Information Leakage Prevention - Mehr als nur Software

• Home
• Magazin
• Know How
• Virus, Malware & Spamschutz

An sich kein neues Thema, ist der Verlust sensibler Daten durch mehrere Skandale in den letzten Jahren in aller Munde. Diese zeigten, dass bereits der Verlust eines einzigen Datenträgers zu enormen wirtschaftlichen Schäden und Imageeinbußen führen kann. Unter dem Begriff Data Leakage Prevention (DLP) führen mehrere Softwarehersteller Lösungen in ihrem Portfolio, die solche Szenarien vermeiden sollen.

Das Problem lässt sich aber nicht allein durch technische Maßnahmen lösen. Auch ein mitgehörtes Gespräch im Zug stellt einen nicht minder gefährlichen unbeabsichtigten Informationsfluss dar. Information Leakage Prevention (ILP) stellt sich dieser Herausforderung. Die sensible Information wird dabei ins Zentrum einer ganzheitlichen Betrachtung gestellt, wobei der Schutz mit technischen Mitteln (DLP) dabei eine zentrale Rolle spielt.

Eine umfassende ILP-Lösung muss ein durchgängiger Prozess im Unternehmen sein, der sich vom Management über die Mitarbeiter zieht, und von ausgereifter und gezielt eingesetzter Technik unterstützt wird. Idealerweise wird Information Leakage Prevention in ein bereits bestehendes Managementsystem für Informationssicherheit (ISMS) integriert.

Ein ISMS nach ISO 27001 beinhaltet viele Instrumente und Methoden, die auch für eine ILP-Lösung genutzt werden können, und bietet somit eine gute Basis. Als Ausgangspunkt dient eine Daten- bzw. Informationsklassifizierung. Sie rückt die Informationen eines Unternehmens ins Zentrum der Überlegungen und sollte folgende Fragen beantworten:

• Welches sind die sensiblen Informationen in Ihrem Unternehmen, die besonders geschützt werden müssen?
• Wo werden diese Informationen gespeichert, wohin gesendet und wer nutzt sie wie?
• Welche Folgen kann der Verlust der Vertraulichkeit dieser Informationen haben?

Sind die Daten bzw. Informationen nach ihrer Kritikalität beurteilt, sollten angemessene Maßnahmen zu ihrem Schutz ergriffen werden. Es muss also sorgfältig untersucht werden, was auf welche Weise zu schützen ist, und welche Lösungen möglicherweise schon im Einsatz, oder kostengünstig zu realisieren sind. Dabei muss sich Ihr Unternehmen zuerst folgende Fragen stellen:

• Welche Normen, Gesetze und Richtlinien muss Ihr Unternehmen erfüllen?
• Wie hoch wäre der Schaden beim Verlust von sensiblen Daten?
• Welche Risiken drohen dem Unternehmen von innen und außen?

Sind sowohl kritische Informationen als auch Maßnahmen zu ihrem Schutz gefunden, muss die Umsetzung in den Mittelpunkt der Überlegung rücken. Selbst die besten Prozesse und geschultesten Mitarbeiter verhindern nicht das Ausbrechen von sensiblen Daten aus dem Unternehmen. Ein unachtsam abgestelltes Notebook, eine verlorene CD, eine fehlgeleitete E-Mail - hier müssen technische Maßnahmen unterstützen.

Diese werden durch die genannten DLP-Produkte realisiert, die hierzu teils als Gateway, teils als lokal laufenden Applikationen eingesetzt werden und somit ein breites Spektrum an potentiellen Schwachstellen abdecken. Basis für die Technik ein DLP-Regelwerks dar. Die sorgfältige Vorbereitung dieser Regeln stellt das Fundament für ein gut funktionierendes und sinnvolles DLP dar.

Als ein integraler Bestandteil eines ISMS fungiert der Mitarbeiter. Nur wenn er die Implikationen seiner Handlungen verstanden hat, kann das ISMS und auch ILP seine Stärken ausspielen. Auch hier kann die Technik wertvolle Arbeit leisten und den Mitarbeiter unterstützen und ohne störende Eingriffe ins Tagesgeschäft für die Thematik sensibilisieren.

Bei der Auswahl eines DLP-Produkts ist es also hilfreich, sich folgende Fragen zu stellen:

• Ist die Software modular, d.h. können Sie Ihre DLP-Lösung nach und nach aufbauen?
• Was benötigen Sie unbedingt, was ist eher optional zu sehen?
• Werden Ihre Geschäftsprozesse unterstützt oder müssen Sie diese an die Technik anpassen?
• Wie und wann werden Ihre Benutzer eingebunden?
• Gibt es vielleicht Software vom Hersteller Ihrer jetzigen Endpoint Security-Lösung?

Die Umsetzung dient dann als letzter Integrationsschritt der DLP-Lösung in das ISMS, stellt jedoch nicht das Ende des DLP-Projekts dar. Es muss immer wieder auf neue Anforderungen und Bedrohungen angepasst werden um einen optimalen Schutz zu gewährleisten. Und natürlich ist ein lückenloses Auditing, integriert ins ISMS, als Grundvoraussetzung zu sehen.

Hundertprozentigen Schutz bietet jedoch auch die aus technischer und organisatorischer Sicht beste Lösung nicht. Daher ist es sinnvoll, sich schon vor dem Fall der Fälle die Frage des Incident Management und Response zu stellen: Wie reagiere ich auf einen Datenskandal? Dabei kann das Unternehmen eher passiv oder aktiv mit der Situation umgehen. Die Vergangenheit hat gezeigt, dass der proaktive Umgang dem Unternehmen auf lange Sicht wesentlich weniger Schaden zufügt.

Je nach Unternehmensstandort muss der Datenverlust auch unterschiedlichen Stellen gemeldet werden, beim Verlust von Kundendaten sollte dem Kunden die Möglichkeit zur Reaktion gegeben werden, bevor seine Daten zu Schäden führen können. Da gerade der Imageverlust meist die empfindlichste Strafe für das Unternehmen darstellt, muss man aktiv dagegen vorgehen.

Fazit

ILP ist kein out-of-the-box-Projekt. Wenn Ihr Unternehmen ein ISMS nach ISO 27001 eingeführt hat, ist damit bereits der Grundstein für eine umfassende ILP-Lösung gesetzt. Sollten Sie bereits ein DLP-System im Einsatz haben, muss es ständig auf neue Anforderungen angepasst werden, um einen optimalen Schutz zu bieten. Was man immer bedenken sollte -Information Leakage Prevention ist mehr als der Einsatz von Software und Hardware zur Verhinderung von Datenverlusten, es ist vielmehr ein ganzheitlicher Ansatz zum Schutz sensibler Informationen.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

Weitere Artikel zum Thema