Was ist DLP? So funktioniert Data Loss Prevention-Software

Data Loss Prevention (DLP) umfasst eine Reihe von Verfahren (und Produkten), die sicherstellen, dass die sensiblen oder kritischen Daten eines Unternehmens sicher aufbewahrt werden. [...]

In Zeiten, in denen viele Unternehmen um große Mengen von Daten herum aufgebaut sind, ist es wichtig, sich vor ihrem Verlust zu schützen (c) Pixabay.com

Data Loss Prevention (DLP) bezeichnet eine Reihe von Verfahren (und Produkten), die sicherstellen, dass die sensiblen oder kritischen Daten eines Unternehmens für autorisierte Benutzer verfügbar bleiben und nicht an nicht autorisierte Benutzer weitergegeben werden. Den Begriff gibt es schon seit einiger Zeit – tatsächlich hat ihn CSO-Kolumnist Jon Oltsik, ein Analyst der Enterprise Strategy Group, schon vor einem Jahrzehnt als veraltet verspottet – aber er ist geblieben. Und da viele Unternehmen ihr gesamtes Geschäftsmodell um die Sammlung und Analyse von Daten herum aufbauen, müssen Organisationen eine rigorose Verteidigung dieser Daten implementieren, um ihrem steigenden Wert gerecht zu werden.

Was ist der Zweck von DLP?

Der DLP-Anbieter Digital Guardian skizziert in einem Blogbeitrag die drei Hauptanwendungsfälle für DLP:

  • Schutz persönlich identifizierbarer Informationen und Gewährleistung der Einhaltung gesetzlicher Vorschriften. Viele Unternehmen verfügen über riesige Datenbanken voller potenziell sensibler Informationen über ihre Kunden und Geschäftskontakte, von E-Mail-Adressen bis hin zu medizinischen und finanziellen Aufzeichnungen, die echten Schaden anrichten könnten, wenn sie in die falschen Hände geraten. Sie müssen dafür sorgen, dass die Daten sicher bleiben, nicht nur, weil es das Richtige ist, sondern auch, weil eine Vielzahl von Gesetzen, von HIPAA über GDPR bis hin zum CCPA, dies vorschreiben und Ihnen einige Möglichkeiten auferlegen, wie Sie dies tun müssen.
  • Schutz von geistigem Eigentum. Ihre Organisation hat mit ziemlicher Sicherheit geistiges Eigentum und Geschäftsgeheimnisse, die Sie aus den Händen der Konkurrenz heraushalten wollen. DLP will verhindern, dass diese Daten durch Unternehmensspionage entwendet oder versehentlich online preisgegeben werden.
  • Einblick in Ihre Daten erhalten. Ein Teil des Prozesses, Ihre Daten zu sperren, besteht darin, herauszufinden, wo sich Ihre Daten in Ihrer Infrastruktur befinden und wie sie sich bewegen. Im Zeitalter der öffentlichen und hybriden Clouds kann dies eine komplexe Aufgabe sein, und DLP-Tools haben den zusätzlichen Vorteil, dass sie Ihnen einen umfassenden Einblick in Ihre eigene Dateninfrastruktur bieten.

Warum ist DLP wichtig?

Die Bedeutung von DLP wird durch die alarmierenden Ergebnisse eines unzureichenden Schutzes der Daten bestätigt. 2019 galt als das „schlechteste Jahr, in dem Verstöße festgestellt wurden„, wobei die Zahl der aufgedeckten Datensätze in die Milliarden geht. IBM bezifferte die durchschnittlichen Kosten eines Datenverstoßes auf 3,92 Millionen Dollar.

Neben der gestiegenen Häufigkeit und dem Wert von Datenverstößen nennt Digital Guardian eine Reihe von Gründen, warum DLP-Dienste von Unternehmen immer häufiger in Anspruch genommen werden. Die Notwendigkeit der Einhaltung gesetzlicher Vorschriften spielt eine große Rolle, ebenso wie die zunehmende Macht und Verantwortung von CISOs, die in häufigem Kontakt mit CEOs und anderen Führungskräften stehen und Sicherheitsfragen wie den Datenschutz sichtbar machen. Darüber hinaus handelt es sich bei vielen DLP-Angeboten um gehostete Dienste, was sie für Unternehmen attraktiv macht, die nicht über das interne Personal verfügen, um ihre eigenen DLP-Richtlinien zu erstellen und durchzusetzen.

