DLP – So schützen Sie sich ganz pragmatisch vor Datenverlust

Autor
Reinhold Zurfluh
Veröffentlicht
17. Oktober 2019

Daten sind heutzutage für den Geschäftserfolg eines Unternehmens zentral, weshalb entsprechende Sorgfalt bei der Sicherheit gewaltet werden muss. Das bedeutet auch, dass wichtige Daten das Unternehmen nicht unbeabsichtigt verlassen. Denn ein Datenabfluss kann für Unternehmen existenzbedrohend sein. Und kein Unternehmen ist davor gefeit – sei es durch einen Cyberangriff, Insider Threats oder schlicht wegen Unachtsamkeit. Data Loss Prevention (kurz DLP) ist deshalb ein wichtiger Bestandteil moderner Datenschutz- und Cyber Security-Strategien – nicht zuletzt im Hinblick auf die Umsetzung der DSGVO / GDPR . DLP setzt aber nicht zwangsläufig den Einsatz einer dedizierten Lösung voraus! Wie dies in der Praxis aussehen kann, erfahren Sie in diesem Beitrag.

DLP gehört in jede Datenschutz- und Cyber Security-Strategie

Die Ursachen für Datenverlust sind vielfältig und für den Schutz vor unerwünschtem Datenabfluss kursieren nahezu ebenso viele Bezeichnungen, wie es Arten und Wege gibt, auf denen kritische Daten ein Unternehmen verlassen können. Data Leakage Protection / Prevention, Data Loss Prevention, Anti Data Leakage, Insider Threat Protection, Outbound Content Management oder Data Extrusion Prevention sind nur einige davon. Allen gemeinsam: Sie sollen Datenlecks abdichten und den ungewollten Datenabfluss verhindern.

Damit ist klar: DLP (Data Loss Prevention) ist so gut wie unverzichtbar für erfolgreiche Datenschutz- und Cyber Security-Strategien, ebenso wie für die Einhaltung von Datenschutz-Reglementen wie der DSGVO / GDPR.

Aber wo befinden sich Ihre schützenswerten Daten?

Bereits die Suche nach den wirklich schützenswerten Daten ist für viele ein schier auswegloses Labyrinth. Dabei müssen eigentlich «nur» zwei grundsätzliche Fragen geklärt werden:

  • Welche Daten müssen eigentlich geschützt werden?
  • Wo liegen diese Daten?

Die erste Frage lässt sich vergleichsweise leicht beantworten. Weitaus schwieriger gestaltet sich erfahrungsgemäss die Suche nach den Daten. In vielen Unternehmensnetzwerken herrscht ein über die Jahre gewachsener Wildwuchs und die Menge an schützenswerten Daten steigt heutzutage exponentiell. Kennen Sie das? Hierzu benötigen Sie Unterstützung. Wie es gelingt, die schützenswerten Daten im (Daten-)Dschungel zu finden, erfahren Sie hier. Aber auch durch neue Kommunikationskanäle (z.B. Social Media) oder Arbeitstrends (Home / Mobile Office und Cloud) entstehen neue Risiken für einen Datenverlust.

Unser Tipp: Berücksichtigen Sie dabei sowohl die historischen als auch die aktuellen Daten – On-Premise zentral und dezentral, Backup, Cloud Services usw.

Ratsam ist es darüber hinaus, eine detaillierte Analyse der Cloud-Anwendungen durchzuführen, um ausgelagerte Office- und File-Sharing-Apps abzudecken. Wissen Sie überhaupt, welche Cloud-Dienste in Ihrem Unternehmen genutzt werden? Denn oftmals sind es nicht nur jene Dienste, die Sie von Unternehmensseite freigegeben haben. Mehr dazu finden Sie einem früheren Blog zum Thema «Shadow IT».

Wie verfahren Sie mit schützenswerten Daten?

Im nächsten Schritt gilt es, die Daten nach Schutzbedarf und Risikopotenzial zu klassifizieren. Eine bewährte Methode ist die Einteilung in drei Kategorien: Öffentlich, intern und vertraulich. Auf diese Weise stellen Sie einen einfachen, schnellen Rollout sicher und behalten darüber hinaus den Überblick. Überprüfen Sie regelmässig, ob die Daten-Klassifizierung angemessen ist. Viele Daten, die anfangs eine hohe Vertraulichkeitsstufe erfordern, verlieren diese mit der Zeit oder die Sammlung der Daten erfordern eine Erhöhung.

Für den Umgang mit den drei Kategorien müssen klare Richtlinien entwickelt werden. Diese Policies regeln, welche Zugriffe und Bewegungen für die unterschiedlichen Klassen und Rollen jeweils zulässig sind und legen für Data-at-Rest, Data-in-Motion und Data-in-Use verbindliche Handlungsanweisungen fest.

Pragmatische Ansätze zur Data Loss Prevention

DLP gehört definitiv zu den Kernbausteinen einer Cyber Security-Strategie. Um zuverlässigen Schutz kritischer Daten zu gewährleisten, müssen Unternehmen die Assets analysieren und klassifizieren sowie den Zugriff auf regulierte Informationen Richtlinien-basiert steuern.

Data Loss Prevention-Lösungen, Network Access Control (NAC), Antivirus-Lösungen, Information Rights Management (IRM) usw. sind eigentlich unverzichtbare Werkzeuge zum Schutz von Daten. Erschreckend ist, dass dieses Risiko oftmals unterschätzt wird. Entsprechend gering ist die Verbreitung von geeigneten Schutzmassnahmen. Wir hoffen, nicht auch bei Ihnen…

Falls Sie befürchten, dass dem doch so ist, geben wir Ihnen hier einige bewährte Best Practices an die Hand. Damit minimieren Sie das Risiko eines möglichen Datenverlusts bereits deutlich – auch ohne dedizierte DLP-Lösung.

