartner. Wer soll

welche Befugnisse besitzen? 4. Art der Inhalte: Inhalte sollten nach dem Grad der Vertraulichkeit unterschieden werden. Ausgefeilte Sicherheitspolitik differenziert zunächst zwischen verschiedenen Arten von Informationen im Unternehmen und entwickelt dann für jede Kategorie geeignete Schutzmaßnahmen. 5. Inhalte werden unterschieden in öffentliche Inhalte, sensible Inhalte, Inhalte, die das Wissenskapital des Unternehmens darstellen, und personengebundene Daten. 6. Speicherort und Netzwerkkommunikation: fest installierte Geräte, mobile Endgeräte sowie Netzwerkkommunikation. 7. Richtlinien für die Krisenkommunikation erstellen. 8. Richtlinien implementieren und deren Einhaltung kontrollieren. Dazu gehören auch Schulungen. 9. Know-how der Anwender um eine Technologie ergänzen, die die Einhaltung der Richtlinien kontinuierlich und automatisch überprüft. 10. Verantwortlichkeiten klar definieren. Textumfang Infokasten 2: ca 1,500 Zeichen mit Leerzeichen 3. Infokasten Ziele und Eigenschaften von DLP-Lösungen DLP-Lösungen: Ziele und Eigenschaften Data Loss Prevention steuert per Regel, dass Anwender autorisierten Zugriff zu wichtigen Informationen erhalten. Gleichzeitig verhindert eine derartige Lösung, dass Informationen ungeschützt das Unternehmen verlassen. Neben einer umfassenden Überwachung des E-Mail-Verkehrs verhindert eine professionelle DLP-Lösung die unerwünschte Übertragung von Daten. Zudem spürt DLP geschäftskritische Daten auf File-Servern, stationären PCs, Laptops und weiteren Datenspeichern auf und schützt diese. Textumfang Infokasten 3: ca. 560 Zeichen mit Leerzeichen

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback