Informationslecks schließen
“Data Loss Prevention” schützt auch vor internen Gefahren

Big DataData & StorageIT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkePolitikRechtSicherheitSicherheitsmanagement

Und wieder eine neue Drei-Buchstaben-Abkürzung: DLP für “Data Loss Prevention”. Entsprechende Lösungen sollen Schutz vor externen Malware-Angriffen, social Engineering oder Anwenderfehler zusammenfassen.

Infos in falschen Händen?

Informationslecks schließen

Es gibt viele Wege, über die sensible Informationen in falsche Hände gelangen können. Genau hier setzen Data-Loss-Prevention (DLP)-Lösungen an. So jedenfalls nannte US-Anbieter IronPort seine Software und trug den Begriff flugs in die amerikanische Wikipedia ein – was von anderen Anbietern sofort als Werbespam erkannt wurde. “Die Neutralität des Artikels wird angezweifelt”, steht auf Wikipedia USA.

Andere Anbieter nennen ihre Lösungen mal “Information Leak Detection & Prevention” (ILDP), “Information Leak Prevention” (ILP) wie etwa Spectorsoft, “Content Monitoring and Filtering” (CMF, Studie von Gartner hier) und mal “Extrusion Prevention System” (als Analogie zur Intrusion-Prevention) wie etwa bei Fidelis Security. Gemeinsam ist ihnen aber eines: Sie schützen vor Gefahren von innen. Die Firma Reconnex schließlich erbarmte sich und nannte ihr System ebenfalls DLP – ein geschützter Begriff ist es also nicht mehr.

Zwar schützen sich viele Unternehmen längst vor Angriffen von außen, doch kommunizieren sie via E-Mail, Instant Messaging, Webmail oder Webformular meist noch immer ohne wirkungsvolle Kontrolle. Mit hohem Risiko: Bei internen Informationslecks greifen die herkömmlichen Schutzmechanismen in der Regel nicht.

Dass Gefahr auch von innen droht, ist den Verantwortlichen längst bewusst. Schon die IDC Enterprise Security Survey 2006 zeigte, dass Anwenderfehler weit oben stehen auf der Liste der Sicherheitsbedenken der Unternehmen, gleich nach Malware, Spyware und Spam. Nicht zu Unrecht: Ein international tätiges Chemie-Unternehmen bekam die harte Realität zu spüren, nachdem ein Mitarbeiter geistiges Eigentum im Wert von 400 Millionen Dollar veruntreut hatte. “Ob mit böswilliger Absicht oder durch einen unbeabsichtigten Fehler – sensible Daten, die in falsche Hände gelangen, können Unternehmen teuer zu stehen kommen. Schwerer Imageverlust, Aktienkurse, die in die Tiefe stürzen oder ein sinkender Markenwert sind nur ein paar Beispiele der möglichen Folgen für das Unternehmen”, so Reiner Baumann, Regional Director Central and Eastern Europe bei IronPort.

Reiner Baumann, Ironport: “Datenverlust kann Untenehmen teuer zu stehen kommen”


Rechtzeitig Maßnahmen ergreifen

Informationslecks schließen

Einige US-Firmen werben für Lösungen dieser Art mit Aussagen wie “Erfahren Sie alles, was Ihre Mitarbeiter tun” – das allerdings ist nicht Hauptziel der Data Loss Prevention, die hierzulande zudem im Rahmen der Datenschutzgesetze laufen muss. DLP als Ganzes ist eine Zusammenfassung von mehreren Sicherheitsansätzen und bedeutet: Informationslecks vermeiden, Compliance-Vorschriften durchsetzen und so den Ruf und den Namen des Unternehmens schützen.

Die meisten Unternehmen müssen sich zumindest an einigen der Regularien wie HIPAA , GLB oder SOX orientieren. Ein Teil der Unternehmen behilft sich mit internen Handlungsanweisungen an die Mitarbeiter. Obwohl diese Maßnahmen zwar angebracht und hilfreich sind, bleibt doch ein hohes Risiko für menschliche Fehler.


Diese Werbung für ein “Mitarbeiter-Prüfsystem” würde in Deutschland so nicht funktionieren

Viele IT-Verantwortliche wünschen sich daher eine zentrale und automatisch einschreitende Instanz, um die Compliance-Richtlinien für die gesamte Kommunikation des Unternehmens zu unterstützen. Naturgemäß ist das Gateway zum externen Netz dafür die geeignete Stelle. Zudem fällt dadurch kein Aufwand für Software- und Policy-Rollouts auf die zahlreichen internen PCs und Notebooks an.

Inzwischen gibt es mehrere zuverlässige Lösungen auf dem Markt, die sich ohne viel Aufwand integrieren lassen. Eine Möglichkeit zeigt etwa die DLP-Lösung des (auf Wikipedia umstrittenen) Anbieters IronPort auf, der den Begriff DLP so definierte: Die Verbindung von marktüblichen E-Mail-Security-Funktionen wie Spam- und Virenfilter mit prozessbasierten Funktionen wie Richtliniendefinition, Inhaltsscans, Verschlüsselung, Quarantäne und Archivierung in einem System.


Schritte zur passenden Lösung

Informationslecks schließen

Um die passende DLP- (oder ILP oder CMF)-Lösung zu finden, sollten einige Regeln beachtet werden: Wichtig ist etwa, dass sich die Verantwortlichen ausreichend Zeit nehmen, um die DLP-Anforderungen zu definieren. Dazu gehört die Bestandsaufnahme und der umfassende Überblick über die im Unternehmen vorhandenen vertraulichen Daten sowie über die notwendigen Richtlinien. Erfolgskritisch ist zudem die Einbindung der Unternehmensleitung, um die Ernsthaftigkeit des Vorhabens und die Unterstützung der unternehmensweiten Umsetzung zu signalisieren. Wichtig bei der Umsetzung einiger Teilbereiche ist auch die Einbeziehung des Betriebsrates, um festzustellen, was man erfassen darf, was nicht und welche Vorgaben die Mitarbeiter unterschreiben müssen, um insbesondere die Automatisierung der “Innenprävention” auf legale Beine zu stellen.

Um Datenlecks möglichst schnell zu schließen, sollten aber zuerst die wichtigsten DLP-Bereiche adressiert werden – diejenigen, die das größte Gefahrenpotenzial darstellen. Denn DLP ist ein komplexes Problem. D.h., es erfordert die richtige Zusammenstellung von Lösungsbausteinen, damit alle relevanten Aspekte für die jeweilige Organisation abgedeckt sind.

Die Lösung muss vor allem in der Lage sein, versuchte Verstöße gegen die Richtlinien effektiv und umfassend aufzudecken. Dies ermöglichen Funktionen wie Multi-Protokoll-Monitoring und -Schutz, die inhaltsbasierte Analyse aller wichtigen Dokumente und Attachment-Typen, selektives Blockieren und/oder Isolieren von Nachrichten sowie eine automatische Verschlüsselung analog der Unternehmens-Richtlinien. Zudem sind detaillierte Berichte zu allen verdächtigen Vorkommnissen erforderlich. Reports über nachgewiesene Verstöße sollten daher alle nötigen Informationen zum Handeln enthalten. Zu diesen Angaben zählt etwa der Sender der Nachricht, Inhalte, Anhänge, beabsichtigte Empfänger und Informationen zur Art des Verstoßes.


Detaillierte Reports über versuchte Regelverstöße erlauben gezielte Analysen und Gegenmaßnahmen. (Quelle: IronPort 2007)

Eine gute DLP-Lösung muss zudem flexibel an die häufig wechselnden Anforderungen anpassbar sein. So sollten Organisationen etwa eine DLP-Lösung für E-Mail und Web auswählen, die das kontinuierlich ansteigende Nachrichtenvolumen und zukünftige Anforderungen an Bandbreiten managen kann. Diese Ziele sind heute umsetzbar, denn auf dem Markt gibt es bereits geeignete Lösungen mit hoher Skalierbarkeit und Leistung. Ein Kennzeichen guter Lösungen ist zudem die Möglichkeit, ihre Wirksamkeit durch die Integration anderer bewährter Tools zu erhöhen. Im Hinblick auf die industrielle Entwicklung wird in Zukunft die Flexibilität entscheidend sein, durch Konnektivität und Datenaustausch von neuen Lösungen zu profitieren.


DLP – Blick in die
Praxis

Informationslecks schließen

Das California Department of Alcohol & Drug Programs schützt seine vertraulichen Daten bereits mit Hilfe einer umfassenden DLP-Lösung. Zum Einsatz kommt eine E-Mail-Security-Appliance, der eine E-Mail-Encryption-Server, Anti-Spam, Virenfilter und Antiviren-Software von verschiedenen Herstellern, darunter Sophos und IronPort. Die Lösung ist die Antwort auf die zahlreichen Herausforderungen der Behörde:


Beispiel für Data Loss Prevention: Alkoholprävention funktioniert nur, wenn auch die Daten anonym bleiben

Neben einer Überwachung der ausgehenden Inhalte (Outbound Content Filtering) muss eine automatische Datenverschlüsselung zur Erfüllung der Compliance-Vorgaben möglich sein. Zudem gilt es zu verhindern, dass versehentlich staatliche Daten einschließlich Patientendaten und Sozialversicherungsnummern veröffentlicht werden – um etwa ein großes Malheur wie das im britischen Gesundheitsministerium zu vermeiden, dem Ende vergangenen Jahres mehrere zehntausend Daten “entwischt” waren. Im britischen Parlament versuchen nun einige Abgeordnete, Datenlecks strafbar zu machen.

Schließlich sollte eine sichere Kommunikation mit externen Partnern sowie der Schutz vor Phishing-Versuchen gewährleistet sein. Auch ein einfaches Zwischenlagern von Nachrichten und ein verbessertes System-Management gehörten zum Anforderungsprofil der kalifornischen Behörde. “Die benutzte Software, etwa die Mail-Verschlüsselung, erfüllt unsere Anforderungen an ein sicheres elektronisches Messaging-System. Das Department ist auf eine sichere Übertragungsmöglichkeit angewiesen, um Richtlinien wie HIPAA und andere administrative Vorgaben erfüllen zu können”, erläutert Gary Hummel, Information Security Officer bei CISSP (California Department of Alcohol & Drug Programs), die Entscheidung für seine Software-Wahl.

Die DLP-Lösung konnte innerhalb kurzer Zeit eingeführt werden. Sie stellt die Einhaltung aller Compliance-Vorgaben des Landes und des Staates Kalifornien sicher. Der Aufwand dafür ist gering: Der Software-Anbieter des Hauptbstandteils der Lösungen entwickelte seine Software nach dem Motto “set and forget management” – es fallen nur geringe Verwaltungsaufgaben an. Und der Anti-Spam- und Anti-Virenschutz am Netzwerk-Perimeter bilde eine wirkungsvolle Verteidigungslinie für die Microsoft Exchange Server der Behörde.

Ob die entsprechenden Lösungen so auch von deutschen Firmen und Behörden eingesetzt werden können, ist eher eine politische Frage, doch sicher ist eines: Gegen die “Gefahr von innen” muss fast noch mehr getan werden als gegen die von außen. Software-Anbieter und die IT-Verantwortlichen allerdings müssen mit viel mehr Fingerspitzengefühl an die Sache gehen als das risikofreudige Amerika. (mk)