Prävention gegen Datenlecks
Prävention gegen Datenlecks Mit Data Loss Prevention (DLP) hat die Security-Industrie nach eigener Aussage das Wundermittel gegen den Informationsabfluss entwickelt. Wer es einsetzen möchte, wird unter anderem Interessenskonflikte zwischen dem IT-Team und den Mitarbeitern lösen müssen.
(Fortsetzung des Artikels von Seite 4)
Vielen Dank, Deutsche Telekom, Dank auch an die Landesbank Berlin für ihre gelungene Aufklärungskampagne. Diese Organisationen haben ihren Ruf auf Spiel gesetzt, um allen anderen die Gefahren eines Datenschutzskandals vor Augen zu führen. Dabei gehören die in Deutschland formulierten Regeln für Datenschutz nach allgemeiner Auffassung zu den strengsten weltweit. Zwischen Gesetzestext und Umsetzung klafft allerdings eine Lücke, durch die Millionen von Kunden-, Konten- und Adressdaten fließen. Wie hoch der Schaden eines solchen Unfalls tatsächlich ist, lässt sich seriös kaum beziffern. In Großbritannien, wo die britische Steuerbehörde rund 25 Millionen Bürgerdaten verlor, kommt die Opposition in ihrer durchaus politisch motivierten Rechnung auf ein Volumen von knapp 2,1 Milliarden Euro, die Folgen für das Image außen vorgelassen. Nun heißt es, aus dem Schaden anderer klug zu werden. Die Security-Industrie hat diese Vorfälle natürlich reflexartig aufgegriffen und ihr Gegenmittel »Data Loss Prevention«, kurz DLP, präsentiert. Wer die jeweiligen Füllungen des Begriffs untersucht, wird je nach Hersteller andere Ausprägungen vorfinden. Ein DLP-Produkt existiert als solches nicht, denn bei DLP handelt es sich um ein Framework. Eine Architektur, in die sich unterschiedliche Produktkategorien eingliedern. Das beginnt bei der Festplattenverschlüsselung und E-Mail-Encryption-Systemen und endet bei Appliances und Fileserver- und Datenbank-Tools, die Daten im Archiv oder auf ihrem Weg durch das Netz automatisch klassifizieren. Wer das Schlagwort inhaltlich fassen möchte, sollte es daher über seine konzeptionelle Rolle versuchen. Das Systemhaus Integralis hat hierfür eine kluge Definition gefunden: »DLP ist eine Technologie, die vertrauliche Daten erkennt und den autorisierten Benutzer an deren unzulässiger Nutzung und Weiterverbreitung hindert. Die Betonung liegt auf „autorisierter Benutzer”.« Wer Frameworks konzipiert, muss sie erklären, deuten, entwickeln und füllen. Die Unternehmen müssen ein eigenes Konzept für ihre Welt entwickeln. Keine geringe Hürde für DLP, denn es müssen zahlreiche organisatorische Fragen beantwortet sein, insbesondere auch auf Prozessebene. DLP ist schließlich kein Boxprodukt nach dem Motto »installieren und vergessen«.
Ziele kantig formulieren
Bei einem DLP-Projekt ergibt sich eine Vielzahl von allgemeingültigen Fragen. Wer bestimmt und klassifiziert die Daten in der Hinsicht, was sensible Inhalte sind? Wie wird verhindert, dass die Mitarbeiter, die ja mit den Daten arbeiten müssen, diese nicht aus dem Unternehmen tragen? Die internen User dürfen dabei nicht unter Generalverdacht stehen. Oft handeln sie falsch, weil sie die Gefahren unterschätzen oder schlicht nicht kennen. Oft wird ihnen das Ausmaß erst bewusst, wenn sie den USB-Stick oder das Notebook im Taxi liegen ließen. Dies geschieht dutzendfach jeden Tag, wie die Statistiken des Fundbüros der Londoner Verkehrsbetriebe protokollieren. So wurden im vergangenen Jahr 170000 Gegenstände vergessen, darunter eine »große Menge von Handies und Laptops«. Das Unternehmen muss daher auch verhindern, dass Daten aus Unwissenheit fälschlich behandelt oder unerlaubterweise kopiert werden. Und wenn es doch passiert, müssen die IT-Verantwortlichen nachvollziehen können, wer zuletzt mit den Daten gearbeitet hat. Daraus ergeben sich einige Pflichten:
– Dokumentation über Datenbewegungen
– Sammeln der Anwenderinformation, wer zuletzt die Daten bearbeitet hat
– Sensibilisierung des Anwenders im Umgang mit vertraulichen Daten, beispielsweise mit Hilfe von Pop-ups
– Bestätigung des Anwenders; also die Prüfung, ob er berechtigt ist, mit einem Datensatz zu hantieren
– Blockieren von Datenbewegungen, welche eine unautorisierte Aktion verhindert
– und eine Alarmierung bei Verstößen, möglichst in Echtzeit.
Eine genaue Analyse der bestehenden Workflows und Prozesse ist hierfür unabdingbar. Ohne diese unternehmensspezifische Auswertung begibt man sich unter Umständen auf gefährliches Terrain, weil das Projekt in unüberschaubaren Aktionismus ausartet. Das gilt es zu verhindern.
Grundlegende Interessenkonflikte lösen
Risiko vergessliche User: 2008 haben Passagiere in den Londoner U-Bahnen, Zügen und Bussen insgesamt 170000 Gegenstände vergessen, darunter eine große Menge von Handies und Laptops.
Die IT-Abteilungen müssen der Wirtschaftsspionage und dem Verlust von Daten vorbeugen. Dazu wollen sie die Daten schützen, vor allem vor dem unwissenden internen User. Auf der anderen Seite darf der User natürlich darauf pochen, dass seine Persönlichkeitsrechte und seine Privatsphäre bewahrt bleiben. Daraus entsteht ein Interessenskonflikt, den es zu moderieren gilt. In jedem Fall müssen gesetzliche und unternehmensrechtliche Richtlinien eingehalten werden. Dazu sollten folgende Maßnahmen umgesetzt werden:
– eine Aufklärung der Mitarbeiter, beispielsweise durch eine Informationskampagne,
– die Einwilligung der Mitarbeiter, beispielsweise über Betriebsvereinbarungen,
– die Einbeziehung des Betriebsrats, beispielsweise durch die Beteiligung bei der Aufklärung eines Vorkommnisses.
Eine technische DLP-Lösung muss einen weiteren Konflikt umgehen. Einerseits wollen die Mitarbeiter mit Unternehmenslaptops von Zeit zu Zeit oder über längere Zeit von ihrem Homeoffice oder von unterwegs aus arbeiten. Dieser Benutzerkreis muss bei der Betrachtung in das Gefährdungspotenzial mit aufgenommen werden.
Simpler Einstieg
Ein DLP-Framework hat verschiedene Mittel vorgesehen, um den Datenklau zu unterbinden. Das beginnt bei der Verschlüsselung sensibler Daten, sei es auf der lokalen Festplatte, auf den Servern selbst oder externen Datenträgern wie USB-Sticks. Die Industrie hat inzwischen sämtliche Medien und Plattformen im Visier, inklusive Sharepoint-Servern. Einige Hersteller wie EMC/RSA oder Symantec haben bereits Netzwerk-Appliances konzipiert, die die Daten auf ihrem Weg durch das interne Netz oder in den Datenarchiven selbstständig untersuchen und autonom klassifizieren. Die Grenze ist der Himmel und das Budget. Die einfachste und praktikabelste Art ist der Schutz der Daten in einem gesicherten Bereich, in dem das Kopieren generell verhindert wird. Es wäre beispielsweise denkbar, eine Gruppenrichtlinie zu definieren, die den Teamleiter darüber informiert, bevor Informationen nach außen gehen. Der Gruppenleiter sorgt dafür, dass sensible Daten wie etwa Geschäftsberichte, entsprechend klassifiziert werden. Mails, welche nach außen gehen und sensible Inhalte beinhalten, werden vom Teamleiter freigegeben. Für die Umsetzung sind zwei Ansätze denkbar. Einmal die Definition von Gruppenrichtlinien auf Desktopebene oder die Umsetzung der Policy auf Serverebene.
Grenzen erkennen
Ein DLP-Projekt wird den Mitarbeiter vor seinen eigenen Fehlern schützen. Nicht mehr, aber auch nicht weniger. Datendiebstahl generell verhindern wird es aber nicht. Dazu müsste jemand den Mitarbeiter permanent beobachten, um zu verhindern, dass er den Bildschirm abfilmt und fotografiert. Demnach muss die IT-Abteilung klar kommunizieren, welche Ziele überhaupt mit vertretbarem Aufwand zu erreichen sind. Hierzu eine Empfehlung für eine methodische Herangehensweise. Zuerst müssen alle Unternehmenszugänge auf den Prüfstand. Im zweiten Schritt ist zu empfehlen, Datensicherheitsmaßnahmen nur dann einzufordern und durchzusetzen, wenn es sich wirklich um ein vertrauliches Dokument handelt. Die IT-Verantwortlichen müssen dabei der Mobilität und Flexibilität der Mitarbeiter und Arbeitsplätze Rechnung tragen. Sinnvollerweise sollte über die Schutzlösung noch eine Alarmierung gelegt werden, welche eine schnelle Reaktion der Verantwortlichen sicherstellt. Die Erfahrung gezeigt, dass sich mit der vorgeschlagenen Vorgehensweise ein Projekt zügig umsetzen lässt. Ohne dass sich die Verantwortlichen in Details verlieren, beispielsweise in Diskussionen darüber, welche Fingerprinting-Methode für die automatische Klassifizierung zum Einsatz kommen soll. Wichtig ist, dass die Lösung auch in ökonomischer Hinsicht realisierbar ist und im Sinne der Administration praktikabel handhabbar bleibt.
Michael Piontek, Redakteur und Stefan Bächer, Security Consultant bei Defense
- 1. Seite: Prävention gegen Datenlecks
- 2. Seite: Ziele kantig formulieren
- 3. Seite: Grundlegende Interessenkonflikte lösen
- 4. Seite: Simpler Einstieg
- 5. Seite: Grenzen erkennen
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.