Steht DLP für „Discipline’s Loss Prevention“?

Obwohl das Thema Datenverletzung in Unternehmen in der letzten Zeit weniger Beachtung in den Medien fand, nehmen die Schäden, die Unternehmen weltweit durch Datenverletzung entstehen, immer noch zu und stehen weiterhin im Fokus der qualifiziertesten Marktforschung. Dies hat die jüngste Jahresstudie des Ponemon Institute[1] „Cost of a Data Breach“ erneut bestätigt, die dieses Jahr für die fünf führenden westlichen Wirtschaftsmächte, d.h. USA, Deutschland, Großbritannien, Frankreich und Australien, veröffentlicht wurde. Derselbe Trend wurde im Markt für kleine und mittlere Unternehmen festgestellt. Nach den Ergebnissen des Symantec 2010 Global SMB Information Protection Survey[2] gehört ein Datenverlust für kleine und mittelständische Unternehmen zu den größten Bedrohungen. Da dürfte die Feststellung keine Überraschung sein, dass die durchschnittlichen jährlichen Kosten eines Internetangriffs bei kleinen und mittelständischen Unternehmen fast 190.000 US-Dollar ausmachen.

Drei Hauptfaktoren haben zu diesem alarmierenden Trend beigetragen.

Der erste Faktor ist die „Consumerization von IT-Systemen“ – die allgegenwärtige Verbreitung von Endgeräten wie Smartphones, Tablet PCs und Web 2.0-Software in der IT-Umgebung der Unternehmen. Zweifellos haben sich die Social Media und das Peer-to-Peer-Networking, Instant Messaging, die Blogs und Webmail als äußerst effektive Instrumente in der modernen internetorientierten Wirtschaft erwiesen, in der die Aufmerksamkeit des Kunden Mangelware wird. Gleichzeitig sind sie aber auch eine wertvolle Quelle für Marketing, PR und sogar Vertrieb. Außerdem sind sie bereits für die interne Verwendung im Unternehmen unerlässlich geworden. Im Hinblick auf die Informationssicherheit schaffen all diese Kommunikationsmittel jedoch neue Gelegenheiten für Datenlecks, die weder die herkömmliche Netzwerksicherheit noch Antivirus-Lösungen kontrollieren können. Wie groß die Besorgnis der Industrie über den Missbrauch der Social Media im IT-Bereich von Unternehmen ist, wurde klar, als im Mai 2010 der führende Verband zur Förderung von IT-Standards ISACA (www.isaca.org) ein spezielles White Paper herausgab mit dem Titel: „Social Media: Business Benefits and Security, Governance and Assurance Perspectives“[3], das Empfehlungen für Unternehmen zur sicheren Nutzung von Social Media in ihren IT-Systemen enthielt. Nicht weniger riskant für Unternehmen scheinen die „Vorteile“ von Peer-to-Peer (P2P)-Anwendungen zu sein. Anfang des Jahres wurden von der Federal Trade Commission in fast 100 US-Unternehmen umfangreiche Datenverletzungen auf Grund der unangemessenen Verwendung von P2P-Filesharing aufgedeckt[4].

Zweitens haben sich in den letzten zehn Jahren die von außen kommenden Bedrohungen für die IT-Sicherheit in Unternehmen strategisch verlagert: Ziel ist nicht mehr die IT-Infrastruktur, sondern die Jagd nach Daten oder, genauer gesagt, nach wertvollen Daten. Die Internetkriminalität ist inzwischen gut organisiert und kommerzialisiert. Derzeit erzielt sie einen Jahresumsatz von ca. 1 Billion US-Dollar[5]. Ganz wichtig ist, dass die modernen Bedrohungen aus dem Internet immer häufiger Endpunkt-Computer zum Ziel haben, weil diese weniger geschützt sind als Server, jedoch gleichzeitig Unmengen an sensiblen privaten Daten und Unternehmensinformationen speichern. Die Angriffe von außen werden immer raffinierter: man kombiniert modernste Software und Netzwerktechniken mit der ganzen Macht des Social Engineering, um Endpunkt-Computer mit kommerzieller Malware zu infizieren. Ein unbedachter Klick auf ein Link in einer Spam-E-Mail reicht aus, um den Unternehmenscomputer mit einem kleinen Programm zu infizieren, das den RAM-Speicher nach Daten der gewünschten Art ausspionieren, die gewünschten Informationen heimlich speichern und später über verfügbare Kommunikationssysteme an ein Ziel im Internet senden kann.

Der dritte – und gefährlichste – Faktor der Datenverletzung ist schließlich der Mensch selbst, bzw. das Verhalten sogenannter „Insider“. Falsches Verhalten und Nachlässigkeit stellen ein wesentliches Element der meisten Endpunkt-Datenlecks dar. Trotz aller Vorschriften und Richtlinien in einem Unternehmen, speziellen Schulungen, administrativen Sanktionen und Strafen wird sich die menschliche Natur nicht ändern: auch loyale Mitarbeiter werden versehentlich Fehler machen, seltsame Fehler – werden etwas tun, das sie nicht tun sollten, und böswillige Insider sind bewusst auf der Jagd nach Informationen, die von großem Wert sind.

Daher muss die Disziplin bei der Datenkommunikation und Speichersicherheit auf Unternehmenscomputern mit Mitteln durchgesetzt werden, die nicht vom Menschen abhängen – einem automatischen Werkzeug, das alle Benutzeraktionen im Rahmen der jeweiligen Aufgabenbereiche transparent zulässt und gleichzeitig versehentliche oder absichtliche Versuche blockiert, etwas außerhalb der festgesetzten Grenzen zu tun.

Und genau darauf zielen die Lösungen zur Verhinderung von Endpunkt-Datenlecks (DLP) ab.

Ihre Hauptfunktion ist es, den Grundsatz des „geringsten Privilegs“ präzise umzusetzen, wenn Benutzerrechte für den Datentransfer und die Datenspeicherung erteilt werden, und die Datenschutz-Disziplin direkt am Computer des Mitarbeiters durchzusetzen. Daraus ergibt sich, dass Endpunkt-DLP-Lösungen bereits im Voraus mögliche Datenleck-Szenarien verhindern, bei denen die Benutzer zu weitreichende Berechtigungen für Kommunikationswege besitzen, die nicht in ihren Aufgabenbereich fallen. Was das Risikomanagement anbelangt, so reduziert sich dadurch unmittelbar die Gefahr, dass sensible Informationen unkontrolliert einen Unternehmenscomputer verlassen, egal ob durch Nachlässigkeit oder in böswilliger Absicht.

Die Möglichkeit, den Inhalt der zulässigen Kommunikation zu analysieren und nicht genehmigte Daten herauszufiltern, ist ein weiteres Merkmal der DLP-Lösungen, das ihre Effizienz als Tool zur Durchsetzung einer gewissen Disziplin bei der Sicherheit an Unternehmens-Endpunkten weiter erheblich steigert.

Moderne Endpunkt-DLP-Lösungen blockieren nicht nur beschränkte Vorgänge und Daten, sondern protokollieren jedes Detail und erstellen bei Bedarf Schattenkopien in zentralen Datenbanken, die zur Verfügung stehen, wenn die Einhaltung der Sicherheitsrichtlinien überprüft wird und Nachforschungen zu bestimmten Vorkommnissen angestellt werden. Neben dem Hauptzweck, nachlässige oder böswillige Insider zurückverfolgen, identifizieren und bestrafen zu können, ist dieses Merkmal gleichzeitig ein großer Anreiz für die Mitarbeiter, die Regeln eingeführter Datensicherheitsrichtlinien nicht zu verletzen. Weil jeder von ihnen weiß, dass ihre Endpunkt-Kommunikation und Datenübertragungen überwacht und protokolliert werden, entwickelt sich durch das Bewusstsein, dass man „überwacht“ wird, eine gewisse Selbstkontrolle durch unbewusste Umsetzung der Vorschriften – ein im Gedächtnis ansässiger „DLP-Agent“, der häufig die Unternehmensdaten zuverlässiger schützt als die raffiniertesten Techniken.

Diese innere Selbstkontrolle ergänzt die DLP-Disziplin insgesamt messbar – wenn auch nicht fühlbar – und verdoppelt deren Leistung. Vor allen Dingen erhöht sich die Zuverlässigkeit eines DLP-Systems auch, weil der interne „DLP-Agent“ ständig im Dienst ist und als virtuelles Backup für die Systemkomponente dient, wenn diese vorübergehend abgeschaltet oder gewartet wird.

Natürlich sind Datenlecks und Disziplinverluste bei der Informationssicherheit so eng miteinander verbunden, was Kontext, Prozesse und Einfluss betrifft, dass eine Lösung, die einen dieser Punkte neutralisiert, dementsprechend die anderen Punkte abschwächt.

Es mag wie ein Wortspiel erscheinen, aber es ist wirklich sinnvoll, das Akronym „DLP“ als „Discipline’s Loss Prevention“ bzw. Verhinderung des Disziplinverlustes zu interpretieren und den Datensicherheitsbeauftragten bei DLP-Lösungen die Berücksichtigung der Aspekte Disziplin und Selbstdisziplin in allen Phasen eines DLP-Projektes zu empfehlen. In erster Linie wird dies auch helfen, die Erwartungen der Geschäftsleitung und der Endbenutzer zu erfüllen, sowie die Projektergebnisse realistisch zu bewerten und ordnungsgemäß zu interpretieren.

Hier das PDF-Dokument des DeviceLock-Fachartikels.


[2] Symantec 2010 Global SMB Information Protection Survey (http://bit.ly/aFfMqj)

[3] Social Media: Business Benefits and Security, Governance and Assurance Perspectives (http://www.isaca.org/Knowledge-Center/Research/Documents/Social-Media-Wh-Paper-26-May10-Research.pdf)

[4] Widespread Data Breaches Uncovered by FTC Probe (www.ftc.gov/opa/2010/02/p2palert.shtm)

[5] Fatal System Error, Joseph Menn, Januar 2010 (http://fserror.com/)

Dieser Beitrag wurde unter IT-Security, PR-Beratung, Pressearbeit, Public Relations abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentare sind geschlossen.