Sensible Daten sicher handhaben

• Home
• Magazin
• Know How
• Firewall & VPN

Data Loss Prevention (DLP), das bedeutet Schutz sensibler Daten, Compliance-Vorschriften durchsetzen und so den Ruf und den Namen des Unternehmens schützen. Denn Gefahr droht durch weit verbreitete externe Malware- ebenso wie durch Social Engineering mutwillige oder versehentliche Fehler der internen User. Obwohl viele Unternehmen sich längst vor Angriffen von außen schützen, findet eine übergreifende Kontrolle sämtlicher Kommunikationswege, sei es E-Mail, Instant Messaging oder der Datenverkehr über das Internet oft noch immer ohne wirkungsvolle Kontrolle statt.

Ob Intrusion Detection Systeme, Firewalls oder Gateway-Security-Lösungen – die meisten Unternehmen betreiben inzwischen viel Aufwand, um sich vor externen Gefahren zu schützen. Genauer gesagt lediglich vor dem Eindringen externer Gefahren. Doch was ist mit den Daten, die das Unternehmen verlassen? Dem Risiko interner Informationslecks haben die herkömmlichen Schutzmechanismen nichts entgegen zu setzen. Die meisten Unternehmen schützen den Zugangsweg ins Internet und den ausgehenden E-Mailverkehr nicht ausreichend. Es besteht also stets die Gefahr, dass Unbefugte an vertrauliche Unternehmensdaten kommen und diese im schlimmsten Fall ungeschützt über das Internet verteilen – oder als Spionageergebnis direkt an die Konkurrenz verkaufen.

„Ob mit böswilliger Absicht oder durch einen unbeabsichtigten Fehler – sensible Daten, die in falsche Hände gelangen, können Unternehmen teuer zu stehen kommen. Schwerer Imageverlust, Aktienkurse, die in die Tiefe stürzen oder ein sinkender Markenwert sind nur ein paar Beispiele der möglichen Folgen für das Unternehmen“, weist Reiner Baumann, Regional Director Central and Eastern Europe, auf die Gefahren hin. Der Leiter des Bundeskriminalamts, Jörg Ziercke bestätigte diese Einschätzung auf der Herbsttagung des Bundeskriminalamts in Wiesbaden: "Das Schadenspotential der Internetkriminalität ist immens." BKA-Chef Ziercke geht von einer beachtlichen Dunkelziffer aus, zudem bleiben zahlreiche Einbrüche in private Rechner unbemerkt und Unternehmen würden Datendiebstähle aus Angst vor Imageschaden oft nicht melden.

Benutzerfreundlich und sicher – (k)ein Widerspruch?

Die IT-Verantwortlichen befinden sich in einem Dilemma, denn die Kommunikation über das Internet, beispielsweise via E-Mail, Instant Messaging, Webmail oder Webformularen, sind inzwischen aus dem Arbeitsalltag nicht mehr wegzudenken. Dennoch zeigt sich häufig gerade hier ein schwarzes Loch in der IT-Sicherheitsstrategie der Unternehmen. Marktübliche Firewalls und andere Lösungen für Netzwerksicherheit bieten keinen ausreichenden Schutz. Es fehlen wichtige Kontrollen wie Inhaltsscans, das Blocken von Nachrichten mit vertraulichen Inhalten an unberechtigte Empfänger sowie die automatische Verschlüsselung sensibler Daten.

Beim Abwägen zwischen Aufwand und Nutzen von Sicherheitsmaßnahmen kommt den Compliance-Regularien eine große Bedeutung zu. Denn die meisten Unternehmen müssen sich zumindest an einige der Regularien wie HIPAA, GLB oder SOX richten. So fordert beispielsweise das Payment Card Industry (PCI)-Regularium, dass spätestens ab Ende Dezember 2007 jede elektronische Übermittlung von Kreditkarteninformationen geschützt zu erfolgen hat. Wer danach noch E-Mails mit Kreditkarteninformationen im Klartext versendet, muss drastische Geldbußen fürchten. Auch die mittlerweile in den Staaten der Europäischen Union in nationales Recht umgesetze Direktive 95/46/EC zum Schutz persönlicher Daten gilt es zu beachten.

Ein Teil der Unternehmen behilft sich mit internen Handlungsanweisungen an die Mitarbeiter. Obwohl diese Maßnahme zwar angebracht und hilfreich ist, bleibt ein hohes Restrisiko durch den Faktor Mensch bestehen. Viele IT-Verantwortliche wünschen sich angesichts dieser Herausforderungen eine zentrale und automatisch einschreitende Instanz, um Compliance-Richtlinien für die gesamte Kommunikation des Unternehmens zu unterstützen. Naturgemäß ist das Gateway mit seiner zentralen Verwaltung dafür die geeignete Stelle. Bei der Erweiterung des Gateways auf die DLP-Funktionalitäten fällt zudem kein Aufwand für Software- und Policy-Rollouts auf die zahlreichen internen PCs und Notebooks an.

Unternehmensrichtlinien durchsetzen

Ein wichtiger Bestandteil einer wirksamen DLP-Strategie ist die Definition und die Umsetzung von Unternehmensrichtlinien, so genannten Acceptable Use Policies (AUP), für die elektronische Kommunikation. Diese beinhalten typischerweise Regelungen zu illegalen Aktivitäten, Attachment-Größen oder zum Versand von Unterlagen an bestimmte Empfänger ohne rechtliche Ausschlussklauseln.

Um die festgelegten Richtlinien durchsetzen zu können, sollte die DLP-Lösung in der Lage sein, unerlaubte Aktivitäten zu blocken oder die Verantwortlichen zu alarmieren. Auch der Versand von geschützten Musik- und Videodateien durch P2P File Sharing-Programme muss sich verhindern lassen. Das gilt auch für das Surfen auf Webseiten mit Glücksspielen oder anderen unerlaubten Inhalten. Zudem sollte die DLP-Lösung über Funktionen zur Durchsetzung der E-Mail-Richtilinien verfügen und in der Lage sein, ausgehenden E-Mails rechtliche Ausschlussklauseln anzufügen.

Wie sieht eine umfassende DLP-Lösung aus?

Eine für die IT-Administratoren mit wenig Aufwand verbundene Möglichkeit, DLP wirksam umzusetzen, zeigt IronPort auf. Die DLP-Lösung verbindet die marktüblichen E-Mail-Security-Funktionen wie Spam- und Virenfilter mit prozessbasierten Funktionen wie Richtliniendefinition, Inhaltsscans, Verschlüsselung, Quarantäne und Archivierung in einem System.

Neben speziellen Compliance-Filtern für Richtlinien wie etwa HIPAA, GLB, SOX und PCI, die Inhalte automatisch auf geschützte Finanz- oder Gesundheitsinformationen überprüfen, ist die Lösung mit so genannten Smart Identifiers ausgestattet. Mit einem Mausklick können die IT-Administratoren die Filter so konfigurieren, dass sie beispielsweise nach Kreditkartennummern oder Sozialversicherungsnummern suchen. Die Attachment-Scanning-Funktion kann über 300 Datentypen bearbeiten.

Eine wichtige Säule einer DLP-Lösung ist die Verschlüsselung. Sie gewährleistet eine sichere Übertragung vertraulicher Daten. IronPort hat diese Funktion in seine E-Mail Appliances integriert, so dass ein- und ausgehende E-Mails ohne zusätzliche Hardware ver- und entschlüsselt werden können. Je nach den eingestellten Richtlinien des Unternehmens erfolgt die Verschlüsselung der ausgehenden Nachrichten automatisch. Ob die Einstellungen und die definierten Richtlinien in der Praxis effektiv sind, lässt sich durch Reportingfunktionalitäten ermitteln, die einen Echtzeit-Einblick über aktuelle und vergangene Verstöße ermöglichen sollten.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

Weitere Artikel zum Thema