DRM - Digital-Rights-Management



Ähnliche Dokumente
EIN C.A.F.E. FÜR DEN DATENSCHUTZ

ANYWHERE Zugriff von externen Arbeitsplätzen

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

ICS-Addin. Benutzerhandbuch. Version: 1.0

Lizenzen auschecken. Was ist zu tun?

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

SharePoint Demonstration

Der beste Plan für Office 365 Archivierung.

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Daten am USB Stick mit TrueCrypt schützen

Updatehinweise für die Version forma 5.5.5

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

Virtual Private Network. David Greber und Michael Wäger

icloud nicht neu, aber doch irgendwie anders

PC-Umzug: So ziehen Sie Ihre Daten von Windows XP nach Windows 8 um

Software-Validierung im Testsystem

Installation und Inbetriebnahme von SolidWorks

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Zugriff auf Unternehmensdaten über Mobilgeräte

Speicher in der Cloud

Tipps und Tricks zur Installation von Java-basierten Programmen auf Handys

Mit jedem Client, der das Exchange Protokoll beherrscht (z.b. Mozilla Thunderbird mit Plug- In ExQulla, Apple Mail, Evolution,...)

Eigene Dokumente, Fotos, Bilder etc. sichern

Umstieg auf Microsoft Exchange in der Fakultät 02

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

Microsoft PowerPoint 2013 Folien gemeinsam nutzen

EasyWk DAS Schwimmwettkampfprogramm

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Kurzanleitung zum Einrichten eines POP3-Mail-Kontos unter Outlook 2013

SJ OFFICE - Update 3.0

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

s.beat DAP-10X White Paper USB Stromversorgung am Apple Macintosh und deren Auswirkung

2 Datei- und Druckdienste

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

10.1 Auflösung, Drucken und Scannen

Guide DynDNS und Portforwarding

INFORMATION MONITOR HSM SOFTWARE GMBH CLIENT-INSTALLATION

Step by Step VPN unter Windows Server von Christian Bartl

Virtual Channel installieren

Windows 8 Lizenzierung in Szenarien

FrogSure Installation und Konfiguration

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

SSH Authentifizierung über Public Key

OP-LOG

Wenn keine Verbindung zwischen den Computern besteht, dann bist du offline.

Tipps und Tricks zu den Updates

Dokumentation zur Versendung der Statistik Daten

Lizenzierung von System Center 2012

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Benachrichtigungsmöglichkeiten in SMC 2.6

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Installation der SAS Foundation Software auf Windows

Informations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken. Upload- / Download-Arbeitsbereich

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Anleitung über den Umgang mit Schildern

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Anleitung. Update/Aktualisierung EBV Einzelplatz Homepage. und Mängelkatalog

mit freundlicher Genehmigung der Kanzlei Kemper & Kollegen und ihres Mandanten Kurzgutachten

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Dezentrale Verschlüsselung. Lumension Device Control Version 4.4

CSS-Grundlagen. Etwas über Browser. Kapitel. Die Vorbereitung

Die nachfolgende Anleitung zeigt die Vorgehensweise unter Microsoft Windows Vista.

Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me

Professionelle Seminare im Bereich MS-Office

FAQ 04/2015. Auswirkung der ISO auf 3SE53/3SF13 Positionsschalter.

Drägerware.ZMS/FLORIX Hessen

Dieses HowTo darf nicht vervielfältigt oder veröffentlich werden ohne Einverständnis des Erstellers. Alle Angaben ohne Gewähr.

Enterprise Cloud Suite Einführung und Szenarien

Schnittstelle DIGI-Zeiterfassung

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Daten Sichern mit dem QNAP NetBak Replicator 4.0

Virtual Roundtable: Business Intelligence - Trends

Zahlenwinkel: Forscherkarte 1. alleine. Zahlenwinkel: Forschertipp 1

Kapitel 4 Die Datenbank Kuchenbestellung Seite 1

Datensicherung EBV für Mehrplatz Installationen

Research Note zum Thema: Laufzeit von Support-Leistungen für Server OS

Übung - Konfigurieren einer Windows-XP-Firewall

Fax einrichten auf Windows XP-PC

AXIGEN Mail Server. s per Smarthost versenden s per Pop3 empfangen. Produkt Version: Dokument Version: 1.2

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Gut zu wissen: Hilfe für ereader-einsteiger Leitfaden Nr. 2: Wie lade ich meine ebooks in das Programm Adobe Digital Editions?

Was ist Sozial-Raum-Orientierung?

Howto. Einrichten des TREX Monitoring mit SAP Solution Manager Diagnostics

bizsoft Rechner (Server) Wechsel

Standard Daten-Backup-Script

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Outlook Vorlagen/Templates

Transkript:

DRM - Digital-Rights-Management Seminararbeit - Data Loss/Leak Prevention Betreuer: DI Rainer Poisel rainer.poisel@fhstp.ac.at Verfasser: Reidlinger Wolfgang is081021@fhstp.ac.at Hammerschmied Klaus is081007@fhstp.ac.at Zanitzer Gerhard is081033@fhstp.ac.at Stand: 22/11/2010 WS2010 Matthias Corvinus-Straße 15, A-3100 St. Pölten, T: +43 2742 313228, F: +43 2742 313229, E: office@fhstp.ac.at, I: www.fhstp.ac.at

Inhaltsverzeichnis 1 Einführung... 3 1.1 Definition von DLP... 3 1.1.1 Einteilung von Datenbeständen... 4 1.1.2 Bestandteile einer DLP Strategie... 4 1.2 Verwendete Technologien... 5 1.3 Geschichte... 6 1.4 Rechtliche Aspekte... 6 1.5 Insident Databases... 6 2 Vergleich der verschieden Anbieter... 7 2.1 Hardware Gateway... 7 2.1.1 Cisco Ironport Appliances... 7 2.2 Software... 8 2.2.1 Drivelock... 8 2.2.2 Security.Desk - Endpoint Security... 8 2.3 Hybrid... 8 2.3.1 McAffee Data Loss Prevention... 8 2.3.2 Trend Micro DLP... 9 2.3.3 Checkpoint DLP... 9 3 Quellen... 10 4 Abbildungsverzeichnis... 10 22. November 2010 2 / 10

1 Einführung Digitale Datensätze zählen im privaten als auch im geschäftlichen Umfeld als Güter mit denen man täglich in Berührung kommt. Diese Daten können sich von belanglosen privaten Dokument bis hin zu hoch sensiblen geschäftlichen Dokumenten bewegen. Das Gefahrenpotential, welches eine Offenlegung dieser Daten mit sich bringt ist nicht jedem bekannt. Die Offenlegung von zum Beispiel vertraulichen Geschäftsdaten durch einen erbosten, entlassenen Mitarbeiter könnte massive Auswirkungen auf den geschäftlichen Erfolg einer bestimmten Firma nach sich ziehen. Diese und noch eine Vielzahl ähnlicher Situationen passieren jedoch weltweit tagtäglich. Der Trend hin zu einer immer umfangreicheren Nutzung von elektronischen Datensätzen birgt daher Gefahren sowohl auf Seiten der Kunden als auch der Organisationen. Aufgrund dieser Tatsache überlegen sich IT Spezialisten in den letzten Jahren wie man diesen Entwicklungen entgegentreten kann. Um oben stehende Problematik verhindern zu können werden Technologien, welche sich unter dem Begriff Data Loss Prevention bzw. Data Leak Prevention zusammenfassen lassen, eingesetzt. Diese noch recht junge Themengebiet der Informationssicherheit beschäftigt sich abseits der bereits bestens bekannten Schutzmaßnahmen wie IDS/IPS sowie Firewallsystemen mit den Schutz bestimmter Daten. Speziell ist hierbei, dass die Daten nicht vor dem Zugriff von unberechtigten Dritten sondern von berechtigten Personen geschützt werden müssen. DLP Systeme versuchen das unerlaubte Weitergeben von Daten durch berechtigte Personen zu verhindern. 1.1 Definition von DLP Ob nun von Data Loss Prevention oder Data Leak Prevention gesprochen wird ist meist nicht ganz klar. "Data Loss Prevention" und "Data Leakage Prevention" werden meist synonym gebraucht, von einigen Spezialisten in der Fachdiskussion aber auch unterschieden: "Data Loss Prevention" ist der Schutz gegen den unerwünschten Abfluss von Daten, der Schaden verursacht und auch bemerkt wird, während "Data Leakage Prevention" für einen Schutz gegen ein vermutetes, aber nicht messbares und manchmal auch im Einzelfall gar nicht feststellbares Weitergeben von Informationen an unerwünschte Empfänger steht. 1 Unternehmen, welche im Regierungen zusammenarbeiten oder spezielle Services anbieten müssen sich laut Gesetzt an diverse Standard bzw. Regularien halten. Laut einen Paper 2 der IEEE sind dies im wesentlichen folgende: Health Insurance Portability and Accountability Act (1996) 1 Wikipedia, 2010, http://de.wikipedia.org/wiki/data_loss_prevention#cite_ref-4 (Zugriff am 18.11.2010) 2 IEEE Computer Society, 2010, Data Loss Prevention, Simon Liu and Rick Kuhn 22. November 2010 3 / 10

Gramm-Leach-Bliley Act (1999) Privacy Act (1974) Federal Information Security Management Act (2002) Payment Card Industry Data Security Standards 1.1.1 Einteilung von Datenbeständen In einer größeren Organisation können Daten an unterschiedlichen Orten und Geräten gespeichert werden. Außerdem können die Daten entsprechend mittels unterschiedlichen Übertragungstechniken nach Außen übertragen werden. Unternehmensdaten können in folgende drei Kategorien eingeteilt werden: (Basierend auf der Einteilung, die im Paper 3 der IEEE vorgeschlagen wird) Data at rest Unter dieser Kategorie versteht man Daten, welche sich in unternehmensinterne Datenbanken oder sonstigen zentralisierten Datenspeicher abgelegt sind. Data at the endpoint In diese Kategorie fallen Netzwerkendgeräte also zum Beispiel Notebooks, USB- Sticks, CD/DVDs, MP3-Players, iphones oder sonstige ähnlich mobile Datenträger. Data in motion Hier werden Daten eingeordnet, die via email, Instand Messaging, Peer-to-Peer, FTP oder sonstigen Übertragungstechniken in die Außenwelt übertragen werden. Basierend auf der oben stehenden Einteilung müssen entsprechend unterschiedliche Data Loss Prevention Strategien entwickelt und angewendet werden. Einen umfassenden Schutz für alle Bereiche des Unternehmens bietet daher nur eine Strategie, die alle Bereiche abdeckt und entsprechend schützt. 1.1.2 Bestandteile einer DLP Strategie Das IEEE Paper 4 nennt hier vier wesentliche Teile einer DLP- Strategie bzw. Vorgehensweise bei der Einführung deiner DLP-Lösung im Unternehmen. Manage In dieser Phase werden unternehmensweite Policies verfasst. Außerdem werden Vorgehensweise definiert, wie man sich bei einen DLP Vorfall zu verhalten hat. Weiters ist zu definiert, wie diese erstellten Dokumente verwaltet und gepflegt 3 IEEE Computer Society, 2010, Data Loss Prevention, Simon Liu and Rick Kuhn 4 IEEE Computer Society, 2010, Data Loss Prevention, Simon Liu and Rick Kuhn 22. November 2010 4 / 10

werden können. Während dieser Phase sollte klar werden, dass DLP nicht ausschließlich mit hoch technischen Lösungen erschlagen werden kann. Discover In dieser Phase wird die Sensibilität der im Unternehmen verwendeten Daten erhoben und wo diese gespeichert sind. Ergebnis ist eine Aufstellung der sensiblen Daten samt klassifizierter Stufe und Speicherort. Monitor Hier wird die Verwendung von sensiblen Daten protokolliert. Darunter fallen Information wie, wer verwendet die Daten und was macht er damit. Protect In dieser Phase werden die erstellten Policies umgesetzt und damit soll verhindert werden, dass sensible Daten das Unternehmen verlassen. 1.2 Verwendete Technologien Hauptsächlich kommen zwei technische Modelle zum Einsatz, nämlich die Zugriffskontroll- sowie die Informationsflussstrategie. Die Zugriffskontrollstrategie gliedert sich wiederum in drei Bereiche: Discretionay Access Control (DAC) Mandatory Access Control (MAC) Role based Access Control (RBAC) Weiter gibt es folgende Modelle: Bell LaPadula Modell Biba-Modell Chinese-Wall-Modell Bei der Informationsflussstrategie steht natürlich die Sicherheit des Informationsfluss im Mittelpunkt. Hier ist das Verbandsmodell, welches ein Informationsflussmodell darstellt zu nennen. 22. November 2010 5 / 10

1.3 Geschichte Es gibt keine konkrete Jahreszahl, an welche sich die Idee von DLP festmachen lässt. Vielmehr war es ein Entwicklungsprozess, in dem einzelne Sicherheitsprodukte immer mehr an Funktionalitäten mitgebracht haben, die sich heute zum Thema DLP einordnen lassen. Die ersten DLP Lösungen wurden natürlich beim Militär eingesetzt. Dort wurden die USB-Sticks Seriennummern den entsprechenden Benutzern zugeordnet. Mittels dieser Seriennummer konnte protokolliert werden, welcher Benutzer welche Dateien auf den USB-Stick kopiert hat. Die Frage hierbei ist jedoch, der Grad der Protokollierung. Was wird genau protokolliert, sind es nur die Dateinamen, denn die lassen sich leicht ändern, oder ist es der Inhalt oder Teile davon. Diese kleine Beispiel lässt ganz gut erahnen, wie komplex diese Materie werden kann. 1.4 Rechtliche Aspekte Da ein DLP System erhebliche Eingriffe im Bezug auf Arbeitsplatzüberwachung bedeutet, gilt es rechtliche Aspekte bei deren Einführung zu beachten. Rechtlich gesehen ist die Überwachung des Arbeitsplatzes durch ein DLP- System in Österreich, Deutschland und der Europäischen Union (EU) problematisch. 5 Voraussetzung für den rechtlich unbedenklich Einsatz von DLP Lösungen ist primär die Zustimmung aller betreffenden Mitarbeiter. Eine Firma, die ein DLP-System einsetzen möchte, kann dies nur mit Einwilligung der betroffenen Mitarbeiter tun. Der kritische Punkt ist die Überwachung persönlicher Daten und die Überwachung der Arbeitsleistung. Wenn es einen Betriebsrat gibt, kann dieser Regelungen für den Bereich der Protokollierungsdaten verlangen und durchsetzen. Der Betriebsrat hat nach dem deutschen Betriebsverfassungsgesetz 87 Abs.1 Nr. 6 ein Mitspracherecht bei Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, dass Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Ein DLP-System überwacht das Verhalten, somit ist der Einsatz eines solchen Systems von dieser Vorgabe betroffen. Das Mitspracherecht für den Betriebsrat gilt solange, bis es ein Gesetz gibt, welches die Überwachung regelt. 6 1.5 Insident Databases Die open security foundation betreibt die größte freie Datenbanken, in derer Vorfälle zum Thema Data Leak bzw. Data Loss festgehalten werden. Die Datenbank ist unter http://datalossdb.org zu finden. In der Datenbank sind der Öffentlichkeit bekannte Fällen von Datendiebstahl, Datenverlust und Datenmissbrauch dokumentiert. Seit bestehen der Aufzeichnungen war im Jahr 2008 die meisten Vorfälle, nämlich 787 7, zu verzeichnen. Insgesamt sind bei diesen 787 Vorfällen 86 930 805 Datensätze verloren gegangen. 5 Diplomarbeit, Data Leakage Prevention, 2008, H. Kasparick 6 Diplomarbeit, Data Leakage Prevention, 2008, H. Kasparick 7 DATALOSS db 2010, http://datalossdb.org/yearly_reports/dataloss-2008.pdf (Zugriff 18.11.2010) 22. November 2010 6 / 10

2 Vergleich der verschieden Anbieter Dieses Kapitel beschäftigt sich mit dem Vergleich der verschiedenen Produkte die aktuell am Markt verfügbar sind. Prinzipiell können die Produkte in 3 Gruppen eingeteilt werden: Softwarelösungen die rein die Endpoint-Security betrachten (Sperren von Schnittstellen, Verschlüsselung von Daten, Rechte-Management) Hardwarelösungen (Appliances) die als Gateway fungieren und den Traffic protokollbasierend überprüfen (HTTP, HTTPS, FTP, etc.) Hybride Lösungen, die Gateway-Appliances und ebenso Agentenbasiert arbeiten. 2.1 Hardware Gateway Eine DLP Lösung kann in Form eines Hardware Gateways implementiert werden. In dieser Implementierung läuft der gesamte Internet-Traffic des Unternehmens über eine Appliance, die verschiedene Protokolle beobachtet und auf Datentypen, Dateimuster und ähnliche Merkmale überprüft. 2.1.1 Cisco Ironport Appliances 8 Diese Appliance von Cisco bietet HTTP, HTTPS und FTP Überwachung des gesamten Internet-Traffics. Sensible Dateitypen die vertrauliche Informationen beinhalten, können bestimmt und je nach Wunsch protokolliert, oder geblockt werden. Ebenfalls unterstützt die Appliance URL-filtering. Abbildung 1: Cisco Ironport Application 8 http://www.ironport.com 22. November 2010 7 / 10

2.2 Software DLP Softwarelösungen bestehen in den meisten Fällen aus DLP-Clients (sogenannten Agenten) die auf allen Rechnern im Unternehmen installiert werden und einem zentralen Management-Server über den die Konfiguration der Agenten vorgenommen werden kann. 2.2.1 Drivelock 9 Drivelock bietet eine reine Softwarelösung durch agentenbasierten Aufbau. Das Management der Agenten erfolgt zentral und erfolgt über ein MMC Snap-In am Active- Directory Server. Über den Launch-Filter kann per Whitelist bestimmt werden, welche Applikationen der Client starten darf, alle restlichen Programme werden geblockt. Das gleiche Whitelist- Prinzip kann auch bei allen externen Schnittstellen des Computers angewandt werden, zum Beispiel bei USB, LPT, Firewire, etc. Ebenfalls bietet Drivelock Festplattenverschlüsselung. 2.2.2 Security.Desk - Endpoint Security 10 Clientbasierter Aufbau, zentrales Management. Ebenso wie Drivelock arbeitet fideas File Enterprise mit dem Agentenprinzip. 2.3 Hybrid Hybride DLP Lösungen bestehen aus einer Verbindung der Software und Hardware Lösungen. Der Netzwerktraffic ins Internet wird zentral von einer DLP Appliance gescannt und die Schnittstellen der Clients werden von Agenten überwacht. 2.3.1 McAffee Data Loss Prevention 11 Die DLP Lösung von McAffee umfasst alle unternehmensinternen sowie externen Clients. Der gesamte Traffic wird dabei über eine Gateway Appliance geführt. Unterstützte Protokolle sind dabei HTTP, HTTPS, FTP und Instant Messaging (über externen ICAP Server). Zentrales Management wird durch den epo Management Server realisiert. Datendurchsatz pro Appliance: 200Mbps (erweiterbar durch loadbalancing). Unterstützte Datentypen: Office Documents Multimedia Files Source Code Design Files Archives Encrypted Files Built-in Policies 9 http://drivelock.com/ 10 http://www.fair-computer.de/de/it-management/produkte/securitydesk-endpoint-security.html 11 http://www.mcafee.com/de/enterprise/products/data_protection/data_loss_prevention/host_data_loss_prevention.html 22. November 2010 8 / 10

Intellectual property Abbildung 2: MCAffee Data Loss Prevention 2.3.2 Trend Micro DLP 12 Trend Micro stellt ebenso wie McAffee eine umfassende DLP Lösung dar, die aus einer Appliance (DLP for Network), Client Agenten (DLP for Endpoint) und einem zentralen Management-Punkt (DLP Management Server) besteht. Dem Datenblatt kann entnommen werden dass die Appliance genug Datendurchsatz für ein großes Unternehmen bietet. Die Network Appliance unterstützt dabei folgende Protokolle: FTP, HTTP, HTTPS, SMTP sowie alle gängigen Datentypen. 2.3.3 Checkpoint DLP 13 Checkpoint bietet ebenfalls wie die beiden Vorgänger eine hybride Lösung, die zentrales Management, Endpunkt Agenten und eine Gateway Appliance enthält. Der Datendurchsatz beträgt laut Datenblatt 2,5Gbps. Unterstützte Protokolle FTP HTTP HTTPS SMTP 12 http://de.trendmicro.com/de/products/enterprise/data-loss-prevention/index.html 13 http://www.checkpoint.com/products/dlp/index.html 22. November 2010 9 / 10

3 Quellen 4 Abbildungsverzeichnis Abbildung 1: Cisco Ironport Application...7 Abbildung 2: MCAffee Data Loss Prevention...9 22. November 2010 10 / 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback