Data Loss Prevention – Mehr als ein Technologieproblem
Artikel erschienen in Swiss IT Magazine 2009/08
Fortsetzung auf Seite 32
Sobald es um den Schutz vertraulicher Informationen geht, müssen Richtlinien für die elektronische Kommunikation festgelegt und durchgesetzt werden. Damit wird Data Loss Prevention (DLP) zu einem Thema, das weit über die IT hinausreicht.
Unternehmen kommunizieren über E-Mails, ihre Mitarbeiter sind mit mobilen Computern unterwegs. Informationen lassen sich einfach und schnell abrufen und austauschen. Die Kehrseite: Genauso schnell und einfach können kritische Informationen das geschützte Firmennetzwerk verlassen. Bedrohlich kann die Situation für ein Unternehmen vor allem dann werden, wenn wesentliches Know-how in fremde Hände gerät oder Daten entwendet und missbraucht werden. Wie das bei der LGT-Bank, Liechtenstein der Fall war. Wie aber war es möglich, dass ein Mitarbeiter eine solche Menge sensibler Daten auf eine CD-Rom brennen und stehlen konnte? Es darf als sicher gelten, dass die entsprechende Stelle über Richtlinien zu Datensicherheit und -schutz verfügt. Jedoch zeigt der Vorfall, dass diese Richtlinien offensichtlich nicht mit technischen Massnahmen durchgesetzt worden sind.
Das Risiko eines Datenverlusts ist dort besonders hoch, wo grosse Mengen vertraulicher Kundendaten verwaltet werden, beispielsweise im Finanz- und Versicherungsbereich. Inzwischen hat sich aber auch in anderen Branchen ein Problembewusstsein entwickelt: Im Gesundheitsbereich müssen Patientendaten geschützt werden, Technologieunternehmen müssen ihre Betriebsgeheimnisse wahren, um nicht Wettbewerbsvorteile zu verlieren, Behörden müssen die Daten der Bürger schützen.
Data Loss Prevention (DLP) ist längst keine reine IT-Angelegenheit mehr, sondern bezieht Menschen und Prozesse ein, um zu verhindern, dass vertrauliche Daten das Unternehmen verlassen. Dabei spielt es keine Rolle, ob es sich um Personaldaten handelt, Finanzdaten oder Marketingpläne, geistiges Eigentum wie Produktpläne oder Programmcode – all diese Daten repräsentieren für das Unternehmen einen hohen Wert und müssen geschützt werden.
Dazu kommen die Konsequenzen aus gängigen Compliance-Anforderungen. Seien es globale Regulierungen bezüglich des Schutzes sensibler Daten oder lokale Regelungen: Sie alle zwingen betroffene Unternehmen, mit vertraulichen Daten gewissenhaft umzugehen.
Gängige Sicherheitslösungen, die ein Netzwerk schützen oder den Zugang zu Informationen kontrollieren und begrenzen sollen, beantworten jedoch in der Regel nicht die drei fundamentalen Fragen: Wo sind vertrauliche Informationen gespeichert? Wie und von wem sollen sie genutzt werden? Wie lassen sie sich am besten vor Verlust schützen?
Die eher traditionellen Sicherheitsvorkehrungen, die sich auf den Schutz der Umgebung und den Schutz vor externen Angreifern konzentrieren, können das Problem des Datenverlustes nicht lösen. Die grosse Mehrheit von Verstössen gegen den Schutz der Unternehmensdaten sind nicht durch externe Attacken verursacht, sondern durch Unachtsamkeit oder Mutwilligkeit von Mitarbeitenden oder durch unvollständige Geschäftsprozesse. Daher wenden Unternehmen sich vermehrt professionellen, umfassenden DLP-Lösungen zu.
Diese Lösungen werden in Netzwerken eingesetzt, um Datensicherheitsrichtlinien zu etablieren, den E-Mail-Verkehr zu beobachten und Verletzungen der Richtlinien festzuhalten. Zusätzlich werden Web Mail, FTP, Secure Web Mail und Instant Messaging abgedeckt. Ebenso können nun Datenübertragungen, die ganz offensichtlich die Sicherheitsrichtlinie verletzen, protokolliert und blockiert werden. Schliesslich gelingt es mit den DLP-Lösungen, vertrauliche Daten auf Fileservern, Desktop PCs, Laptops und in verschiedenen Datenspeichern zu klassifizieren und gemäss ihrer Wichtigkeits- und Vertraulichkeitsstufe zu schützen.
DLP ist keine einfache technische Lösung und der Schutz der Unternehmensinformation ist nicht allein IT-Sache. Tatsächlich mag die IT nicht in jedem Fall wissen, welche Informationen vertraulich sind und welche nicht. Der Schutz vor Datenverlust ist also ein Business-Problem und damit ist auch eine Business-Lösung verlangt. Daher muss zunächst die Geschäftsführung in Zusammenarbeit mit den Geschäftsbereichen festlegen, welche Daten wie geschützt werden müssen. Dabei ist auch so etwas wie ein Krisenplan aufzustellen: Wer hat welche Aufgaben, wenn doch einmal ein Datenverlust eingetreten sein sollte? So lassen sich Auswirkungen reduzieren.
Hat man die kritischen Informationen erst einmal identifiziert, lässt sich auch beobachten, ob derartige Informationen immer über einen bestimmten Punkt das Unternehmen verlassen. Damit lassen sich Sicherheitslücken aufspüren und Prozesse mit der Zeit verbessern.
Aktuelle DLP-Lösungen, wie beispielsweise Vontu Data Loss Prevention von Symantec, bieten die Möglichkeit, auf Verletzungen der Sicherheitsrichtlinien automatisiert zu reagieren. Analyse-Tools und definierte Abläufe ermöglichen es dem DLP-System, die Schwere eines Ereignisses zu bewerten und automatisch geeignete Reaktionen durchzusetzen. Zudem enthalten neuere DLP-Lösungen oft bereits Vorlagen, die auf praktischen Erfahrungen beruhen und eine schnellere, effiziente Reaktion erlauben.
Effiziente DLP-Lösungen integrieren Menschen, Prozesse und Technologie. So können Unternehmen nicht nur Einblick gewinnen, wo ihre sensiblen Daten sind, wer sie nutzt und wohin sie gehen. Sie können damit auch effizient ihr Gefährdungspotenzial jetzt und in Zukunft managen und steuern.