Security-Evolution: Data Leakage Prevention
Das Scheitern von DLP Projekten lässt sich oft auf mangelhafte Vorbereitung zurückführen. Durch unerlässliche organisatorische Maßnahmen, durch umfassende und automatisierte Datenklassifizierung und durch Änderungen im Benutzerverhalten lassen sich jedoch DLP Projekte gewinnbringend umsetzen.
Data Leakage Prevention (DLP) ist nun schon seit einiger Zeit in aller Munde. Klassische Sicherheitskonzepte gehen vom Schutz des Netzes, der Server und der Clients aus. Diese Security-Maßnahmen (vor allem Perimeter-Schutz) verlieren jedoch massiv an Bedeutung, da sich der Perimeter der Unternehmen zunehmend auflöst (Mobility, Social Networks, Blogs, Integration von Geschäftspartnern ins eigene Netzwerk, …)
Bei DLP besinnt man sich auf die ursprüngliche Aufgabe der Informationssicherheit: Schutz von Informationen. Die andere Sichtweise, die dieses Konzept auf kritische Unternehmensressourcen wirft, stellt gewissermaßen den nächsten Schritt in der Evolution der Informationssicherheit darstellt. DLP bedeutet zurück an den Ursprung, an die Quelle der Information. Es ist dabei unwichtig, wo die Daten liegen, ob Server, PDA oder USB-Stick, egal ob als Mail, pdf, xls oder in einer Datenbank.
Diese Idee, bereits die Quelle zu schützen und nicht bloß Symptome zu bekämpfen, klingt einfach und Erfolg versprechend. Viele Hersteller bieten auch schon DLP Produkte an. Warum gibt es jedoch noch so wenige Unternehmen, die sich an die Implementierung wagen, obwohl zu den Vorteilen neben erhöhter Sicherheit und Erfüllung von Compliance Anforderungen auch Einsparung bei Kosten zählen?
Zwei Voraussetzungen
DLP ist leider kein Produkt, das man einfach installiert. DLP ist ein Security-Konzept, das neben der technischen Komponente einen großen Anteil an Denk-Arbeit vor der Implementierung erfordert. Das grundsätzliche Problem ist leicht erklärt. Um DLP einsetzen zu können müssen zwei Voraussetzungen erfüllt sein, die einfach klingen, aber nicht trivial zu lösen sind.
Welche Daten klassifizieren
Als erstes muss das Unternehmen wissen, welche Daten wie klassifiziert werden. Die wenigsten Firmen haben ein „gelebtes“ Klassifizierungsschema, etwa öffentlich, intern, vertraulich, geheim. Es muss dabei genau definiert werden, welche Informationen in welche Klasse fallen und auch wie jede Klasse behandelt werden muss; etwa keine Restriktion in der Verbreitung oder nur verschlüsselt abgespeichert und kommuniziert. Ohne Klassifizierungsschema benötigt man auch kein DLP, da niemand sagen kann was im Unternehmen schützenswerte Information darstellt.
Die IT Abteilung ist der falsche Ausgangspunkt für ein DLP Projekt, da diese nicht entscheiden kann welche Daten business-kritisch sind. Es müssen hier Business-Process Owner, betroffene Abteilungen, Betriebsrat, Geschäftsführung mit in den Planungsprozess involviert werden. Grundsätzlich muss die endgültige Entscheidung die Geschäftsleitung treffen, da nur diese den Wert und daher auch die Kritikalität der Informationen – übers gesamte Unternehmen gesehen – abschätzen kann. Ohne einen Workshop zu Beginn mit Beteiligung des Top-Level Managements und allen Betroffenen wird man später bei der Implementierung in unüberwindliche Probleme laufen, die das scheinbar simple Projekt zwangsläufig zum Scheitern bringen.
Wo liegen die Daten
Die zweite Voraussetzung erweist sich in der Praxis als Herausforderung: Wo liegen schützenswerte Informationen? Der Fileserver ist ein offensichtlicher und natürlich wichtiger Kandidat, jedoch bei weitem nicht der einzige. Neben Datenbanken, Mailarchiv, lokale Festplatte am Laptop oder Speicherkarte am PDA sind auch ausgefallenere Lokationen regelmäßig anzutreffen, wie ungeschützte Testrechner, auf denen mit Echt-Daten getestet wird.
All die Daten und auch die verschiedenen Versionen von Files aufzuspüren kann seriös nur automatisiert mittels Tools durchgeführt werden. Ein zusätzlicher Vorteil der Analyse ist auch, dass unnötige Datenredundanzen entfernt werden können und man dadurch seinen meist ohnehin kargen Speicherplatz kostenlos um ein Vielfaches erhöht.
Implementierung
Sind all diese Voraussetzungen erfüllt, so geht’s an die Implementierung von DLP. Auch hier ist Vorsicht geboten, denn nicht überall wo DLP draufsteht ist auch DLP drinnen. Auf Google findet man tausende Hersteller von DLP Produkten. In der Realität gibt es eine handvoll, die diesen Namen verdienen. Einfach alle USB-Ports sperren oder reine Festplatten-Verschlüsselung haben nichts mit DLP zu tun (können jedoch Elemente einer solchen Lösung sein).
Schlussendlich ist DLP auch eine Awareness-Maßnahme. Benutzer werden darauf hingewiesen, dass eine geplante Aktion – etwa das Senden von vertraulichen Dokumenten auf das private gmx-Account – gefährlich ist und einen Verstoß gegen die Unternehmensrichtlinien darstellt.
Erfolgreiche Projekte
Data Leakage Prevention ist mehr als nur die Implementierung von technischen Maßnahmen. Erfolgreiche Projekte beginnen mit der Beteiligung aller Betroffenen, mit Risikoanalyse, Policies & organisatorischen Maßnahmen und mit der Beantwortung der Fragen: Welche Informationen sind schützenswert und wo liegen diese. Erst wenn beide Fragen umfassend beantwortet sind kann ein DLP Projekt in Angriff genommen werden. Dann wird sich auch der finanzielle Erfolg einstellen.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by Disqus
© 2012 FEiG & PARTNER