Für viele Unternehmen ist heutzutage kaum etwas so wertvoll wie Daten. Ein so kostbares Gut will gut geschützt sein, denn der Verlust sensibler Daten kann Probleme verschiedenster Art nach sich ziehen. Hier kommt Data-Loss-Prevention (DLP) als Konzept und wesentlicher Bestandteil von Datenschutzkonzepten ins Spiel.
Data-Loss-Prevention ermöglicht Unternehmen einen effizienten und automatisierten Schutz ihrer Daten. Lesen Sie jetzt, was Sie darüber wissen sollten.
Was ist Data-Loss-Prevention?
Der Begriff Data-Loss-Prevention (DLP) beschreibt Maßnahmen zum Schutz sensibler Daten. Dabei kann es sich sowohl um die Strategie als Ganzes als auch um spezifische Cyber-Security-Lösungen zur Erreichung dieses Ziels handeln.
Was ist Data-Leak-Prevention?
Die oft synonym dafür verwendete Bezeichnung Data-Leak(age)-Prevention beschreibt Fachleuten zufolge nicht exakt das Gleiche: Während Data-Loss-Prevention demnach vor bemerktem Datenverlust schützt, soll Data-Leakage-Prevention der unerwünschten Weitergabe von Informationen vorbeugen.
Die Funktionsweise von Data-Loss-Prevention-Systemen
Damit wirksamer Schutz vor Datenverlust gelingt, ist es entscheidend, zunächst festzustellen, wo (besonders) sensible Daten geschützt werden müssen und welche das sind. Ist dies gelungen, lassen sich die notwendigen Schutzmaßnahmen einleiten. Welche Data-Loss-Prevention-Lösungen für all dies infrage kommen, hängt unter anderem vom Status der Daten ab. Dieser unterscheidet sich wie folgt:
- Daten in Benutzung („Data in Use“ / DiU): etwa Daten im RAM oder Cache, also im flüchtigen Speicher eines Rechners (oder mehrerer)
- Daten in Bewegung („Data in Motion“ / DiM): Datenübertragung über interne oder öffentliche Netzwerke (also in Rechnersystemen, Routern und auf Servern während der Übertragung)
- Daten im Ruhezustand („Data at Rest“ / DaR): gespeicherte Daten, z. B. in Datenbanken oder Dateisystemen (auf Festplatten)
Übliche Enterprise-DLP-Lösungen bieten in der Regel Schutz für alle drei genannten Datenzustände. Integrierte DLP-Lösungen beschränken sich dagegen mitunter nur auf einen Status. Zur Identifizierung schützenswerter Informationen analysiert die gewählte Software den Datenbestand mit DLP-Techniken wie diesen:
- Exact-File-Matching: Datenerkennung anhand zugeordneter Hash-Dateien ohne Scan der Inhalte
- Exact-Data-Matching (EDM): Abgleich von Datensätzen anhand einer Kombination von Kriterien (z. B. Name, Wohnort, Geburtsdatum)
- Regelbasiertes Matching: Findet Daten basierend auf Mustern. Beispiele dafür sind etwa die IBAN oder Kreditkartennummern.
- Maschinelles Lernen: KI-gestützte Suche
Nachdem das DLP-System die sensiblen Daten identifiziert hat, gibt es verschiedene Möglichkeiten, zu verhindern, dass diese in unautorisierte Hände gelangen oder gelöscht werden. Eine Option ist es, den Zugriff auf die Daten außer in begründeten Fällen zu blockieren oder auf einen bestimmten Nutzerkreis einzuschränken. Dies geschieht beispielsweise durch Firewalls, Verschlüsselung oder Zugriffskontrollen. Eine Alternative dazu sind Warnungen, die Nutzer:innen dafür sensibilisieren, verantwortungsvoll mit Daten umzugehen. Dies kann in Echtzeit geschehen, etwa beim Abruf sensibler Information, aber auch periodisch in Form von Schulungen. Folgender Überblick zeigt mögliche Funktionen von DLP-Lösungen:
- Erkennung von Bedrohungen wie Malware
- Überwachung von Anwendungen und Transaktionen
- Blockierung und Verschlüsselung sensibler Daten
- Zugriffsrechte
- Datenbewegungen erfassen
- Benachrichtigung bei auffälligen Vorgängen
- Protokollierung von Nutzerinformationen
Anwendungsbereiche von DLP
Maßnahmen zum Schutz vor Datenverlust kommen in unterschiedlichsten Branchen, Unternehmen und Organisationen zum Einsatz. Hier einige Beispiele für Anwendungsbereiche von DLP:
- Finanzwesen: Schutz von Finanzberichten und Handelsinformationen
- Gesundheitswesen: Schutz von Patientendaten
- Regierungsbehörden: Schutz geheimer Regierungsinformationen
- Einzelhandel: Schutz von Kundeninformationen
Da der Datenfluss in Unternehmen und Organisationen über viele verschiedene Kanäle erfolgt, müssen DLP-Lösungen in der Lage sein, diese im Auge zu behalten und gegebenenfalls einzugreifen oder Alarm zu schlagen. Beispiele hierfür sind:
- E-Mail-Data-Loss-Prevention: Überwachung der Inhalte und Empfänger:innen von E-Mails. Auch fehlende Verschlüsselungen oder der E-Mail-Versand außerhalb der Arbeitszeiten können so unterbunden werden.
- Cloud-Data-Loss-Prevention: Soll sicherstellen, dass alle Daten verschlüsselt sind und die Weitergabe an nicht autorisierte Empfänger:innen verhindern. Überwacht Cloud-Aktivitäten der Mitarbeiter:innen, erkennt untypisches Verhalten und kann den Zugriff auf Daten personenbezogen einschränken.
- Wechseldatenträger: Automatische Datenverschlüsselung, Überwachung der Datenübertragung, personenbezogene Einschränkung des Zugriffs und regelmäßige Back-ups.
- Endgeräte: Automatische Sicherheitsupdates für alle Geräte im Netzwerk. Sicherstellung von Datenverschlüsselung, ausreichendem Passwortschutz und nur autorisiertem Zugriff.
Nützliche Tools & Software gegen Datenverlust
Nachdem wir Ihnen die Definition, Funktionsweise und Anwendungsbereiche von DLP-Lösungen erklärt haben, stellen wir Ihnen nun Data-Loss-Prevention-Software bekannter Anbieter vor. Zum Schutz vor Datenverlust sowie zur Abwehr von Cyberangriffen stehen unter anderem folgende Optionen zur Auswahl:
Microsoft Data-Loss-Prevention
Microsoft Data-Loss-Prevention ist in verschiedene Produkte des Windows-Erfinders integriert – unter anderem in Microsoft 365 und Azure. DLP verhindert hier unbefugten Zugriff und eine unerwünschte Weitergabe von Daten. Dafür kommen beispielsweise folgende Methoden zum Einsatz:
- Vorgefertigte oder benutzerdefinierte Richtlinien zur Identifizierung vertraulicher Daten in E-Mails und Dokumenten sowie auf Webseiten
- Maschinelles Lernen zur Erkennung sensibler Informationen wie Kreditkartennummern oder Passwörtern
- Verschlüsselung und Authentifizierung zur Zugriffskontrolle
- Überwachungs- und Audit-Tools zur Erkennung verdächtiger Aktivitäten und entsprechende Warnmeldungen
Google Data-Loss-Prevention
Google Data-Loss-Prevention ermöglicht es Unternehmen, Daten in ihren Cloud-Anwendungen zu schützen. Dafür greift die cloud-basierte DLP-Lösung unter anderem auf folgende Methoden zurück:
- Maschinelles Lernen, um personenbezogene und andere sensible Daten in Echtzeit zu erkennen
- Automatische Klassifizierung der erkannten Daten und Einleitung passender Sicherheitsmaßnahmen
- Automatische Verschlüsselung
- Data-Masking, um sensible Daten unlesbar zu machen
- Warnmeldungen
Sophos Data-Loss-Prevention
Die Sophos-DLP-Software überwacht die Datenverwendung und -übertragung innerhalb und außerhalb von Unternehmensnetzwerken. Zum Funktionsumfang zählen:
- Erkennung sensibler Daten anhand vordefinierter Regeln und Muster
- Überwachung der Datenübertragung unter Berücksichtigung von E-Mails, File-Sharing, Cloud-Diensten und USB-Geräten
- Automatisierte Richtlinien zur Zugriffsbeschränkung
- Compliance: Unterstützung bei der Einhaltung von Vorschriften und Datenschutzbestimmungen
- Warnmeldungen
Apex One Data-Loss-Prevention
Hierbei handelt es sich um eine DLP-Lösung von Trend Micro, die Daten in Echtzeit identifizieren und schützen kann. Zu den Funktionen zählen:
- Erkennung sensibler Daten mithilfe von vordefinierten Regeln und Mustern
- Überwachung der Datenübertragung (E-Mails, Cloud-Dienste. File-Sharing, USB-Geräte)
- Verschlüsselung und Maskierung von Daten
- Compliance-Unterstützung
- Warnmeldungen
AWS Data-Loss-Prevention
Dieser Dienst von Amazon Web Services (AWS) ist speziell auf AWS-Systeme zugeschnitten und ermöglicht hier eine effiziente Verwaltung. Zum Schutz Ihrer Daten kommen z. B. folgende Methoden zur Anwendung:
- Machine-Learning-Algorithmen und Mustererkennung
- Erstellung von Richtlinien
- Automatisches Verschlüsseln, Löschen oder Anonymisierung von Daten
- Compliance-Unterstützung
- Berichterstattung und Auditierung
Cisco Umbrella Data-Loss-Prevention
Diese cloudbasierte DLP-Lösung lässt sich mit anderen Sicherheitslösungen desselben Anbieters kombinieren (z. B. mit Cisco AnyConnect, Cisco Web Security Appliance oder Cisco Secure Email Threat Defense). Hier ein Auszug der Funktionen:
- Echtzeit-Datenidentifikation über Machine-Learning-Algorithmen
- Richtlinienbasierte Regeln für den Umgang mit sensiblen Daten
- Automatisches Verschlüsseln, Blockieren oder Anonymisieren von Daten
- Compliance-Unterstützung
- Berichterstattung und Auditierung
Risiken von Datenverlust und der Datenschutz: Darauf sollten Sie achten
Datenschutz spielt bei Data-Loss-Prevention eine wichtige Rolle. Folgende Dinge sollten Sie in Ihre Überlegungen einbeziehen:
- Datenschutzkonformität: Die von Ihnen eingesetzten DLP-Technologien müssen mit geltenden Datenschutzgesetzen übereinstimmen. Stellen Sie sicher, dass die Verarbeitung personenbezogener Daten dementsprechend erfolgt.
- Klare Richtlinien und Verfahren: Damit Ihre Mitarbeiter:innen DLP-Lösungen datenschutzkonform anwenden können, sollten Sie diese entsprechend schulen.
- Keine Totalüberwachung: Das Ausmaß der Überwachung darf nicht unverhältnismäßig sein und sollte sich auf den Umgang mit sensiblen Daten beschränken, die Sie zuvor identifiziert haben (s.o.).
- Transparenz und Offenlegung: Informieren Sie potenziell Betroffene im Vorfeld über durchgeführte DLP-Überwachungsmaßnahmen. Sowohl Mitarbeiter:innen als auch Kund:innen sollten Bescheid wissen, inwiefern Sie ihre Daten erheben und verwenden.
- Datensicherheit: Die durch DLP-Dienste geschützten Daten sollten sicher aufbewahrt sein. Dafür empfehlen sich entsprechende technische und organisatorische Maßnahmen.
- Rechenschaftspflicht: Ihr Unternehmen muss nachweisen können, dass es Datenschutzvorgaben einhält. Dokumentieren Sie dafür Ihre Datenschutzmaßnahmen und nutzen Sie Auditierungsmethoden, beispielsweise nach ISO 27001.
DLP in Unternehmen einführen: Best-Practices
Die Einführung von Data-Loss-Prevention in Unternehmen ist ein komplexes Unterfangen, das Spezialist:innen aus dem Bereich der Cybersicherheit begleiten sollten. Sofern die entsprechende Expertise bzw. Manpower nicht bereits inhouse vorhanden ist, empfiehlt sich ein darauf spezialisierter externer Partner. Dieser sollte Sie bei der Konzeption, Strategie und Einführung von DLP-Maßnahmen unterstützen. Bei der Implementierung gilt es folgende Punkte zu beachten:
Was ist das Ziel?
Definieren Sie zusammen mit Ihren Cybersecurity-Expert:innen genau, welche Ziele Sie mit Data-Loss-Prevention verfolgen möchten. Häufig erfolgt die Einführung, um Compliance-Standards einzuhalten. Damit allein reizen Sie die Möglichkeiten jedoch nicht ansatzweise aus. Besprechen Sie daher im Vorfeld, was alles möglich und gewünscht ist.
Integration in bestehende Sicherheitsarchitektur
Berücksichtigen Sie das bereits vorhandene Sicherheitsumfeld. Ihre DLP-Lösung sollte sich möglichst nahtlos und komplett integrieren, sodass Sie etwa bestehende Firewalls oder Überwachungssysteme weiterverwenden können.
Implementierung nach Plan
Entwickeln Sie gemeinsam mit den DLP-Verantwortlichen Pläne, die Zweck und Verwendung der neuen Tools festhalten. Analysieren Sie dabei deren betriebliche Auswirkungen und stellen Sie fest, in welchem Maß diese tolerierbar sind.
DLP-Lösungen aktuell halten
Üblicherweise wächst der Funktionsumfang von DLP-Lösungen kontinuierlich – analog zu den Bedrohungen, vor denen sie schützen sollen. Prüfen Sie daher neue Optionen regelmäßig auf ihr Potenzial für Ihr Unternehmen und ermöglichen Sie den regelmäßigen Rollout neuer Features für Ihr DLP-System. Nur so kann der Schutz vor Datenverlust mit den potenziellen Gefahren schritthalten.
Richtlinien für Änderungen
Wie soeben angedeutet, ist es mit der einmaligen DLP-Einrichtung allein nicht getan. Die verwendeten Tools müssen bei Bedarf aktualisiert werden. Prüfen und dokumentieren Sie die Konfiguration mehrmals pro Jahr.
Testen Sie Ihr DLP-System
Führen Sie in regelmäßigen Abständen Audits und Selbsttests durch, um die Zuverlässigkeit Ihres DLP-Systems sicherzustellen. Mögliche Schwachstellen können Sie beispielsweise mit einem Penetrationstest ermitteln. Darüber hinaus hilft Ihnen dieser unter Umständen bei der Ausrichtung Ihrer Maßnahmen. Beachten Sie außerdem, dass Advanced-Persistent-Threats (APTs) unter Umständen zusätzliche Sicherheitsmaßnahmen erfordern.
Das Wichtigste zu Data-Loss-Prevention in Kürze
- Data-Loss-Prevention (DLP) identifiziert und schützt sensible Daten in Ihrem Unternehmen.
- Um schützenswerte Daten zu erkennen, scannen DLP-Lösungen den Bestand mit verschiedenen Methoden.
- Bei Auffälligkeiten kommt es zum Einsatz geeigneter Maßnahmen, um einen Datenverlust zu vermeiden.
- DLP-Lösungen gibt es von vielen verschiedenen Anbietern.
- Bei der Anwendung ist die Einhaltung von Datenschutzgesetzen und -richtlinien essenziell.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/was-ist-data-loss-prevention/