  • Identitätsmanagement sowie Zugriffskontrolle (IAM) nach dem Least-Privilege-Ansatz
    Identitätsmanagement ist und wird immer stärker zu einer Schlüsselkompetenz. Wer keinen Zugriff hat, kann die entsprechenden Daten auch nicht löschen oder missbrauchen. Eine eigentlich logische Schlussfolgerung, die dennoch viele Unternehmen nicht berücksichtigen. Eine Richtlinie mit den geringsten Rechten beschränkt den Datenzugriff jedes Benutzers auf das absolut notwendige, tätigkeitsrelevante Minimum. Die Verwendung einer solchen Richtlinie trägt auch dazu bei, das Risiko eines absichtlichen Datenverlustes (in Form von Missbrauch) zu minimieren. Zudem lässt sich mit einer geeigneten Datenzugriffs-Managementlösung ein Autorisierungsprozess etablieren, über welchen die Benutzer den Zugriff auf Ordner, Gruppen, Ordner usw. bei der zuständige Person beantragen können. Die Zugriffsberechtigung kann mit einer Gültigkeitsdauer versehen werden, so dass der Zugriff nach Ablauf dieser Frist automatisch aufgehoben wird.

  • Privileged User Management
    Trennen Sie privilegierte Benutzerzugriffsrechte von Systemzugriffsrechten, beispielsweise durch den Einsatz von Jump-System- / Server- / Station-Lösungen. Mehr zu diesem Thema finden Sie in einem anderen Blogartikel.

  • «Defense in Depth»-Sicherheitsstrategien
    Je mehr Schutzebenen Sie in Ihre Sicherheits-Architektur integrieren können, desto besser. Eine mehrschichtige Verteidigung in Ihrer Architektur macht es einem Angreifer schwieriger, auf die kritischen Assets zuzugreifen. Erfahren Sie in unserem Whitepaper, wie Sie erfolgreich eine Enterprise-Sicherheitsarchitektur aufbauen können.

  • Cyber Security auf allen Endpunkten
    Kein Antivirenprogramm und keine Firewall ist alleine in der Lage, einen Angreifer oder bösartigen Insider aufzuhalten. Solche Schutzmassnahmen können jedoch weniger ausgeklügelte Versuche am Erfolg hindern oder zumindest das Ausmass des Angriffs eindämmen. Antivirenprogramme für E-Mail-Clients können dazu beitragen, einige Datenlecks zu verhindern, indem sie E-Mail-Anhänge auf Malware scannen. Ergänzen sie Cyber Security auf allen Endpunkten mit einer Endpoint Protection Plattform (EPP).

  • Verschlüsseln von Informationen
    …und zwar so, dass sie für Unberechtigte unlesbar sind. Verschlüsseln Sie insbesondere Daten auf mobilen Geräten (beispielsweise mit einer Mobile Device Management & Security-Lösung), die ausserhalb des Unternehmens verwendet werden, da diese einem grösseren Risiko ausgesetzt sind. Denken Sie dabei nebst Notebooks und USB-Devices auch an Smartphones und Tablets!

  • Vergessen Sie die Cloud nicht
    Erweitern Sie die DLP-Richtlinien auf Cloud Services durch die Integration eines Cloud Access Security Brokers (CASB), um die Zugriffe auf 3rd-Party Cloud Services zu limitieren (Stichwort «Shadow IT»).

  • Erkennen von verdächtigem Verhalten
    Zur Verhinderung eines Datenlecks müssen auch mögliche Versuche, Daten zu stehlen, schnell erkannt und der Verstoss eingedämmt werden. Der Zeitraum unentdeckter Fehlverhalten ist entscheidend. Detection-Lösungen mit Benutzer- und Entitätsverhaltensanalyse (UEBA) analysieren das Verhalten der User und erkennen so einen möglichen Datenverlust – egal, ob es sich um einen externen Angreifer, einen Insider oder ein unbeabsichtigtes Fehlverhalten handelt.

  • Überprüfen der Sicherheit mittels Penetration Tests
    Penetration Tests helfen Ihnen, Ihre Sicherheitsmassnahmen auf mögliche Schwachstellen hin zu testen und zu überprüfen. Ausserdem sehen Sie so gleich, wie effektiv Ihre DLP-Massnahmen bei der Erkennung verschiedener Arten von Eindringversuchen ist.

DLP ist im Zeitalter der Digitalisierung entscheidend

Somit wird klar: Der Umgang mit vertraulichen Daten ist eine grosse Herausforderung. Data Loss Prevention ist unverzichtbar und hat unbestritten viele Vorteile ‒ bringt aber auch Herausforderungen mit sich, die Unternehmen berücksichtigen müssen. Wie Sie ein solches Projekt aufgleisen und mit Hilfe weiterer Massnahmen oder einer dedizierten DLP-Lösung umsetzen können, werden wir Ihnen in einem der nächsten Blogartikel ausführlich schildern. Damit Sie diesen Beitrag dann auf keinen Fall verpassen, abonnieren Sie am besten gleich unsere wöchentlichen Blog-Updates!

Jetzt Blog Updates abonnieren!Zudem wirken sich Data Loss Prevention-Projekte immer auf die gesamte Infrastruktur sowie den Datenbestand aus. Deshalb sind sie auch entsprechend komplex. In der Praxis ist es daher sinnvoll, frühzeitig externe Experten einzubeziehen, beispielsweise InfoGuard. Unsere Cyber Security-Experten verfügen über entsprechende Projekterfahrung und stets aktuellstes Know-how. Vertrauen Sie auf uns, um dem Datenverlust einen Riegel zu schieben!

Kontakt


 

Artikel teilen