Wie Data Loss Prevention funktioniert

Wie Geekflare es kurz und bündig ausdrückt, lässt sich DLP auf ein einfaches Richtlinienpaar reduzieren: Identifizierung sensibler Daten, die geschützt werden müssen, und anschließende Verhinderung ihres Verlusts. Offensichtlich steckt der Teufel im Detail. Die Aufgabe, sensible Daten zu identifizieren, kann knifflig sein, da Daten in Ihrer Infrastruktur in mehreren verschiedenen Zuständen existieren können:

  • Daten im Gebrauch: Aktive Daten in RAM, Cache-Speicher oder CPU-Registern
  • Daten in Bewegung: Daten, die über ein Netzwerk übertragen werden, entweder über ein internes und sicheres oder über das öffentliche Internet
  • Daten in Ruhe: Daten, die in einer Datenbank, auf einem Dateisystem oder in einer Art von Backup-Speicherinfrastruktur gespeichert sind

Enterprise-DLP-Lösungen sind allumfassende Tools, die darauf abzielen, Daten in all diesen Stadien zu schützen, wohingegen integrierte DLP-Lösungen sich auf ein Land konzentrieren oder in ein separates Einzweck-Tool integriert werden könnten. Beispielsweise verfügt der Exchange Server von Microsoft über integrierte DLP-Funktionen, die speziell dazu dienen, Datenverluste per E-Mail zu verhindern.

In jedem Fall setzen DLP-Lösungen Agentenprogramme ein, um Daten in ihrem Zuständigkeitsbereich zu durchsuchen. Diese Programme verwenden eine Vielzahl von DLP-Techniken, um sensible oder schutzwürdige Daten aufzuspüren. Manchmal geht es dabei um die Suche nach Kopien von Dokumenten oder Daten, die Sie zur Verfügung gestellt haben, und manchmal geht es darum, den Heuhaufen Ihrer Daten nach Nadeln mit sensiblen Informationen zu durchforsten. Der Cloud Security Blog von McAfee stellt einige dieser Techniken vor, darunter

  • Regelbasierter Abgleich oder reguläre Ausdrücke: Agenten verwenden bekannte Muster, um Daten zu finden, die bestimmten Regeln entsprechen – 16-stellige Zahlen sind in der Regel z. B. Kreditkartennummern, und 9-stellige Zahlen sind in der Regel Sozialversicherungsnummern. Dies ist oft ein erster Durchlauf, um Dokumente für eine spätere Analyse zu markieren.
  • Datenbank-Fingerprinting oder exakter Datenabgleich: Agenten suchen nach exakten Übereinstimmungen mit bereits gelieferten strukturierten Daten.
  • Exakter Dateiabgleich: Die Agenten suchen Dokumente anhand ihrer Hashes und nicht anhand ihres Inhalts.
  • Partieller Dokumentenabgleich: Die Agenten suchen nach Dateien, die teilweise mit den vorgegebenen Mustern übereinstimmen. Beispielsweise haben verschiedene Versionen eines von verschiedenen Benutzern ausgefüllten Formulars das gleiche Gerüst, das für einen Fingerabdruck der Datei verwendet werden kann.
  • Statistische Analyse: Einige DLP-Lösungen verwenden maschinelles Lernen oder Bayes’sche Analyse, um sensible Daten zu identifizieren. Sie benötigen eine große Datenmenge, um das System zu trainieren, das immer noch anfällig für falsch positive und negative Ergebnisse sein kann.

Bei den meisten DLP-Lösungen können Sie auch Ihre eigenen benutzerdefinierten Regelkombinationen erstellen, um unternehmensspezifische Daten aufzuspüren.

Sobald Ihre DLP-Lösung sensible Daten identifiziert hat, muss sie wissen, wie sie mit diesen Daten umgehen muss. Aber das ist mehr als ein technisches Problem. Ihr Unternehmen muss eine DLP-Strategie entwickeln, um festzulegen, wie verschiedene Arten von Daten behandelt werden sollen und welche Verantwortlichkeiten interne und externe Benutzer für diese Daten haben. Sie werden besonders darauf achten müssen, ein Gleichgewicht zwischen dem Schutz Ihrer Daten und der übermäßigen Belastung der Arbeitsplätze der Mitarbeiter Ihres Unternehmens zu finden. Digital Guardian bietet einen großartigen Leitfaden für die Entwicklung einer DLP-Richtlinie des Unternehmens.

Ihre Strategie wird dann in die DLP-Richtlinien und DLP-Verfahren einfließen, die Sie mit Ihrer DLP-Lösung implementieren wollen. Sie können diese Richtlinien und Verfahren als den technischen Ausdruck der Strategie betrachten, die Ihre Organisation entwickelt. Dieser Prozess variiert natürlich von Produkt zu Produkt; die Exchange-Dokumentation von Microsoft beschreibt, wie Sie dies für diese Plattform tun würden, und veranschaulicht, wie der Prozess funktioniert.

Wenn Ihre Lösung schließlich eine Aktion identifiziert, die gegen eine der von Ihnen festgelegten Richtlinien verstößt, implementiert sie DLP-Sicherheitskontrollen mit dem Ziel, Datenverluste zu verhindern. Wenn Ihre DLP-Lösung beispielsweise eine sensible Datei entdeckt, die an eine E-Mail angehängt ist, kann sie eine Warnung an den Absender ausgeben oder den Versand der E-Mail ganz verhindern. Wenn sensible Daten über das Netzwerk exfiltriert werden, könnte die DLP-Lösung eine Warnung an einen Administrator senden oder einfach den Netzwerkzugriff sperren.

DLP-Metriken

Wie wir oben erwähnt haben, ist ein Teil des gestiegenen Interesses der Unternehmen an DLP auf die wachsende Macht der CISOs zurückzuführen, und wenn es etwas gibt, was CISOs gefällt, dann sind es harte Zahlen, die zeigen, wie eine neue Sicherheitsinitiative abschneidet. Sicherheit ist bekanntermaßen schwer zu quantifizieren – wie zählt man die Hunde, die nicht bellen? – aber die CISO-Plattform bietet einige potenzielle Metriken, mit denen Sie den Erfolg Ihrer DLP-Einführung bewerten können:

  • Anzahl der gewährten Richtlinienausnahmen: Zu viele könnten darauf hindeuten, dass Sie eine Richtlinie festgelegt haben, die zu streng ist, als dass Ihre Mitarbeiter ihre Arbeit korrekt ausführen können – oder dass Mitarbeiter Ihre DLP-Richtlinien auf unsichere Weise umgehen.
  • Anzahl der erzeugten Fehlalarme: Im Idealfall sollte diese Zahl gleich Null sein, obwohl das in der Praxis schwer zu erreichen ist. Aber diese Zahl ist ein guter Indikator dafür, wie gut Ihre Richtlinien und Verfahren aufgebaut sind und wie gut Ihre Lösung bei der Analyse Ihrer Daten funktioniert.
  • Die durchschnittliche Zeit, um auf Warnmeldungen zu reagieren: Dies ist ein guter Indikator dafür, wie gut Ihr DLP-System in Ihre allgemeine Sicherheitshaltung integriert ist und ob Ihr Sicherheitsteam DLP-Warnungen ernst nimmt.
  • Anzahl der nicht verwalteten Geräte im Netzwerk, Anzahl der noch nicht mit Fingerabdrücken versehenen Datenbanken und Anzahl der noch nicht klassifizierten Datenbanken und Datenresidenten: Wenn eine dieser Zahlen höher als Null ist, ist Ihr Rollout noch nicht abgeschlossen. Wenn einige dieser nicht katalogisierten Systeme zu Ihrem Netzwerk hinzugefügt wurden, nachdem Sie Ihre DLP-Lösung ausgerollt haben, ist das ein Zeichen dafür, dass Ihre Verfahren zum Aufbau auf Ihrer Infrastruktur keine Integration mit Ihren DLP-Richtlinien beinhalten.

DLP-Produkte

Während ein umfassender Katalog von DLP-Software den Rahmen dieses Artikels sprengt, finden Sie hier einige der bekannteren Lösungen, mit einigen Anmerkungen, was jede von ihnen zu etwas Besonderem macht:

  • Check Point: In eine größere Gateway-Architektur eingebaute DLP-Funktionalität; kann TLS-verschlüsselten Verkehr über Netzwerk-Gateways überprüfen
  • Digital Guardian: Eine Cloud-basierte Plattform, die Endpunkt-Agenten und Netzwerk-Appliances zur Überwachung der Infrastruktur vor Ort umfasst.
  • McAfee: Umfasst die forensischen Analysefähigkeiten des Unternehmens
  • Forcepoint: Integriert Prüfung und Berichterstattung zur Einhaltung von Vorschriften
  • Symantec: Verfügt über separate DLP-Module für Cloud, E-Mail, Web, Endgeräte und Speicher, die zusammen oder als einzelne Tools arbeiten können

Für weitere Informationen zu DLP-Lösungen bietet Gartner einen Marktführer für die Produktkategorie sowie Tipps zum Aufbau eines effektiven DLP-Programms.

*Josh Fruhlinger ist Schriftsteller und Redakteur und lebt in Los Angeles.


Mehr Artikel

News

US-Forscher machen PET-Flaschen zu Akkus

Materialforscher der University of California am Standort Riverside nutzen ausgediente Getränkeflaschen und andere Produkte aus Polyethylenterephthalat (PET) zur Speicherung elektrischer Energie. Die Wissenschaftler haben hierzu PET-Schnipsel in einer Flüssigkeit aufgelöst. […]