von Redaktion IT-A…
Lesezeit
3 Minuten
Seite 2 - Datenflusskontrolle durch Data Loss Prevention
Dies ist aber nicht mehr zeitgemäß. Die Systeme sind zwar komplex und bedürfen einer Begleitung durch Fachleute bei der Einführung, sie gelten aber inzwischen als technisch ausgereift. Zudem beschränkt sich die Einführung einer DLP-Lösung keinesfalls auf die reine Produktinstallation und Inbetriebnahme, sondern ist ein Projekt, das die Sicherheit der sensiblen Daten wirksam und nachhaltig deutlich verbessert.
Ein ausgereiftes Data Loss Prevention-System erkennt sensible Daten anhand unterschiedlicher Kriterien, die individuell auswählbar sind:
Für die Projektdurchführung sollten weitere Beteiligte von Anfang an einbezogen werden. Dazu gehören neben der IT auch die Fachabteilungen, die interne Revision, der Datenschutzbeauftragte und der Betriebsrat. Ansonsten kann es schnell zu Vereinbarungen kommen, die nicht die Unterstützung aller Beteiligten findet.
Regeln festlegen
Im nächsten Schritt legt die Unternehmensführung die Spielregeln fest, wie mit den vertraulichen Daten umzugehen ist. Hier sind oft Vorarbeiten vorhanden, etwa in Form von dokumentierten Sicherheitsrichtlinien. Zur Verfeinerung sind die einzelnen Fachabteilungen unbedingt mit einzubeziehen. Auch hier existieren häufig bereits Rollen- und Rechtekonzepte, die aber oft nicht konsistent und unternehmensweit festgelegt sind. Häufig sind Sicherheitsrichtlinien nur als verpflichtendes Papierdokument vorhanden, der Alltag weicht davon jedoch ab und kann in vielen Fällen gar nicht gemäß den Richtlinien funktionieren. Moderne Identity Management-Lösungen (IDM) verfügen über entsprechende Tools, die grundlegenden Rollen zu identifizieren, und erleichtern die Festlegung von Rechten und Verhaltensregeln. Eine ausgereifte IDM-Lösung ist keine Voraussetzung für die Einführung eines DLP-Systems, kann die Einführung aber erleichtern und Kosten senken.
Sensible Daten beobachten
Nachdem bestimmt wurde, welche Arten von Datenfluss besonders kritisch sind und wie die sensiblen Daten übertragen, gespeichert und verarbeitet werden dürfen, kommt die Technik zum Einsatz, die die notwendige Transparenz schafft:
Bild 2: Wer ein DLP-System im Unternehmen einführen will, muss dessen Implementierung in einer Vielzahl von Stufen und Prozessen bedenken
Technische Lösungen für Phase II
Die Platzhirsche unter den Herstellern von IT-Sicherheitsprodukten dominieren auch im Thema DLP den Markt. Besonderen Wert legen die meisten DLP-Hersteller auf die Vermeidung von Fehlalarmen, die durch unzureichend definierte technische Regeln oder Unstimmigkeiten zwischen Arbeitsalltag und Richtlinien auftreten. Einzelne Hersteller legen alle Fehlalarme und deren Ursachen in einer Datenbank ab. Werden neue Regeln eingeführt oder weitere Sensoren aktiviert, so findet grundsätzlich zunächst automatisch und im Hintergrund eine Überprüfung statt, ob diese ebenfalls zu den bereits bekannten Fehlalarmen führen würden. So lassen sich Fehlkonfigurationen vermeiden und die Regeln angepasst, bevor es zur Aktivierung neuer Funktionen kommt. Dies führt insbesondere bei den betroffenen Mitarbeitern zu einer deutlich erhöhten Akzeptanz. Andere Hersteller übergeben die Fehlalarme einer Lernkomponente, um in vergleichbaren Situationen oder bei ähnlichen Dokumenten neuerliche Fehlalarme zu vermeiden.
Neben den hier beschriebenen Lösungen mittels Sensoren gibt es schlankere Lösungsansätze, die auf Sensoren verzichten. Der Datenfluss innerhalb des Unternehmens wird nicht kontrolliert (Kommunikation mit Datenbanken, Dateiablage auf Fileservern, Kontrolle der Endgeräte), sondern ausschließlich der Datenfluss nach außen mittels IP-Kommunikation. Hier greift ähnlich dem Konzept einer Firewall eine sogenannte Reverse-Firewall, die den IP-Verkehr derart kontrolliert, dass nur erlaubte Daten die Reverse-Firewall nach außen passieren dürfen. Diese Einschränkung auf den IP-Verkehr nach außen hat den Vorteil, schnell eine Lösung implementieren zu können. Der große Nachteil dieser Vorgehensweise ist aber, dass es nicht zu der notwendigen Transparenz über die eigentliche Verarbeitung der Daten innerhalb des Unternehmens kommt.
Zusammenfassung
Die Herangehensweise in zwei Phasen hat den Vorteil, schon in Phase I zu einer effektiven und effizienten Grundsicherung zu gelangen. Die Infrastruktur wird vom Ist-Zustand innerhalb weniger Tage in den Soll-Zustand gebracht – transparent und nachweisbar. Die sensiblen Daten können sich nur innerhalb definierter Leitplanken bewegen. Unerlaubte oder schädliche Geräte und Anwendungen werden nicht mehr zugelassen. Vermeidbare Risiken sind nahezu ausgeschlossen. Die Vorgehensweise in Phase I ist zudem allen Beteiligten prinzipiell nicht neu, das Bollwerk lässt sich unkompliziert an die aktuellen Anforderungen der IT-Sicherheit anpassen.
In Phase II wird der eigentliche Paradigmenwechsel vollzogen und die Aufmerksamkeit den sensiblen und somit schützenswerten Daten gewidmet. Netzwerksensoren machen die Verarbeitung der sensiblen Daten transparent. Unternehmensregeln bestimmen die Speicherung und Weitergabe dieser Daten. Die Lösung greift ein, bevor es zu einem Verstoß gegen diese Regeln kommt. So sind die sensiblen Daten umfassend geschützt.
Roland Krüger, secunet Security Networks AG/ln
Ein ausgereiftes Data Loss Prevention-System erkennt sensible Daten anhand unterschiedlicher Kriterien, die individuell auswählbar sind:
- Datenformate, Muster, Strukturaufbau, Schlüsselworte (Stichwort: reguläre Ausdrücke)
- Konkrete Kennzeichnungen einzelner Daten(-bereiche)
- Intelligentes Lernen anhand von Beispielen
Für die Projektdurchführung sollten weitere Beteiligte von Anfang an einbezogen werden. Dazu gehören neben der IT auch die Fachabteilungen, die interne Revision, der Datenschutzbeauftragte und der Betriebsrat. Ansonsten kann es schnell zu Vereinbarungen kommen, die nicht die Unterstützung aller Beteiligten findet.
Regeln festlegen
Im nächsten Schritt legt die Unternehmensführung die Spielregeln fest, wie mit den vertraulichen Daten umzugehen ist. Hier sind oft Vorarbeiten vorhanden, etwa in Form von dokumentierten Sicherheitsrichtlinien. Zur Verfeinerung sind die einzelnen Fachabteilungen unbedingt mit einzubeziehen. Auch hier existieren häufig bereits Rollen- und Rechtekonzepte, die aber oft nicht konsistent und unternehmensweit festgelegt sind. Häufig sind Sicherheitsrichtlinien nur als verpflichtendes Papierdokument vorhanden, der Alltag weicht davon jedoch ab und kann in vielen Fällen gar nicht gemäß den Richtlinien funktionieren. Moderne Identity Management-Lösungen (IDM) verfügen über entsprechende Tools, die grundlegenden Rollen zu identifizieren, und erleichtern die Festlegung von Rechten und Verhaltensregeln. Eine ausgereifte IDM-Lösung ist keine Voraussetzung für die Einführung eines DLP-Systems, kann die Einführung aber erleichtern und Kosten senken.
Sensible Daten beobachten
Nachdem bestimmt wurde, welche Arten von Datenfluss besonders kritisch sind und wie die sensiblen Daten übertragen, gespeichert und verarbeitet werden dürfen, kommt die Technik zum Einsatz, die die notwendige Transparenz schafft:
- Übertragungswege der Daten (zum Beispiel Web-Mail, Webdienste)
- Speicherung der Daten (Fileserver, Datenbanken et cetera.)
- Datenverarbeitung am Endgerät
Bild 2: Wer ein DLP-System im Unternehmen einführen will, muss dessen Implementierung in einer Vielzahl von Stufen und Prozessen bedenken
Technische Lösungen für Phase II
Die Platzhirsche unter den Herstellern von IT-Sicherheitsprodukten dominieren auch im Thema DLP den Markt. Besonderen Wert legen die meisten DLP-Hersteller auf die Vermeidung von Fehlalarmen, die durch unzureichend definierte technische Regeln oder Unstimmigkeiten zwischen Arbeitsalltag und Richtlinien auftreten. Einzelne Hersteller legen alle Fehlalarme und deren Ursachen in einer Datenbank ab. Werden neue Regeln eingeführt oder weitere Sensoren aktiviert, so findet grundsätzlich zunächst automatisch und im Hintergrund eine Überprüfung statt, ob diese ebenfalls zu den bereits bekannten Fehlalarmen führen würden. So lassen sich Fehlkonfigurationen vermeiden und die Regeln angepasst, bevor es zur Aktivierung neuer Funktionen kommt. Dies führt insbesondere bei den betroffenen Mitarbeitern zu einer deutlich erhöhten Akzeptanz. Andere Hersteller übergeben die Fehlalarme einer Lernkomponente, um in vergleichbaren Situationen oder bei ähnlichen Dokumenten neuerliche Fehlalarme zu vermeiden.
Neben den hier beschriebenen Lösungen mittels Sensoren gibt es schlankere Lösungsansätze, die auf Sensoren verzichten. Der Datenfluss innerhalb des Unternehmens wird nicht kontrolliert (Kommunikation mit Datenbanken, Dateiablage auf Fileservern, Kontrolle der Endgeräte), sondern ausschließlich der Datenfluss nach außen mittels IP-Kommunikation. Hier greift ähnlich dem Konzept einer Firewall eine sogenannte Reverse-Firewall, die den IP-Verkehr derart kontrolliert, dass nur erlaubte Daten die Reverse-Firewall nach außen passieren dürfen. Diese Einschränkung auf den IP-Verkehr nach außen hat den Vorteil, schnell eine Lösung implementieren zu können. Der große Nachteil dieser Vorgehensweise ist aber, dass es nicht zu der notwendigen Transparenz über die eigentliche Verarbeitung der Daten innerhalb des Unternehmens kommt.
Zusammenfassung
Die Herangehensweise in zwei Phasen hat den Vorteil, schon in Phase I zu einer effektiven und effizienten Grundsicherung zu gelangen. Die Infrastruktur wird vom Ist-Zustand innerhalb weniger Tage in den Soll-Zustand gebracht – transparent und nachweisbar. Die sensiblen Daten können sich nur innerhalb definierter Leitplanken bewegen. Unerlaubte oder schädliche Geräte und Anwendungen werden nicht mehr zugelassen. Vermeidbare Risiken sind nahezu ausgeschlossen. Die Vorgehensweise in Phase I ist zudem allen Beteiligten prinzipiell nicht neu, das Bollwerk lässt sich unkompliziert an die aktuellen Anforderungen der IT-Sicherheit anpassen.
In Phase II wird der eigentliche Paradigmenwechsel vollzogen und die Aufmerksamkeit den sensiblen und somit schützenswerten Daten gewidmet. Netzwerksensoren machen die Verarbeitung der sensiblen Daten transparent. Unternehmensregeln bestimmen die Speicherung und Weitergabe dieser Daten. Die Lösung greift ein, bevor es zu einem Verstoß gegen diese Regeln kommt. So sind die sensiblen Daten umfassend geschützt.
<<Vorherige Seite Seite 2 von 2
Roland Krüger, secunet Security Networks AG/ln
