Fachartikel

Data Loss Prevention 4.0

Software für Data Loss Prevention am Endpunkt wurde lange verschmäht. Mit der DSGVO dreht sich der Wind jedoch. Produkte, die vor unerwünschtem Datenabfluss schützen, erleben einen regelrechten Boom. Dabei werden DLP-Lösungen nicht nur einfacher in der Handhabung, sondern auch technisch aufgerüstet. Der Artikel schildert unter anderem, wie die Integration neuer Suchverfahren zu neuartigen Funktionen führt und wie sich bisher nicht berücksichtigte Datenkategorien in den Schutz einbeziehen lassen.
Den ungewollten Abfluss von Daten gilt es im Unternehmen unter allen Umständen zu verhindern.
Desktoprechner sind Endpoints und als Schnittstelle zu den zentralen IT-Systemen im Unternehmen Einfallstore für Angreifer von außen wie von innen, denn sie sind Speicherort und Abflusspunkt für Daten. Neben der Abschottung nach außen mittels Firewalls muss am Arbeitsplatzrechner deshalb auch der Schutz der Informationen vor unerwünschtem Abfluss und nicht autorisierter Kenntnisnahme durch Innentäter sichergestellt sein. Beides gehört zu den Anforderungen, die Unternehmen für die Übereinstimmung mit der DSGVO "nach dem Stand der Technik" umsetzen müssen.

Im Hinblick auf die DSGVO müssen Unternehmen zudem gewährleisten, dass Betroffenenrechte wie das Recht auf Auskunft, Einschränkung der Verarbeitung, Berichtigung und Löschung der Daten nach Kapitel 3 der DSGVO in vollem Umfang umgesetzt werden. Werden beispielsweise Einschränkungen der Verarbeitung nicht beachtet oder bei einem Löschantrag nicht sämtliche Daten gelöscht, stellt dies einen Verstoß gegen die Verordnung dar, durch den sich das Unternehmen unmittelbar strafbar macht.

Wo Daten gespeichert werden
Grundsätzlich lassen sich Daten in strukturierter Form in den zentralen Systemen wie Datenbanken oder CRM- und ERP-Systemen finden. Allerdings können Mitarbeiter mit Zugriffsberechtigung auf die strukturierten Systeme Inhalte in der Regel exportieren, beispielsweise als TXT- oder CSV-Datei. Davon machen sie Gebrauch, wenn sie Daten für Berichte oder Präsentationen benötigen oder Dateien mit Kollegen oder Geschäftspartnern austauschen möchten. Dann wird ein ERP-oder CRM-Export als sogenannte unstrukturierte Datei lokal oder in einem Cloudspeicher wie Dropbox, OneDrive, iCloud, Google Drive abgelegt. Zusätzlich werden häufig Dateien wie eingehende Bewerbungen oder Kundendaten lokal auf dem Desktop gespeichert.
DSGVO-Haftung bleibt bestehen
Außer dem Sachbearbeiter, der den Vorgang möglicherweise schnell vergessen hat, weiß niemand, dass Informationen in unstrukturierter oder semistrukturierter Form als Textdatei, E-Mail, Präsentation, Video oder Bild auf dem Arbeitsplatzrechner sowie in Cloudspeichern liegen. Für das Unternehmen sind die Dateien auf lokalen Rechnern oder in privaten Clouddiensten gewissermaßen unsichtbar und werden demzufolge bei der Umsetzung von Schutzmaßnahmen außer Acht gelassen. Wichtig für Unternehmen: Sie sind verantwortlich für die personenbezogenen Daten, die sich in ihren Systemen befinden; und die Daten unterliegen unabhängig von ihrem Speicherort den Regelungen der DSGVO und der sich daraus ergebenden Haftung.

Firmengeheimnisse müssen geschützt werden
Jenseits gesetzlicher Vorgaben und international gültiger Standards sind in den Unternehmen auch wirtschaftliche Interessen zu wahren. Der Schutz der Betriebs- und Geschäftsgeheimnisse ist jedoch jeder Firma selbst überlassen. Hier hat sich der Schutz vor externen Angriffen flächendeckend durchgesetzt. Dass die Sensibilität der Unternehmen für die Risiken zunimmt, denen Daten durch Insider ausgesetzt sind, ist ein Nebeneffekt der DSGVO. Dennoch besteht Nachholbedarf beim Schutz des geistigen Eigentums; das Bewusstsein dafür, dass es im gleichen Umfang zu schützen ist wie personenbezogene Daten, ist noch nicht überall ausgeprägt.

Risikofaktor unstrukturierte Daten
Lokal gespeicherte Dateien, die personenbezogene Daten oder geistiges Eigentum enthalten, stellen somit ein häufig unterschätztes Risiko für ungewünschte, vom Unternehmen nicht kontrollierbare Datentransfers dar. Informationen, die zunächst nur schnell zur Hand sein sollten, liegen später auf der lokalen Festplatte oder in einem privaten Cloudspeicher und lassen sich problemlos via E-Mail-Anhang weiterleiten oder via Browserupload übertragen oder umgehen als Slack Chat die Sicherheitsrichtlinien der Organisation.

Unternehmen müssen daher auch die außerhalb der Datenbanksysteme gespeicherten sensiblen Daten aufspüren, damit sie diese richtlinienkonform behandeln können. Bei Auskunfts-Ersuchen ist das manuelle Durchsuchen sämtlicher lokal gespeicherter Dateien nicht leistbar; Löschanfragen kann das Unternehmen ohne Prüfung der Dateiinhalte nicht nachkommen. Im schlimmsten Fall wird die Arbeit der Mitarbeiter behindert oder sogar wertvolles Know-how gelöscht. Zudem ist die Suche keine einmalige Aufgabe, sondern muss regelmäßig sowie bei Auskunfts- und Löschanfragen wiederholt werden. Benötigt werden demnach leistungsfähige Werkzeuge, die personenbezogene und andere sensible Daten auf den lokalen Systemen automatisiert erkennen können und einen angemessenen Umgang damit ermöglichen.

Seite 1: Firmengeheimnisse müssen geschützt werden


Seite 1 von 2 Nächste Seite >>
12.09.2018/ln/Michael Bauner, Geschäftsführer der Endpoint Protector GmbH

Nachrichten

BSI gewinnt Kryptowettbewerb [14.11.2018]

Die jährlich stattfindende CHES ist mit über 400 Teilnehmern eine der größten internationalen Konferenzen im Bereich der kryptographischen Forschung. Ein Team des Bundesamts für Sicherheit in der Informationstechnik hat nun im Rahmen der Hardware-Sicherheitskonferenz an zwei Einzeldisziplinen des Kryptowettbewerbs 'CHES 2018 Challenge' zu AES-Implementierungen teilgenommen und beide mit Hilfe von Künstlicher Intelligenz gewonnen. [mehr]

Angreifern einen Schritt voraus [9.11.2018]

Angreifer suchen permanent nach Schwachstellen, um in Unternehmensnetze zu kommen. Das deutsche Start-up Vulidity möchte IT-Verantwortliche in die gleiche Ausgangslage versetzen, um so Sicherheitslücken zu schließen, bevor Hacker diese ausnutzen. Hierfür untersucht Vulidity das interne Netzwerk, hilft bei der Mitarbeiterschulung und sucht nach für Angreifer verwertbaren Informationen im Internet. [mehr]

Gefahr aus der Luft [8.11.2018]

Tipps & Tools

ICA-Sitzung problemlos abmelden [11.11.2018]

Viele Firmen nutzen Citrix Virtual Apps & Desktops (früher XenApp & XenDesktop), um eine zentrale Arbeitsumgebung bereitzustellen. Wer sich dabei aus betriebstechnischen Gründen für vSphere (ESXi) als Hypervisor entschieden hat, um VMs zu hosten, steht dann eventuell vor einem Problem: Es erscheint die Fehlermeldung "Verbindung unterbrochen" während des Abmeldens von der ICA-Sitzung. Das Problem lässt sich jedoch recht leicht beheben. [mehr]

Erstes Sonderheft 2019 zum Thema Virtualisierung [5.11.2018]

Es gibt heute kaum noch Unternehmen, in denen in der IT-Abteilung nicht virtualisiert wird. Die 180 Seiten des ersten IT-Administrator Sonderhefts 2019 'Virtualisierung in KMUs' liefern IT-Verantwortlichen deshalb Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Das Sonderheft erscheint im März 2019, Sie können es jedoch schon jetzt vorbestellen. Wie immer profitieren Abonnenten von einem besonderen Vorzugspreis. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen