Fachartikel

Data Loss Prevention 4.0

Software für Data Loss Prevention am Endpunkt wurde lange verschmäht. Mit der DSGVO dreht sich der Wind jedoch. Produkte, die vor unerwünschtem Datenabfluss schützen, erleben einen regelrechten Boom. Dabei werden DLP-Lösungen nicht nur einfacher in der Handhabung, sondern auch technisch aufgerüstet. Der Artikel schildert unter anderem, wie die Integration neuer Suchverfahren zu neuartigen Funktionen führt und wie sich bisher nicht berücksichtigte Datenkategorien in den Schutz einbeziehen lassen.
Den ungewollten Abfluss von Daten gilt es im Unternehmen unter allen Umständen zu verhindern.
Desktoprechner sind Endpoints und als Schnittstelle zu den zentralen IT-Systemen im Unternehmen Einfallstore für Angreifer von außen wie von innen, denn sie sind Speicherort und Abflusspunkt für Daten. Neben der Abschottung nach außen mittels Firewalls muss am Arbeitsplatzrechner deshalb auch der Schutz der Informationen vor unerwünschtem Abfluss und nicht autorisierter Kenntnisnahme durch Innentäter sichergestellt sein. Beides gehört zu den Anforderungen, die Unternehmen für die Übereinstimmung mit der DSGVO "nach dem Stand der Technik" umsetzen müssen.

Im Hinblick auf die DSGVO müssen Unternehmen zudem gewährleisten, dass Betroffenenrechte wie das Recht auf Auskunft, Einschränkung der Verarbeitung, Berichtigung und Löschung der Daten nach Kapitel 3 der DSGVO in vollem Umfang umgesetzt werden. Werden beispielsweise Einschränkungen der Verarbeitung nicht beachtet oder bei einem Löschantrag nicht sämtliche Daten gelöscht, stellt dies einen Verstoß gegen die Verordnung dar, durch den sich das Unternehmen unmittelbar strafbar macht.

Wo Daten gespeichert werden
Grundsätzlich lassen sich Daten in strukturierter Form in den zentralen Systemen wie Datenbanken oder CRM- und ERP-Systemen finden. Allerdings können Mitarbeiter mit Zugriffsberechtigung auf die strukturierten Systeme Inhalte in der Regel exportieren, beispielsweise als TXT- oder CSV-Datei. Davon machen sie Gebrauch, wenn sie Daten für Berichte oder Präsentationen benötigen oder Dateien mit Kollegen oder Geschäftspartnern austauschen möchten. Dann wird ein ERP-oder CRM-Export als sogenannte unstrukturierte Datei lokal oder in einem Cloudspeicher wie Dropbox, OneDrive, iCloud, Google Drive abgelegt. Zusätzlich werden häufig Dateien wie eingehende Bewerbungen oder Kundendaten lokal auf dem Desktop gespeichert.
DSGVO-Haftung bleibt bestehen
Außer dem Sachbearbeiter, der den Vorgang möglicherweise schnell vergessen hat, weiß niemand, dass Informationen in unstrukturierter oder semistrukturierter Form als Textdatei, E-Mail, Präsentation, Video oder Bild auf dem Arbeitsplatzrechner sowie in Cloudspeichern liegen. Für das Unternehmen sind die Dateien auf lokalen Rechnern oder in privaten Clouddiensten gewissermaßen unsichtbar und werden demzufolge bei der Umsetzung von Schutzmaßnahmen außer Acht gelassen. Wichtig für Unternehmen: Sie sind verantwortlich für die personenbezogenen Daten, die sich in ihren Systemen befinden; und die Daten unterliegen unabhängig von ihrem Speicherort den Regelungen der DSGVO und der sich daraus ergebenden Haftung.

Firmengeheimnisse müssen geschützt werden
Jenseits gesetzlicher Vorgaben und international gültiger Standards sind in den Unternehmen auch wirtschaftliche Interessen zu wahren. Der Schutz der Betriebs- und Geschäftsgeheimnisse ist jedoch jeder Firma selbst überlassen. Hier hat sich der Schutz vor externen Angriffen flächendeckend durchgesetzt. Dass die Sensibilität der Unternehmen für die Risiken zunimmt, denen Daten durch Insider ausgesetzt sind, ist ein Nebeneffekt der DSGVO. Dennoch besteht Nachholbedarf beim Schutz des geistigen Eigentums; das Bewusstsein dafür, dass es im gleichen Umfang zu schützen ist wie personenbezogene Daten, ist noch nicht überall ausgeprägt.

Risikofaktor unstrukturierte Daten
Lokal gespeicherte Dateien, die personenbezogene Daten oder geistiges Eigentum enthalten, stellen somit ein häufig unterschätztes Risiko für ungewünschte, vom Unternehmen nicht kontrollierbare Datentransfers dar. Informationen, die zunächst nur schnell zur Hand sein sollten, liegen später auf der lokalen Festplatte oder in einem privaten Cloudspeicher und lassen sich problemlos via E-Mail-Anhang weiterleiten oder via Browserupload übertragen oder umgehen als Slack Chat die Sicherheitsrichtlinien der Organisation.

Unternehmen müssen daher auch die außerhalb der Datenbanksysteme gespeicherten sensiblen Daten aufspüren, damit sie diese richtlinienkonform behandeln können. Bei Auskunfts-Ersuchen ist das manuelle Durchsuchen sämtlicher lokal gespeicherter Dateien nicht leistbar; Löschanfragen kann das Unternehmen ohne Prüfung der Dateiinhalte nicht nachkommen. Im schlimmsten Fall wird die Arbeit der Mitarbeiter behindert oder sogar wertvolles Know-how gelöscht. Zudem ist die Suche keine einmalige Aufgabe, sondern muss regelmäßig sowie bei Auskunfts- und Löschanfragen wiederholt werden. Benötigt werden demnach leistungsfähige Werkzeuge, die personenbezogene und andere sensible Daten auf den lokalen Systemen automatisiert erkennen können und einen angemessenen Umgang damit ermöglichen.

Seite 1: Firmengeheimnisse müssen geschützt werden


Seite 1 von 2 Nächste Seite >>
12.09.2018/ln/Michael Bauner, Geschäftsführer der Endpoint Protector GmbH

Nachrichten

Verwundbare IT im Gesundheitswesen [24.04.2019]

Vectra hat die Forschungsergebnisse seines Spotlight-Reports 2019 für das Gesundheitswesen bekannt gegeben. In der Branche hält demnach das Internet der Dinge vermehrt Einzug. In Kombination mit nicht partitionierten Netzwerken, unzureichenden Zugangskontrollen und der Verwendung von Altsystemen entstehe eine riesige, anfällige Angriffsfläche. [mehr]

BlackBerry-Verschlüsselung für Privatkunden [23.04.2019]

BlackBerry stellt seine Ende-zu-Ende-Verschlüsselungsplattform für Unternehmen, BBM Enterprise, nun auch für die individuelle Nutzung zur Verfügung. Hintergrund ist die Entscheidung des bisherigen Anbieters Emtek, die Unterstützung von BBM für Konsumenten zu Ende Mai 2019 einzustellen. Für die ersten 12 Monate ist die App kostenfrei verfügbar. [mehr]

Tipps & Tools

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

nVidia-GRID-Treiber auf Citrix bereitstellen [7.04.2019]

In einer Citrix-Umgebung kann das Problem auftauchen, dass nVidia-GRID-Treiber nicht richtig funktionieren, wenn sie per Citrix AppLayering bereitgestellt werden. Wenn sie in einem Layer installiert sind, scheinen die nVidia-GRID-Treiber auf dem später gepublishten Image nicht zu arbeiten. Zur Problemlösung existiert zumindest ein Workaround. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen