Data Loss Prevention (DLP): So beugen Sie Datenverlust vor

In Zeiten zunehmender Cyberangriffe ist der Schutz unternehmenskritischer Daten wichtiger denn je. Unerkannte Schwachstellen bieten Hackern eine große Angriffsfläche und Datenlecks führen zu Daten- und gleichzeitigem Reputationsverlust. Wie Data Loss Prevention (DLP) Unternehmen vor Datenverlust schützt und wie Sie die richtige DLP-Strategie entwerfen.

Was ist Data Loss Prevention?

Data Loss Prevention (DLP) beschreibt Maßnahmen und Tools, mithilfe derer der Abfluss von unternehmenskritischen Daten oder Datenvernichtung verhindert werden soll. Diese Maßnahmen können z. B. der Einsatz bestimmter Hard- oder Software sein, die DLP-Verfahren umsetzen. Dazu gehören u. a. das Priorisieren und Klassifizieren von sensiblen Daten, die Risikoanalyse und das Daten-Monitoring. Data Loss Prevention wird demnach als strategischer Oberbegriff für Sicherungsmaßnahmen genutzt, stellt selbst jedoch keine eigenständige Sicherheitslösung dar.

DLP-Lösungen kontrollieren den Netzwerkverkehr und Daten auf internen Endpunkten und können den Verlust sensibler Daten erkennen, davor warnen oder gar unterbinden. Eine gute DLP-Strategie hilft Unternehmen, wichtige Datenschutzvorschriften einzuhalten, ihre Cybersecurity zu erhöhen und ihre unternehmenswichtigen Daten zu schützen.

Davor soll DLP schützen

Data Loss Prevention soll in erster Linie vor Datenexfiltration und Datenexfusion schützen – also davor, dass Unternehmensdaten ohne Wissen des Unternehmens verschoben werden. Hierfür müssen nicht immer externe Dritte verantwortlich sein. Auch innerhalb eines Unternehmens kann es zur Datenexfiltration kommen, wenn z. B. Mitarbeitende Dateien versehentlich verschieben.

Zusammenfassend lassen sich die durch DLP verhinderten Angriffe auf Daten wie folgt kategorisieren:

Angriff von außen: Datenverlust durch Cyberangriffe von außen sind der Alptraum eines jeden Unternehmens. DLP schützt vor Datenklau durch Phishing-Attacken oder durch Platzierung von Malware. Ebenso soll das Verschlüsseln von Daten durch Ransomware verhindert werden.

Angriff von innen: Mitarbeitende, ehemalige Angestellte, aber auch Stakeholder gelten als Insider, teils mit weitreichendem Datenzugriff. Die Datensicherheit kann demnach auch von innen bedroht werden, durch Weitergabe, Diebstahl oder Manipulation. DLP beugt dem unautorisierten Kopieren, Weiterleiten oder der Zerstörung wichtiger Unternehmensdaten vor.

Fahrlässige Datenfreigaben: Irren ist menschlich – Versehen passieren allzu häufig. Beispielsweise können beim Weiterleiten einer E-Mail ungewollt sensible Daten in falsche Hände gelangen. DLP erkennt diese versehentlichen Frei- oder Weitergaben und unterbindet sie.

Compliance-Verstöße: Für Unternehmen, die gesetzlichen Datenschutzvorschriften unterliegen, wie beispielsweise der DSGVO (Datenschutz-Grundverordnung), können Verstöße teuer werden. DLP sorgt dafür, dass die Datennutzung kontrolliert und Richtlinien eingehalten werden. 

KI-Datenexposition: In engem Zusammenhang mit Richtlinien zur Verwendung von Daten steht die Nutzung von künstlicher Intelligenz in Unternehmen, denn KI-Tools werden mit Daten trainiert. Wer nicht vorsichtig ist, speist sensible Unternehmensdaten in die KI ein. Nicht nur könnte damit gegen Datenschutzrichtlinien verstoßen werden, auch wichtige Daten werden unter Umständen vulnerabel.

So funktioniert DLP

DLP-Anwendungen verhindern Datenverschiebung und -vernichtung, indem sie die Bewegungen der Daten verfolgen. Dies umfasst Daten im Unternehmensnetzwerk, auf den Geräten der Mitarbeitenden und in der Unternehmensinfrastruktur. Sobald Daten das Unternehmensnetzwerk verlassen, können DLP-Maßnahmen z. B.

…eine Warnung senden

…die Berechtigungen für die Daten ändern

…die Daten blockieren

Einige DLP-Lösungen können auch das Kopieren und Einfügen von Daten in Webanwendungen blockieren. Denn unsichere Anwendungen führen häufig dazu, dass Daten unerlaubt verschoben oder kopiert werden.

Die verschiedenen Arten von DLP

Data Loss Prevention kann ganz unterschiedlich aussehen. Die verschiedenen Spielarten von DLP können jedoch grob eingeteilt werden, denn sie berühren unterschiedliche Teilbereiche beim Datenverkehr.

Identifizierung der Daten: Unternehmen sollten Ihre sensiblen Daten kennen, um sie zu schützen. DLP identifiziert etwa Daten in E-Mails, in der Cloud, in Zusammenarbeits-Tools und jene, die an anderen Orten abliegen oder anderweitig genutzt werden.

