Viele Unternehmen setzen ein breites Arsenal von Sicherheitsmassnahmen ein, um unerwünschten Datenverlust vorzubeugen. Typische Lösungen wie Firewalls und Anti-Virus Software können wirksam auf die Bedrohung von aussen reagieren. Allerdings übersieht dieser Ansatz einen wichtigen Aspekt: In der Regel stellen die eigenen Mitarbeitenden das grösste Risiko für einen schädlichen Informationsabfluss dar.
Zwei aktuelle Beispiele dazu: Der fehlgeschlagene Datendiebstahl durch einen Mitarbeitenden beim Nachrichtendienst des Bundes im Herbst 2012 (
http://grundrechte.ch/CMS//medienmitteilung-vbs.html) oder die Steuersünder-CD (
http://de.wikipedia.org/wiki/Steuers%C3%BCnder-CD) mit gestohlenen Bankkundendaten, die sogar zu einem länderübergreifenden juristischen und politischen Schlagabtausch geführt hat.
Mitarbeitende mit krimineller Energie gehen meist nach dem gleichen Muster vor: Sie entwenden vertrauliche Geschäftsdaten unbemerkt aus dem Unternehmen, indem sie diese auf einen mobilen Datenträger kopieren bzw. an eine externe, meistens private Email Adresse senden. Danach können sie die Informationen mit hohem wirtschaftlichem Wert an Dritte verkaufen oder weitergeben.
DLP als Retter in der Not
DLP-Lösungen helfen, den Datenabfluss aus dem Unternehmen zu überwachen und unerwünschten Datenverlust zu verhindern. Die Abbildung zeigt eine thematische Übersicht zu DLP.
Der Schutz von DLP-Lösungen erstreckt sich auf persistent abgelegte Daten (Data-at-Rest), aktuell bearbeitete Daten (Data-in-Use) wie auch auf Daten, welche sich in der Übertragung befinden (Data-in-Motion).
Gegenmassnahmen können sowohl passiv (Detektion), als auch aktiv (Prävention) umgesetzt werden. Detektion überwacht den ausgehenden Datenabfluss auf verdächtige Muster und schlägt beim Erreichen von festgelegten Schwellwerten Alarm. Durch das technische Unterbinden von bestimmten Operationen kann präventiv ein widerrechtlicher Informationsabfluss verhindert werden. Vorstellbar in diesem Zusammenhang ist beispielsweise das Blockieren von Drucken oder Kopieren auf mobile Speichergeräte und Versenden von sensiblen Daten.
Praxistauglichkeit
Bevor man sich für die Einführung einer DLP-Lösung entscheidet, muss im Vorfeld untersucht werden, wie DLP die im Unternehmen bestehenden Sicherheitskonzepte und -lösungen am besten unterstützt, damit ein klarer Mehrwert geschaffen werden kann.
In der Praxis hat es sich bewährt, die Arbeiten zur Initialisierung, Konzeption und Überprüfung von DLP-Lösungen in folgende Bausteine zu gliedern:
- B1: Business-Case
- B2: IT-Strategien und –architekturen
- B3: Risiko- und Qualitätsmanagement
- B4: Prozesse und Organisation
- B5: Outsourcing
- B6: Audits und Assessments inklusive Gap-, SWOT- sowie Kosten-/Nutzenanalysen
Um eine DLP-Lösung erfolgreich betreiben zu können, müssen die kritischen Daten bekannt sein. Diesem Schritt wird oftmals nicht die notwendige Aufmerksamkeit geschenkt, wodurch suboptimale Lösungen umgesetzt werden. In diesem Zusammenhang bietet der Baustein Audits und Assessments professionelle Unterstützung.
DLP ist als Teil einer sogenannten «Defense-in-Depth» (Verteidigung in der Tiefe)-Strategie zu betrachten. An dieser Stelle leisten DLP-Lösungen einen wertvollen Beitrag zum Schutz der Daten über deren gesamten Lebenszyklus hinweg, d. h. von der Erzeugung über die Bearbeitung bis hin zur Archivierung.
Die Autoren
Dr. Adrian Marti ist Leiter des Kompetenzbereichs Informationssicherheit der AWK Group, adrian.marti@awk.ch,
www.awk.ch/de/kompetenzen/informationssicherheitTarkan Bas ist Senior Consultant im Kompetenzbereich Informationssicherheit bei AWK Group
Dr. Philipp Grabher ist Consultant im Kompetenzbereich Informationssicherheit bei AWK Group
Über die AWK Group AWK ist mit rund 140 Mitarbeitenden eines der grössten Schweizer Beratungsunternehmen für Informationstechnologie. Wir sind schweizweit tätig mit Standorten in Zürich, Bern und Basel. Unsere Dienstleistungen umfassen Consulting, Engineering und Projektmanagement.
