Von Thomas Müller, Security Architect bei Ispin und dort Projektleiter für die Bank Leumi Kundenvertrauen ist, insbesondere im Finanzsektor, essentiell. «Ein einziger Vorfall, ob beabsichtigt oder unbeabsichtigt, kann ernsthafte Folgen für eine Bank haben und ihren Ruf bei den Kunden langfristig schädigen», erklärt Daniel Brunner, Leiter Informationssicherheit bei der Bank Leumi Schweiz. Die Schweizer Privatbank entschloss sich deshalb vor kurzem, ihren Data-Loss-Prevention-Ansatz (DLP) von einer rein reaktiven Gefahrenerkennung hin zu einer aktiven Prävention auszuweiten und im Rahmen dessen eine Lösung zur Überwachung des externen E-Mail-Verkehrs einzuführen. Damit sollen Daten sowie sensible Kundeninformationen vor einem versehentlichen oder böswilligen Verlust geschützt werden. Bis anhin war auf Netzwerk-Ebene keine DLP-Lösung aktiv, entsprechende Massnahmen wurden primär auf Client-Seite ergriffen.
Aktive Vermeidung von Datenverlust
«Menschliche Interaktion kann das schwächste Glied in jeder Sicherheitsstrategie sein», weiss Brunner, «eine DLP-Lösung stellt uns hier einen zusätzlichen Schutzwall zur Verfügung, der unsere wertvollsten Informationen, die Kundendaten, im Falle eines menschlichen Fehlers sichert.» Ausserdem könne eine solche Lösung sicherstellen, dass die von den Aufsichtsbehörden vorgegebenen Compliance-Standards eingehalten oder gar übertroffen und dass die unternehmenseigenen Sicherheitsanforderungen durchgesetzt werden.
Nach Evaluation verschiedener DLP-Lösungen fiel die Wahl auf den Hersteller Check Point, laut Brunner aufgrund der einfachen Anwendung, des Funktionsspektrums und der intuitiven Management-Schnittstelle.
Die Überwachung des ein- und ausgehenden E-Mail-Verkehrs wurde in die bestehende DMZ-Infrastruktur integriert. Beim Versand sensibler Daten wird der User – oder auch der Vorgesetzte – nun in Echtzeit darauf aufmerksam gemacht, dass er diese nicht versenden soll oder darf. Oder, dass der Adressat nicht berechtigt ist, diese Informationen zu erhalten.
Das System ermöglicht laut Marco Marchesi, CEO und Inhaber von Check-Point-Partner Ispin, der als Spezialist für Daten- und Informationssicherheit die Lösung bei der Bank
Leumi Schweiz implementierte, die Korrelation unterschiedlichster Datentypen und weist eine hohe Genauigkeit bei der Identifikation von Regelverletzungen auf.
Die DLP-Lösung wie auch das Management wurden in Form von dedizierten Appliances realisiert (siehe Grafik). Von Check Point vordefinierte Anwendungs-spezifische Vorlagen und zuvor festgelegte Datentypen für Inhalte ermöglichen es, Regeln und Verfahrensweisen festzulegen und innerhalb kurzer Zeit mit der Aufsicht der E-Mail-Kommunikation zu beginnen.
Schnelle Implementierung
Die Einrichtung von DLP-Lösungen könne je nachdem mehrere Monate dauern, erklärt Brunner. Die Check-Point-Lösung sei hingegen an nur einem Tag implementiert und in das System integriert worden, so der Leiter Informationssicherheit. Laut Marchesi von Ispin war das vor allem möglich, weil in einer ersten Phase nur der Kommunikationskanal E-Mail und die vordefinierten Regelwerke eingesetzt werden. «Damit dauerte der Aufbau und die Erstellung der Policy inklusive des zu Beginn durchgeführten Proof of Concept nur knapp eine Woche», so Marchesi.
Gemanaged wird die neue DLP-Lösung, wie die gesamte Check-Point-Sicherheitsinfrastruktur – die Bank
Leumi setzt auch in den Bereichen Firewall und Endpoint Security Lösungen dieses Herstellers ein – zentral durch die Smart-1-Anwendung von Check Point. Damit konnten die Kosten für den Betrieb zusätzlicher Management-Schnittstellen vermieden werden. Zudem vereinfache die sogenannte Smartevent Software Blade das Reporting, da es der Bank alle Ereignisse und Protokolle in einer einzigen grafischen Benutzeroberfläche präsentiere. «Sie ermöglicht es uns, Trends zu ermitteln, unsere Risiken zu verstehen und Vorgehensweisen zu erarbeiten, um unsere Gefährdung abzubauen», freut sich Brunner.
In Zukunft auch fürs Web
Laut Marchesi ist mit der vorliegenden DLP-Lösung für die Überwachung des externen E-Mail-Verkehrs erst der Anfang gemacht: «Die Definition von weiteren Filtern und die Verwendung der DLP-Lösung für den Kommunikationskanal Web sind angedacht». Ausserdem sei auch der Einsatz des Agenten auf dem Client ein mögliches Thema für die Zukunft.