Identifizierung von Datenlecks: Wichtig ist nicht nur die Identifizierung der vorhandenen Daten – auch Datenlecks müssen zuverlässig identifiziert werden. DLP erkennt und identifiziert automatisch entwendete Daten, egal, ob sie innerhalb eines Unternehmensnetzwerkes ausgeschleust oder außerhalb davon abgespeichert wurden.

Datenübertragung: Bei der Übertragung von Daten durch ungesicherte Kanäle kann es oftmals zum Datendiebstahl kommen. DLP verhindert, dass die Daten abgegriffen werden und sorgt dafür, dass sie sicher am Ziel ankommen. Somit erhöht DLP die Netzwerksicherheit.

Daten im Ruhemodus: Wenn Daten in Datenbanken oder Datenfreigabesystemen gespeichert sind, sollten sie möglichst sicher vor dem Zugriff Unbefugter sein. Durch Endpunktschutz, Verschlüsselung oder andere Maßnahmen sorgen DLP-Lösungen für eine sichere Speicherung von Daten vor Ort oder in der Cloud.

Daten in Benutzung: Alle Daten, mit denen Mitarbeitende oder andere regelmäßig arbeiten, müssen vor schädlicher Interaktion geschützt werden. Schädliche Nutzungsbeispiele sind etwa das unerwünschte Verändern, Screenshots, Kopieren und Einfügen von Daten, das Ausdrucken oder Verschieben. DLP überwacht und unterbindet unbefugte Nutzungsarten, indem es verdächtige Nutzungsmuster und Datenbewegungen erkennt. 

Best Practices zur Verhinderung von Datenverlust

Eine allgemeingültige Data-Lost-Prevention-Strategie gibt es nicht, denn jedes Unternehmen operiert mit unterschiedlichen Daten, in unterschiedlichen Risikoumgebungen und hat je nach Unternehmensgröße, Anzahl der Mitarbeitenden und Branche individuelle Risiken im Bereich der Cybersecurity. Es gibt allerdings Best Practices im Informations- und Datenschutz, an denen sich jedes Unternehmen orientieren kann.

Die Basis für den Schutz vor Datenverlust bilden zugleich die Kernelemente von DLP-Lösungen ab:

Kennen Sie Ihre Daten (Datenidentifizierung stationär wie auch in der Cloud).

Strukturieren Sie Ihre Datennutzung (Richtlinien für den Umgang mit Daten).

Schützen Sie Ihre Daten (Datenkontrolle, Datenverschlüsselung, Zugriffsbeschränkungen).

Verhindern Sie Datenverlust (Datenlecks erkennen).

Mitarbeitende sensibilisieren

Wichtig ist, auch die Mitarbeitenden für den sicheren Umgang mit Unternehmensdaten allgemein und insbesondere mit kritischen Daten zu sensibilisieren. So verhindern Sie am wirksamsten, dass Daten versehentlich nach außen gelangen. Denn beispielsweise durch mobiles Arbeiten werden über Clouds eine Menge an (sensiblen) Daten hin- und hergeschickt und von außerhalb des Unternehmensnetzwerks auf sie zugegriffen.

Wichtige Richtlinien, die Sie im Umgang mit Daten in Ihrem Unternehmen festlegen sollten, berühren vor allem:

Datenspeicherung – wo und wie (sicher) werden Unternehmensdaten gespeichert?

Datenarten – welche Datenarten dürfen gespeichert/bewegt/genutzt werden? 

Datenübertragung – auf welchen Wegen findet Datentransfer statt?

Datenzugriff – wer hat auf welche Daten Zugriff und wie?

Richtlinien aktuell halten

Achten Sie darauf, dass Ihre Datenschutzrichtlinien stets aktuell sind und sich den Veränderungen in Ihrem Unternehmen – wie etwa Wachstum und der veränderten Nutzung von neuen Technologien – anpassen. Ebenso sollten Sie Ihr Datenschutzrahmenwerk regelmäßig auf Compliance mit neuen gesetzlichen Richtlinien überprüft werden. Eine DLP-Lösung unterstützt Sie bei der Einhaltung dieser Richtlinien.

ata Loss Prevention im Überblick

Data Loss Prevention …

…ist ein strategischer Überbegriff für Maßnahmen und Tools, die Datenverlust verhindern sollen.

…sichert die Datennutzung und den Datenverkehr ab, indem es Daten priorisiert und kategorisiert und den Datenverkehr kontrolliert. 

…kann den Verlust sensibler Daten erkennen, davor warnen und im Notfall unterbinden. So verhindern DLP-Tools die unautorisierte Weitergabe oder das Kopieren und Abfischen unternehmenskritischer Daten.

…ist neben den Security-Frameworks Secure Web Gateway (SWG) und Zero Trust Network Access (ZTNA) ein wichtiger Baustein der IT-Sicherheits- und Netzwerklösung Secure Access Service Edge (SASE).

…sollte strategisch angegangen werden, indem Unternehmen DLP-Lösungen und -Tools implementieren, die Daten- und Datenlecks identifizieren, Daten kontrollieren und schützen und festgelegte Datenschutzrichtlinien automatisch erzwingen.

Quelle:

https://www.o2business.de/magazin/data-loss-prevention/