Management und Wissen, Data-Leakage-Prevention

Mehr als ein Tool

Bausteine für eine wirksame Data-Leakage-Prevention

Unternehmen schützen sich zunehmend gegen die fahrlässige Weitergabe von Informationen, zum Beispiel durch Mitarbeiter oder Lieferanten. Im Fokus steht dabei immer häufiger, Datenlecks gezielt abzudichten, die sogenannte Data-Leakage-Prevention (DLP). Vor allem die Nachfrage nach technischen Sicherheitsanwendungen zu DLP steigt. Doch viele Unternehmen denken, es sei mit der Anschaffung entsprechender Software getan. Sie vergessen dabei, dass DLP nur dann wirkt, wenn ein dazu passender Prozess eingeführt wird.

Von Gerald Spiegel, Frankfurt/Main

Der Bedarf an Schutz vor ungewollten Datenabflüssen ist seit Fällen wie die Enthüllungen über die Plattform Wikileaks und dem Weiterleiten von CDs mit Steuerdaten aus der Schweiz an deutsche Finanzbehörden enorm gestiegen. Deswegen wächst das Geschäft mit DLP-Software seit zwei Jahren spürbar: Die Gelder, die Unternehmen weltweit an DLP-Anbieter zahlen, werden 2013 mehr als 600 Millionen US-Dollar betragen. Das sind doppelt so viel wie 2010, berichtet der Marktforscher Gartner. Die Sicherheitsanwendungen werden dabei immer ausgereifter und gehen heute bereits weit über das Abgleichen bestimmter Schlüsselwörter in E-Mails hinaus.

Der Schutz der Vertraulichkeit von Informationen durch Data-Leakage-Prevention ist allerdings mehr als ein IT-Thema. Sicherheitsverantwortliche sollten sich im Klaren darüber sein, dass sie keine IT-Risiken managen, sondern geschäftliche Risiken. Sie sollten DLP deshalb als Managementsystem betrachten und nicht als reine Technologie. Denn DLP ist mehr als das Sperren eines USB-Ports. Exakt diese Sichtweise fördern allerdings viele Softwarehersteller, denn ihre Produkte suggerieren beispielsweise DLP als Plug-and-Play mit vordefinierten Policies, die Compliance zu externen Vorschriften bewirken. Jedoch behandeln die meisten dieser Produkte nur ein kleines Fragment des Mosaiks, das den Schutz der Vertraulichkeit bildet. Gartner rät deshalb von sogenannten Pre-Sales- Scans ab. Denn es reicht bei Weitem nicht aus, einmal vorab das System auf Schwachstellen abzuklopfen, ohne sich vorher Gedanken über eine detaillierte Strategie, inklusive der passenden Abläufe zu machen.

Management Commitment und Schutzbedarfsfeststellung

Aber wie sieht ein wirksames DLP-Konzept aus beziehungsweise welche Bausteine benötigt man? Grundsätzlich muss es von der Führungsetage getragen und gefördert werden. Das zeigt sich unter anderem dadurch, dass die Einführung eines DLP-Systems aus dem Budget einer Führungskraft der Senior- Management-Ebene gesponsert wird bestenfalls auf Vorstandsebene. Die Unternehmensleitung sollte zudem eine klare Richtung vorgeben und eine genaue Vorstellung davon haben, was man mit DLP erreichen will. Nur so lässt sich das Bewusstsein im gesamten Unternehmen schärfen und die nötige Akzeptanz herstellen.

Außerdem sollte man kein DLP-Projekt angehen, ohne zu wissen, welche Informationen geschützt werden sollen. Um den Schutzbedarf im Detail zu ermitteln, empfiehlt es sich zunächst die vorhandenen Informationen und Daten in Klassen einzuteilen. Dabei geht es darum festzulegen, welchen Wert welche Informationen für das Unternehmen besitzen, ob es sich um personenbezogene Daten handelt, ob es sich um geistiges Eigentum des Unternehmens handelt, ob eine Information nur für den internen Gebrauch gedacht ist sowie weitere Klassifizierungen, die sich aus vertraglichen und gesetzlichen Anforderungen ergeben.

Durch Business-Impact- Analysen verschaffen sich Unternehmen zudem einen Überblick, welche Informationen bei einem Verlust an Unberechtigte welchen geschäftlichen Schaden anrichten. Das ist wichtig, um die Stärke von Kontrollmaßnahmen richtig zu dosieren. Idealerweise spielen die Verantwortlichen anhand von Schadenszenarien durch, was in welchem Bereich passiert, wenn Informationen ungewollt abfließen und welche Informationen mit welchen Geschäftsprozessen in Zusammenhang stehen. Diese Voranalyse und Einstufung von Informationen liefert die Systematik, auf deren Grundlage Maßnahmen aufgesetzt werden können.

Strukturanalyse

Eng verbunden mit der Klassifizierung ist eine Ortsbestimmung schutzbedürftiger Informationen. Für das Funktionieren von DLP ist es wichtig, genau zu wissen, wo sich klassifizierte Daten befinden, mit welchen Anwendungen sie verarbeitet und über welche Schnittstellen sie transportiert werden. Damit einem DLP-System keine Datenbewegungen entgehen, braucht es eine exakte Aufstellung, in welchen Datenbanken, Software-Programmen und Endgeräten klassifizierte Daten lagern oder sich zumindest kurzzeitig dort aufhalten. Dieser Katalog umfasst auch eine Übersicht der Kanäle, über die Daten abfließen können.

: Eine Lösung für DLP erfordert die Einbindung von Menschen, Prozessen und Technologie

Diese Aufgabe ist nicht trivial. Die IT-Landschaften von Unternehmen neigen dazu, auszuufern. Mehrere CRM-Systeme und Anwendungen für die Buchhaltung sowie Datensilos sind heute eher die Regel als die Ausnahme. Die wachsende Begeisterung für Cloud-Lösungen erschwert zusätzlich die Kontrolle. Durch den Siegeszug des mobilen Arbeitens vergrößert sich gleichzeitig der IT-Endgerätepark in den Betrieben. USB-Sticks, Terabyte große Festplatten in Taschenrechnerformat sowie Smartphones und Tablets gehören heute zur Standardausrüstung der Bürowelt. Häufig sind es sogar die privaten Geräte des Mitarbeiters. Auch die Zusammenarbeit über Collaboration-Netzwerke sowie über soziale Netzwerke wie XING, Linkedln und Facebook erschweren den Job der Sicherheitsverantwortlichen. Denn all die Geräte und Anwendungen stellen Schnittstellen dar, über die klassifizierte Daten das Unternehmen ungewollt verlassen können. An jeden dieser Ausgänge gehört ein Wächter in Form von DLP-Lösungen. Umso wichtiger ist, genau Buch zu führen und gemeinsam mit dem Management festzulegen, welche Schnittstellen vorhanden sind und zu bewerten, welche man überhaupt braucht.

Rollen, Regeln und Policies

Zu einem methodischen Vorgehen zählt auch, sich über Rollen, Regeln und Policies Gedanken zu machen. In jedem Unternehmen sollte es einen Katalog geben, der den Umgang mit klassifizierten Informationen regelt. Darin sollte analog zu einem Prozesseigentümer stehen, wem die Informationen konkret gehören. Dazu zählt auch festzulegen, wer die Verantwortung für die Initiierung, Umsetzung und Kontrolle von Maßnahmen trägt. In dieser DLP-Governance stehen darüber hinaus Regelungen über Zugangs-, Zutritts und Zugriffsberechtigungen sowie eine Festlegung, wie mit klassifizierten Informationen umgegangen wird. Der Fachbereich, nicht die IT-Abteilung definiert, wer Informationen in welchem Umfang einsehen, löschen und verändern darf.

Dieser Berechtigungskatalog betrifft die Online- und die Offline- Welt gleichermaßen. Genauso wie bestimmte Ordner im Firmennetz nur bestimmten Mitarbeitern zugänglich sein sollten, kann es je nach Risikolage sinnvoll sein, den Zutritt zu bestimmten Räumen einzuschränken. Nicht jeder Bankmitarbeiter darf beispielsweise den Trading Room betreten. Identity- und Access- Management (IAM) ist eine wichtige Voraussetzung für DLP-Maßnahmen. Speziell durch den Trend in Richtung Cloud-Computing setzt sich allerdings erst allmählich die Erkenntnis durch, dass Cloud-Security nur auf der Grundlage von identitätsbasierten Systemen möglich ist.

