Fachartikel

Data Loss Prevention 4.0

Software für Data Loss Prevention am Endpunkt wurde lange verschmäht. Mit der DSGVO dreht sich der Wind jedoch. Produkte, die vor unerwünschtem Datenabfluss schützen, erleben einen regelrechten Boom. Dabei werden DLP-Lösungen nicht nur einfacher in der Handhabung, sondern auch technisch aufgerüstet. Der Artikel schildert unter anderem, wie die Integration neuer Suchverfahren zu neuartigen Funktionen führt und wie sich bisher nicht berücksichtigte Datenkategorien in den Schutz einbeziehen lassen.
Den ungewollten Abfluss von Daten gilt es im Unternehmen unter allen Umständen zu verhindern.
Desktoprechner sind Endpoints und als Schnittstelle zu den zentralen IT-Systemen im Unternehmen Einfallstore für Angreifer von außen wie von innen, denn sie sind Speicherort und Abflusspunkt für Daten. Neben der Abschottung nach außen mittels Firewalls muss am Arbeitsplatzrechner deshalb auch der Schutz der Informationen vor unerwünschtem Abfluss und nicht autorisierter Kenntnisnahme durch Innentäter sichergestellt sein. Beides gehört zu den Anforderungen, die Unternehmen für die Übereinstimmung mit der DSGVO "nach dem Stand der Technik" umsetzen müssen.

Im Hinblick auf die DSGVO müssen Unternehmen zudem gewährleisten, dass Betroffenenrechte wie das Recht auf Auskunft, Einschränkung der Verarbeitung, Berichtigung und Löschung der Daten nach Kapitel 3 der DSGVO in vollem Umfang umgesetzt werden. Werden beispielsweise Einschränkungen der Verarbeitung nicht beachtet oder bei einem Löschantrag nicht sämtliche Daten gelöscht, stellt dies einen Verstoß gegen die Verordnung dar, durch den sich das Unternehmen unmittelbar strafbar macht.

Wo Daten gespeichert werden
Grundsätzlich lassen sich Daten in strukturierter Form in den zentralen Systemen wie Datenbanken oder CRM- und ERP-Systemen finden. Allerdings können Mitarbeiter mit Zugriffsberechtigung auf die strukturierten Systeme Inhalte in der Regel exportieren, beispielsweise als TXT- oder CSV-Datei. Davon machen sie Gebrauch, wenn sie Daten für Berichte oder Präsentationen benötigen oder Dateien mit Kollegen oder Geschäftspartnern austauschen möchten. Dann wird ein ERP-oder CRM-Export als sogenannte unstrukturierte Datei lokal oder in einem Cloudspeicher wie Dropbox, OneDrive, iCloud, Google Drive abgelegt. Zusätzlich werden häufig Dateien wie eingehende Bewerbungen oder Kundendaten lokal auf dem Desktop gespeichert.
DSGVO-Haftung bleibt bestehen
Außer dem Sachbearbeiter, der den Vorgang möglicherweise schnell vergessen hat, weiß niemand, dass Informationen in unstrukturierter oder semistrukturierter Form als Textdatei, E-Mail, Präsentation, Video oder Bild auf dem Arbeitsplatzrechner sowie in Cloudspeichern liegen. Für das Unternehmen sind die Dateien auf lokalen Rechnern oder in privaten Clouddiensten gewissermaßen unsichtbar und werden demzufolge bei der Umsetzung von Schutzmaßnahmen außer Acht gelassen. Wichtig für Unternehmen: Sie sind verantwortlich für die personenbezogenen Daten, die sich in ihren Systemen befinden; und die Daten unterliegen unabhängig von ihrem Speicherort den Regelungen der DSGVO und der sich daraus ergebenden Haftung.

Firmengeheimnisse müssen geschützt werden
Jenseits gesetzlicher Vorgaben und international gültiger Standards sind in den Unternehmen auch wirtschaftliche Interessen zu wahren. Der Schutz der Betriebs- und Geschäftsgeheimnisse ist jedoch jeder Firma selbst überlassen. Hier hat sich der Schutz vor externen Angriffen flächendeckend durchgesetzt. Dass die Sensibilität der Unternehmen für die Risiken zunimmt, denen Daten durch Insider ausgesetzt sind, ist ein Nebeneffekt der DSGVO. Dennoch besteht Nachholbedarf beim Schutz des geistigen Eigentums; das Bewusstsein dafür, dass es im gleichen Umfang zu schützen ist wie personenbezogene Daten, ist noch nicht überall ausgeprägt.

Risikofaktor unstrukturierte Daten
Lokal gespeicherte Dateien, die personenbezogene Daten oder geistiges Eigentum enthalten, stellen somit ein häufig unterschätztes Risiko für ungewünschte, vom Unternehmen nicht kontrollierbare Datentransfers dar. Informationen, die zunächst nur schnell zur Hand sein sollten, liegen später auf der lokalen Festplatte oder in einem privaten Cloudspeicher und lassen sich problemlos via E-Mail-Anhang weiterleiten oder via Browserupload übertragen oder umgehen als Slack Chat die Sicherheitsrichtlinien der Organisation.

Unternehmen müssen daher auch die außerhalb der Datenbanksysteme gespeicherten sensiblen Daten aufspüren, damit sie diese richtlinienkonform behandeln können. Bei Auskunfts-Ersuchen ist das manuelle Durchsuchen sämtlicher lokal gespeicherter Dateien nicht leistbar; Löschanfragen kann das Unternehmen ohne Prüfung der Dateiinhalte nicht nachkommen. Im schlimmsten Fall wird die Arbeit der Mitarbeiter behindert oder sogar wertvolles Know-how gelöscht. Zudem ist die Suche keine einmalige Aufgabe, sondern muss regelmäßig sowie bei Auskunfts- und Löschanfragen wiederholt werden. Benötigt werden demnach leistungsfähige Werkzeuge, die personenbezogene und andere sensible Daten auf den lokalen Systemen automatisiert erkennen können und einen angemessenen Umgang damit ermöglichen.

Seite 1: Firmengeheimnisse müssen geschützt werden


Seite 1 von 2 Nächste Seite >>
12.09.2018/ln/Michael Bauner, Geschäftsführer der Endpoint Protector GmbH

Nachrichten

Cloud-basiertes DevOps geht zu Lasten der Sicherheit [18.09.2018]

Eine Mehrheit der Cybersicherheitsexperten in Unternehmen, die Entwicklungskonzepte wie DevOps in der Public Cloud nutzen, ist der Ansicht, dass die schnellere Infrastruktur auf Kosten der Sicherheit geht. Dies ist das Ergebnis einer neuen Cloud-Sicherheitsstudie, beauftragt von Palo Alto Networks. 72 Prozent der befragten Cybersicherheitsexperten gaben an, dass die schnelle Einführung der Public Cloud-Nutzung auch deutliche Sicherheitsrisiken für Software-Updates mit sich bringt. [mehr]

Tipps gegen mobile Schatten-IT [17.09.2018]

Mobile Schatten-IT ist zu einer Herausforderung für die Unternehmens-IT geworden: Mitarbeiter nutzen nicht genehmigte Geräte und Apps und kümmern sich dabei wenig um rechtliche Regelungen, Sicherheitsvorschriften oder Compliance-Vorgaben. Fünf Tipps können dagegen helfen. [mehr]

Tipps & Tools

Jetzt Training buchen: Docker und Linux-Container [17.09.2018]

Von Red Hat bis Microsoft reden heute alle von Docker. Dessen Erfolg beruht dabei vor allem auf einem Aspekt: Docker hat eine Infrastruktur für Container-Images entwickelt, die es ermöglicht, Images von anderen Anwendern aus einem Repository zu laden und sie für eigene Zwecke anzupassen. In unserem Training im November erfahren Sie in München und Hamburg, worum es bei Docker geht, wie Container aufgebaut sind, wie Sie eigene Container bauen und mit anderen zu Anwendungen verbinden. [mehr]

Code in AWS leichter verwalten [16.09.2018]

Firmen entwickeln häufiger Skripte und kleinere Utilities, um damit Aufgaben in der Amazon-Cloud zu automatisieren. Allerdings gestaltet sich das Editieren beziehungsweise Testen der Skripte über SSH oder VNC auf Amazons EC2 eher umständlich. AWS Cloud9 will Abhilfe schaffen. [mehr]

Buchbesprechung

VoIP Praxisleitfaden

von Jörg Fischer und Christian Sailer

Anzeigen