the_lightwriter - stock.adobe.co

DLP: Die Herausforderung, sich vor Datenverlust zu schützen

Datenverlust kann für Unternehmen auf unterschiedlichen Ebenen verheerende Folgen haben. Moderne Arbeitsweisen und IT-Umgebungen sind für Data Loss Prevention eine Herausforderung.

Wenn bei Unternehmen Daten in unbefugte Hände gelangen, kann dies weitreichende Folgen haben. Sowohl in wirtschaftlicher wie in rechtlicher Hinsicht, von den Folgen für die Reputation ganz zu schweigen. Aus gutem Grund haben Unternehmen also ein großes Interesse daran, ihre sensiblen Daten zu schützen. Dazu müssen sie jedoch wissen, welche Daten schützenswert sind und wo sich diese befinden.

Data Loss Prevention oder kurz DLP soll dabei helfen, sensible oder kritische Informationen zu schützen und die Vertraulichkeit der Daten zu gewährleisten. Dieses Unterfangen hat mit den sich verändernden Arbeitsweisen wie etwa Remote Work beziehungsweise Home-Office und IT-Umgebungen – Stichwort Cloud-Nutzung – erheblich an Komplexität gewonnen. Ohne zu wissen, wo überall womöglich wichtige Dokumente liegen, wird der Schutz vor Datenverlust zur großen Herausforderung. Denn dabei darf auch nicht vergessen werden, dass die Abläufe, beziehungsweise der Schutz der Daten, wie so oft kein reines IT-Thema sind, sondern da auch die Fachabteilungen gefragt sind.

Im Gespräch mit ComputerWeekly.de erläutert Frank Limberger die Herausforderungen bei Data Loss Prevention. Frank Limberger ist Data & Insider Threat Security Specialist bei Forcepoint. Er unterstützt Unternehmen aktiv beim Übergang von einem Technologie-fokussierten Sicherheitsansatz zu einem risikoadaptiven Ansatz.

Welche Folgen haben die vielerorts geänderten Arbeitsumgebungen (Home-Office, Endgeräte, Standorte, direkte Cloud-Anbindung, Web-Mailer, etc.) auf den Aspekt den versehentlichen oder absichtlichen Abfluss schützenswerter Daten zu erkennen oder zu unterbinden?

Frank Limberger: Die privaten Geräte, Accounts und Cloud-Plattformen, die Mitarbeiter heutzutage nutzen, können Unternehmen nicht kontrollieren. Mit dem klassischen Perimeterschutz lässt sich diese Landschaft nicht mehr absichern. Deshalb ist ein datenzentrierter Ansatz gefragt: Ein Ansatz, mit dem sich Daten überall schützen lassen, ganz egal, wo sie sind. Das können Unternehmen mit Data Loss Prevention tun. DLP-Lösungen stellen sicher, dass Mitarbeiter mit ihren Geräten, Tools und Clouds keine Aktionen durchführen, die ein Risiko für sensible Daten bedeutet.

Das kann beispielsweise heißen, dass auf dem Bildschirm eine Warnmeldung aufpoppt, wenn Mitarbeiter im Begriff sind, kritische Daten in eine Public Cloud hochzuladen oder auf einen USB-Stick zu kopieren. Oder, dass das DLP den Versuch blockiert, sensible Informationen in MS Teams zu teilen. Damit kann DLP Mitarbeiter vor folgenschweren Missgeschicken bewahren. Dazu müssen die Endgeräte der Mitarbeiter nicht zwingend mit dem Firmennetz verbunden sein. Sind sie offline, führen DLP-Agenten direkt auf den Geräten die Regelwerke aus und geben Warnmeldungen ab oder blockieren Aktionen.

Transparenz ist in vielen Bereichen der IT-Sicherheit ein entscheidender Faktor. Wie ist da der Status Quo bei Unternehmen im Hinblick auf ihre schützenswerten Daten?

Limberger: Die meisten Unternehmen haben hier nahezu null Transparenz. Sie wissen nicht, wann sensible Daten riskant gehandhabt werden, wo Projektdaten liegen, die ihnen von einem Kunden anvertraut wurden, wer alles Kopien der neuesten Patentanträge hat, ob irgendwo Kopien der geplanten Merger-Aktivitäten vorliegen oder wer inzwischen alles über ihr neues Produkt Bescheid weiß. Ohne Monitoring und Data Discovery mit DLP haben Unternehmen keine Chance auf ein permanent aktuelles Lagebild über ihre Informationsflüsse.

Frank Limberger, Forcepoint

„Die meisten Unternehmen haben null Transparenz über ihre sensiblen Daten.“

Frank Limberger, Forcepoint

Das Identifizieren und Klassifizieren der relevanten Daten gehört im Zusammenhang mit DLP häufig zu den Aufgaben mit Nachholbedarf. Die flexibleren Arbeitsumgebungen machen dies nicht einfacher. Wie lässt sich dies für Unternehmen allgemein bewerkstelligen und welche Rolle spielt dabei Automatisierung?

Limberger: Automatisierte Data-Discovery-Verfahren spielen dabei eine ganz entscheidende Rolle. Es gibt Lösungen am Markt, die ab Werk ein umfassendes Set aus vordefinierten Richtlinien mitbringen. Damit können Unternehmen hochautomatisiert und fortlaufend in riesigen Datenmengen relevante Informationen aufspüren und klassifizieren.

Zudem gibt es Schnittstellen zu anderen Sicherheits-Tools wie Azure Information Protection von Microsoft, die bereits umfangreiche Datenklassifizierungen vorgenommen haben. Diese Klassifizierungen kann das DLP-System dann auch verarbeiten.

Generell sollten Unternehmen aber erst einmal mit wenigen ganz sensiblen Datenbeständen starten und den Einsatz des DLP dann sukzessive ausweiten. Das erleichtert den Start und liefert wertvolle Erkenntnisse für den weiteren Rollout.

Apropos wichtige Daten und Richtlinien. In vielen Bereichen der IT-Sicherheit hat das Thema Risikobewertung und Risikobasierte Vorgehensweise an Bedeutung gewonnen. Wie verhält sich das bei Data Loss Prevention?

Limberger: Genau hier liegt der größte Nutzen von DLP. Es liefert klare Fakten darüber, was mit riskanten Daten passiert. Wo liegen sie und wann verlassen sie Hochsicherheitsbereiche oder gar das Corporate Network? Anhand dieser Erkenntnisse können Unternehmen ihre Mitarbeiter exakt schulen und Security-Technologien gezielt einsetzen – und dadurch Fehlinvestitionen vermeiden. Was nützt beispielsweise eine kostspielige Serververschlüsselung, wenn die Mitarbeiter in der Regel mit lokalen Kopien arbeiten, die wochenlang auf ungesicherten Endgeräten liegen?

Mit technischen Lösungen allein lässt sich IT-Sicherheit nicht gewährleisten. Welche Rolle spielt beim Thema DLP beispielsweise der Faktor Mensch, der auch als Aktivposten zur Sicherheit beitragen kann? Wie kann da eine ganz typische Alltagssituation aussehen?

Limberger: Ja, es muss immer ein Zusammenspiel von Mensch und Technik sein. Unternehmen sollten ihre Mitarbeiter in regelmäßigen Schulungen dafür sensibilisieren, welche Daten besonders schützenswert sind und welcher Umgang damit sie einem Risiko aussetzt. Dennoch besteht natürlich immer noch die Gefahr von Fehlern oder Unachtsamkeiten. Es ist wahrscheinlich den allermeisten von uns schon einmal passiert, dass sie in der Hektik des Alltags versehentlich eine vertrauliche Datei per E-Mail an den falschen Empfänger geschickt haben. Mit einer Technologie wie DLP können Unternehmen ihren Mitarbeitern dabei helfen, solche Fehler zu vermeiden. Es würde ja auch kein Unternehmen auf die Idee kommen, auf einen Malware-Schutz zu verzichten, nur weil Mitarbeiter eigentlich wissen sollten, auf welche Dateianhänge und Links sie nicht klicken dürfen.

Gibt es typische Vorgehensweise beim Thema DLP, die Unternehmen eher vermeiden sollten?

Limberger: Da gibt es einige. Zum Beispiel der Ansatz „wir starten mal mit ein paar wenigen Usern und schauen, was passiert“. Wenn Unternehmen DLP nicht flächendeckend auf allen Endpoints einsetzen, werden die Mitarbeiter sehr schnell Wege finden, es zu umgehen. Darunter leidet dann die Sicherheit und die Übersicht über die Ereignisse.

Oder „wir loggen alles“. Ein Ziel von DLP sind aussagekräftige Reports über riskante Ereignisse im Zusammenhang mit Daten. Diese Berichte können dazu führen, dass Unternehmen neue Entscheidungsprozesse aufsetzen. Zu viele Logs überfrachten die Reports und verhindern damit eine vernünftige Weiterentwicklung.

Oft denken Unternehmen auch, DLP sei nur eine Aufgabe der IT. Sie muss aber lediglich den Betrieb sicherstellen; und das Security Operations Center reagiert maximal auf hochkritische Ereignisse. Den größten Konzeptions- und Entscheidungsaufwand haben die Geschäftsabteilungen. Nur sie wissen, welcher Umgang mit ihren Daten tolerierbar ist, welcher ein Risiko darstellt und welcher unterbunden werden sollte.

Welche Rolle spielt für Unternehmen das Berichtswesen beziehungsweise die Dokumentation, um im Falle eines Falles oder für Audits Transparenz schaffen zu können?

Limberger: Das lässt sich am besten an einem konkreten Fall aus der Praxis zeigen. Ein Unternehmen wurde von einem Großkunden angesprochen, der einen verheerenden Datenverlust erlitten hatte. Bei der Aufklärung des Falls ging der Großkunde auch der Möglichkeit nach, dass gar nicht er selbst, sondern dieses Unternehmen die Daten verloren hatte. Es hatte nämlich gemeinsam mit dem Großkunden an einer Entwicklung gearbeitet und dabei die fraglichen Daten erhalten.

Mit DLP-Reports konnte das Unternehmen lückenlos nachweisen, wer Zugriff auf diese Daten hatte, wer wann mit welchen Informationen gearbeitet hat, und wie die Daten geschützt wurden. Außerdem konnte das Unternehmen mittels DLP Discovery belegen, dass seit der zugesagten Löschung nach Projektende keinerlei Daten mehr irgendwo im Unternehmen vorliegen.

Erfahren Sie mehr über Datensicherheit