Organisatorische Maßnahmen

Herzstück von DLP ist die richtige Organisation. Sie macht aus DLP-Techniken ein professionelles Mittel gegen ungewollte Datenabflüsse. Der Mensch und die Abläufe stehen dabei im Fokus. Ohne Prozesskontrolle, Aufklärung und Training gibt es keinen wirksamen Schutz. Dafür stehen die Verantwortlichen vor einer Reihe kleiner Entscheidungen. Eine ist beispielsweise, an welchen Schnittstellen präventive Kontrollen stattfinden, die das Kopieren von Daten aktiv blockieren und an welchen es ausreicht, dass ein DLP-System nach dem Datenabfluss einen Eintrag ins Logfile vornimmt. Diese Entscheidung hängt davon ab, inwieweit Unternehmen Datenabflüsse ein Stück weit tolerieren wollen, solange sie nachträglich erkannt werden und die Verantwortlichen einen Blick darauf behalten.

In eine DLP-Organisation gehört zudem, eine angemessene Reaktion auf Verstöße festzulegen. Dazu braucht es beispielsweise forensische Maßnahmen. Es sollte einen Prozess geben, mit dem Sicherheitsverantwortliche feststellen können, wer Zugriff auf sensible Informationen hatte, die nach außen gedrungen sind, zum Beispiel börsenrelevante Daten. Zu einem modernen Security-Incident-Management zählt aber auch, die Erfahrungen aus konkreten Störfällen zu dokumentieren, um daraus Abläufe zu verbessern. Das ist wichtig, da in Unternehmen beispielsweise laufend neue Schnittstellen und damit potenzielle Fluchtwege für Informationen hinzukommen. Sobald diese erkannt werden, sollte man sie schnell im DLP-Management-System berücksichtigen. Gleichzeitig lassen sich aus Datenabflüssen nötige Regelveränderungen ableiten. Wichtig auch hier ist, dass die Fachseite den Umgang mit Verstößen vorgibt und die IT-Seite eine Beraterrolle einnimmt.

Interne Veränderungen zu beobachten, ist ein weiterer wichtiger organisatorischer Bestandteil im DLP-Prozess. Strategische und geschäftspolitische Veränderungen wirken sich häufig auch auf den Umgang mit Informationen aus. Die Sicherheitsverantwortlichen müssen frühzeitig wissen, wenn das Management das Lieferantennetzwerk umbauen möchte. Nur so können sie rechtzeitig analysieren, welche Auswirkungen diese Entscheidung auf Informationsströme und damit auf das Risiko von Datenabflüssen haben wird und das DLP-Management entsprechend anpassen. Sämtliche verabschiedeten Regeln und Policies zum DLP-Management sollten zudem einem regelmäßigen Review nach dem Modell Plan-Do-Check-Act (PDCA) unterzogen werden. So lässt sich kontinuierlich prüfen, ob die aktuellen Maßnahmen noch wirken. Und in jede DLP-Management-Organisation gehört ein Krisenplan, ähnlich einem Disaster Recovery, nur halt für den Notfall Datenabfluss.

Technische Maßnahmen

Erst wenn DLP-Prozess und die Organisation stehen, können Softwaretools ihre volle Wirkung entfalten. Die wichtigste technische Kontrollmaßnahme ist ein umfassendes Sicherheitsinformations- und Ereignis-Management (SIEM). Tools stellen fest, dass ein Datenabfluss stattgefunden hat oder der Versuch unternommen wurde. Ein Beispiel ist, Bewegungen klassifizierter Daten zu protokollieren und diese Logfiles automatisiert auszuwerten inklusive der Informationen, wer auf Daten und Systeme zugegriffen hat. Kontrollmaßnahmen sollten umfassend getestet werden, um unberechtigte Verdächtigungen zu verhindern. SIEM-Maßnahmen sollte man zudem immer eng mit dem Betriebsrat abstimmen, damit notwendige Kontrollen nicht als Ausspionieren der Belegschaft gedeutet werden.

Eine weitere nützliche technische Maßnahme, um den Zugriff auf wertvolle Informationen zu steuern, ist Digital Rights Management (DRM). Bei Softwarelösungen von Adobe und Microsoft lassen sich beispielsweise auf Dokumentebene Berechtigungen einzelnen Mitarbeitern zuweisen: Benutzer eins darf ein PDF öffnen, Benutzer zwei darf es nicht und Benutzer drei darf es bearbeiten. Der Vorteil: DRM wirkt auch, wenn Dateirechte für einen Benutzer verändert wurden. Die Verwaltung auf dieser Mikroebene ist allerdings sehr aufwändig und nur bei besonders schützenswerten Informationen ratsam.

Der Maßnahmenkatalog einer technischen DLP reicht aber noch viel weiter: PKI-Maßnahmen, beispielsweise die Authentifizierung und eine Ende-zu-Ende- Verschlüsselung, sorgen für einen zusätzlichen Schutz. Daten auf Handys, Tablets und mobilen Datenspeichern sollten lokal verschlüsselt sein. Zudem gibt es Lösungen, die eine Lokalisierung von Daten aus der Ferne ermöglichen. Über solche Remote-Tools können Daten auch aus der Firmenzentrale heraus gelöscht werden. Bei der Client- Konfiguration sollten Unternehmen zudem Schnittstellen auf das Nötigste beschränken. Wenn ein Nutzer keinen USB-Ausgang braucht, ist dieser stillzulegen.

In die Kategorie technisches DLP fallen auch all die Maßnahmen, die Lösungsanbieter am meisten bewerben. Dazu gehört beispielsweise das Content Filtering. Eine DLP-Software überprüft E-Mails und Datenströme über das Internet anhand semantischer Vorgaben, um so klassifizierten Informationen auf die Spur zu kommen. Die virtuellen Datenwächter forschen dabei an verschiedenen Stellen nach ungewollten Datenabflüssen: an Endpunkten wie der mobilen Festplatte (data in use), im Netzwerk (data in motion) sowie in den Datenbanken (data in rest).

Größte Sorgfalt zahlt sich auch beim Identity- und Access-Management aus. Nur wenn man beispielsweise genau weiß, wer berechtigten Zugriff auf Informationen hat, lässt sich ein möglicher unberechtigter Zugriff von einem berechtigten abgrenzen. Die strikte Durchsetzung des Vier-Augen-Prinzips beim Umgang mit sensiblen Informationen bildet eine gute zusätzliche Hürde, damit Informationen nicht im Verborgenen das Unternehmen verlassen. Vermeiden Firmen zudem, zu vielen Nutzern einen Generalschlüssel zu sensiblen Informationen auszuhändigen, wirkt sich das ebenfalls risikominimierend aus.

Papierkorb nicht vergessen

Ein wirksames DLP-Managementsystem beschränkt sich nicht nur auf Daten in digitaler Form. Jeder vierte entwendete Datensatz wird aus dem Papiermüll gezogen. Die fahrlässigen Datenverluste durch verlorene USB-Sticks und Notebooks machen immerhin lediglich rund zehn Prozent aller Datenverluste weltweit aus, berichtet der IT-Sicherheitsanbieter InfoWatch. 20 Prozent aller weltweit vorkommenden Datenpannen geschehen, weil Mitarbeiter versehentlich Daten versenden oder veröffentlichen. Sicherheitsbeauftragte in Firmen und Behörden nehmen Papier jedoch häufig nicht als Datenträger wahr. Folglich tauchen Offline-Dokumente als Sicherheitsleck in kaum einem DLP-Strategiepapier auf. Dazu kommt, dass die Sicherheitsverantwortlichen häufig IT-Mitarbeiter sind und Papiermüll dann in der Regel nicht auf dem DLP-Radar haben.

DLP-Lösungen sollten deshalb sämtliche möglichen Datenlecks einbeziehen: gestohlene Datenträger, E-Mails mit vertraulichem Inhalt, versehentliche Veröffentlichung von Daten im Internet, schlecht geregelter Zugriff auf Archivdaten und nicht zuletzt das Altpapier. In jeder guten DLP-Software gibt es hierfür Filter, die Druckersignale scannen können. Auch das zeigt, dass einmal installierte und sich selbst überlassene Technik keinen großen Sicherheitsgewinn bedeutet. Dafür braucht es zusätzlich die geeigneten Abläufe, um Maßnahmen wirksam zu koordinieren.

Fazit

Data-Leakage-Prevention wird künftig weiter an Bedeutung gewinnen. Dafür sorgt beispielsweise die auf EU-Ebene diskutierte Veröffentlichungspflicht von Datenpannen sowie die zunehmende Zahl an Berichten der Medien über konkrete und prominente Schadenfälle. Das Bewusstsein in den Unternehmen, sich vor fahrlässig verursachten Datenabflüssen von innen genauso zu schützen wie vor Hacker-Angriffen, ist erkennbar. Den Schritt, Informationssicherheit und Risikomanagement nicht allein durch die Technik-Brille zu betrachten, sondern als Prozess, der übergreifend in Unternehmen eingeführt und gelebt werden muss, haben viele Verantwortliche jedoch noch vor sich.

Dr. Gerald Spiegel (CISM) ist Senior Manager im Bereich Information Security Solutions bei der Steria Mummert Consulting AG.