Sieben Lösungen zum Schutz vor Datenverlusten in Unternehmen

DLP - die wichtigsten Produkteigenschaften

Eine der essentiellen Entscheidungen, die Sie treffen müssen, besteht in der Frage, ob Sie lieber eine agentenbasierte beziehungsweise Endpoint-basierte Lösung bevorzugen oder eine Plattform, die ohne Agenten auskommt. Letzte Lösungen werden auch netzwerkbasierte DLP-Lösungen genannt.

Netzwerkbasierte DLP-Lösungen arbeiten in der Regel Hand in Hand mit der Firewall eines Unternehmens. Gemeinsam prüfen und gegebenenfalls unterbinden sie Datenströme, die das Netzwerk nicht verlassen dürfen. Da dabei keine Agenten benötigt werden, ist die Einrichtung eines netzwerkbasierten DLP in der Regel einfacher als die einer auf Agenten basierenden Plattform.

Von Agenten abhängige DLPs erfüllen aber eine wesentliche Aufgabe, bei der die netzwerkbasierten Lösungen passen müssen: Nur eine DLP-Plattform mit einem Agenten auf den Endpunkten im Unternehmen kann etwa verhindern, dass Daten auf ein lokal angeschlossenes Gerät wie zum Beispiel einen USB-Stick kopiert werden. Das gleiche gilt auch für angeschlossene Drucker. Dieser Unterschied führt dazu, dass es für einen Admin schwierig ist, eine umfassende und alle Bereiche abdeckende DLP-Plattform aufzubauen, wenn er sich allein auf eine netzwerkbasierte Lösung verlassen will.

Alle der im Folgenden vorgestellten Anbieter haben auf Agenten basierende DLP-Lösungen im Portfolio. Manche bieten zusätzlich aber auch Netzwerk-basierende Lösungen an.

Ein weiteres wichtiges Thema bei der Wahl eines Produkts sind die angebotenen Funktionen. Alle DLP-Lösungen können zum Beispiel sowohl Textdateien als auch Excel-Dokumente verarbeiten. Daten innerhalb dieser Dokumente, man nennt sie auch strukturierte Daten, sind relativ leicht zu erkennen und zu schützen.

Weniger gut strukturierte Daten sowie Informationen, die sich zum Beispiel in Bilddateien befinden, sind eine weit größere Herausforderung. Wenn ein Schutz von vertraulichen Daten in Bildern innerhalb von Dokumenten wichtig für Sie ist, dann sollten Sie sich daher nach einem Anbieter umsehen, der auch OCR (Optical Character Recognition) unterstützt.

Ähnlich wie bei Virenscannern können aber auch False Positives ein Thema sein, wenn eine DLP-Lösung übermäßig empfindlich eingestellt ist und etwa alltägliche Tätigkeiten als Versuche einstuft, Daten ausschleusen zu wollen.

Diese falschen Alarme können die Nutzer frustrieren und für eine Überlastung des Sicherheitspersonals sorgen. Anders als in anderen Security-Bereichen gibt es bisher auch noch keine Standards für die Umsetzung eines DLP-Systems. Das führt dazu, dass sich die Vorgehensweisen – und such die Ergebnisse –über die verschiedenen Anbieter teilweise erheblich unterscheiden können.

Im nächsten Schritt sollten Sie den Installationsprozess und die Effizienz des ausgewählten Produkts in Ihre Erwägungen mit einbeziehen.

Als Kunde sollte Sie sicherstellen, dass der potentielle Anbieter den Installationsprozess genau beschreibt und offen legt, was Sie als Nutzer mit einem frisch installierten System überhaupt erreichen können. Wenn der Hersteller zum Beispiel für keine vorgefertigten Templates sorgt, dann deutet dass darauf hin, dass Sie als Nutzer zunächst nichts oder nur sehr wenig erreichen können, bis Sie eigene Definitionen für Daten erstellt haben, die Sie schützen wollen. Die Klassifizierung der eigenen Daten kann ein sehr aufwendiger Prozess sein.

Die Konfiguration von DLP-Plattformen ist eine herausfordernde und länger dauernde Aufgabe, weil das System die zu schützenden Daten fehlerfrei erkennen muss. Aus diesem Grund ist das Erstellen von Templates und die Konfiguration der Tracking-Prozesse ein bedeutender Teil des Installationsprozesses. Der Vorgang kann jedoch beschleunigt werden, wenn der Anbieter vorgefertigte Templates bereitstellt, mit denen sich die Bedürfnisse der Kunden bereits weitgehend abdecken lassen. Wenn ein Unternehmen jedoch erst manuell neue Templates erstellen muss, um damit nur genau die Daten, die es schützen will, zu identifizieren, kann sich ein möglicher Einsatz verzögern.

Um mögliche Fallstricke zu vermeiden, sollten interessierte Unternehmen einen Proof of Concept mit echten Daten durchführen, um die Wirksamkeit des ausgewählten Produkts besser beurteilen zu können. So lässt sich eine Verschwendung von Zeit und Geld für ein System vermeiden, das sich letztlich dann doch als nur unzureichend für die gewünschten Zwecke herausstellt.

Clearswift

Der britische Hersteller Clearswift ist eine hundertprozentige Tochter von HelpSystems. Er wurde im Dezember 2019 übernommen. HelpSystems stammt aus dem US-Bundesstaat Minnesota. Seit mehr als 35 Jahren bietet das Unternehmen Lösungen aus den Bereichen E-Mail-Sicherheit, Web Security und Content Filtering für IT-Umgebungen auf IBM-Basis an. Seit kurzem konzentriert sich der Hersteller auch auf den Bereich DLP und erweitert nach und nach sein Portfolio in diesem Segment.

Clearswift Endpoint DLP ist agentenbasiert und unterstützt nur Windows-Clients. Die anpassbare DLP-Lösung kann verschiedene Aktionen durchführen. So lassen sich damit aufgespürte sensible Daten zensieren, blockieren, löschen oder verschlüsseln.

Die Lösung wird in rund sechs verschiedenen Varianten angeboten. Jede richtet sich an eine bestimmte IT-Umgebung oder ist für eine Anwendung wie Mail, Web oder Social Media ausgelegt.

CoSoSys

Der 2004 gegründete Anbieter CoSoSys hat seinen Stammsitz in Rumänien. Nachdem das Unternehmen mehrmals übernommen wurde, haben sich seine Gründer 2011 dazu entschieden, CoSoSys wieder auf eigene Beine zu stellen. Neben DLP bietet das Unternehmen auch Lösungen aus dem Bereich Mobility Management an, die sowohl auf Apple iOS als auch Google Android ausgerichtet sind.

Das DLP-Angebot nennt sich Endpoint Protector. Es ist agentenbasiert und steht für mehrere Plattformen zur Verfügung. Neben dem Schutz vor einem Verlust von Daten unterstützt die Lösung auch Funktionen zur Kontrolle von Endgeräten, kann eine Verschlüsselung von Daten auf ihnen durchsetzen sowie automatisiert Mobilgeräte mit iOS oder Android aufspüren. Das Produkt arbeitet auch mit Thin Clients und sogar Druckern zusammen. Das Management kann über eine Hardware-Appliance, eine virtuelle Appliance oder einen Cloud-Dienst erfolgen.

Digital Guardian

Digital Guardian ist ein amerikanischer Anbieter, der sich seit seiner Gründung im Jahr 2003 (damals noch als Verdasys) auf die Themen Datensicherheit und Verschlüsselung konzentriert hat. Die 2015 erfolgte Übernahme von Code Green hat zu einem Einstieg in den DLP-Markt geführt.

Digital Guardian hat sowohl agentenbasierte als auch eine agentenlose Networking-DLP-Lösung im Programm. Die Anwendungen bieten eine inhaltliche, kontextbezogene sowie nutzerbasierte Klassifizierung und unterstützen auch OCR sowie eine Erkennung von nicht strukturierten Daten.

Die automatische Klassifizierung von Daten ist die Kernfunktion der Plattform von Digital Guardian. Sie kann auch Daten im Ruhezustand scannen und gegebenenfalls als vertraulich einstufen, so dass Admins später keine manuellen Einschätzungen mehr vornehmen müssen. Die Lösung liefert mehrere allgemein gehaltene sowie an bestimmte Branchen angepasste Templates mit.

Es ist aber auch möglich, eigene Templates zu erstellen und zu nutzen. Den Kunden steht eine Vielzahl an Möglichkeiten zur Verfügung, um festzulegen wie sie ihre Daten schützen wollen. Beispiele sind eine Aufforderung zur Entscheidungsfindung an zum Beispiel den Admin, das Auslösen eines Alarms sowie gängige Funktionen wie Freigeben oder Blockieren. Nach Angaben des Anbieters dauert die Zeit zum Ausrollen und Einrichten der Plattform in der Regel zwischen 30 und 90 Tage. Die von den Agenten unterstützten Betriebssysteme sind Windows, macOS Catalina sowie Linux.

Forcepoint

Der US-Anbieter Forcepoint ist eigentlich ein von Raytheon durchgeführter Zusammenschluss aus den drei Firmen Websense, Sidewinder und Stonesoft. Der DLP-Spezialist Websense wurde 1994 gegründet und gehört seit 2015 zu Raytheon.

Das DLP-Angebot von Forcepoint basiert auf einer modularen Plattform, die es den Nutzern ermöglicht, zunächst nur mit einem Bereich wie dem Schutz von Daten in Clients zu starten und erst später in andere Segmente wie Schutz der Daten in E-Mails und der Cloud vorzustoßen. Das Produkt, das nach Angaben des Herstellers mehr als 50 Sprachen unterstützt, verfügt auch über OCR-Fähigkeiten. Diese können sowohl auf ruhende, als auch auf sich in Bewegung befindende Daten angewendet werden.

Zusätzlich zu Daten auf File-Servern und auf Endpunkten kann die Klassifizierung auch auf andere Umgebungen wie Exchange, SharePoint und auf relationale Datenbanken ausgeweitet werden. Selbst Cloud-Anwendungen wie OneDrive, Google Drive, Box sowie Salesforce lassen sich damit überwachen.

Templates stehen sowohl für allgemeine als auch industriespezifische Bedürfnisse zur Verfügung. Sie bestehen aus zahlreichen Richtlinien, die individuell an bestimmte Anwendungsfälle angepasst werden können. Damit lassen sich lokale, externe sowie im Netz befindliche Laufwerke schützen. Außerdem können sie E-Mails, Drucker, Displays sowie über die Protokolle FTP und HTTP übertragene Daten erkennen. Ein erstes Deployment soll in nur ein bis zwei Tagen möglich sein. Es ist eine 30 Tage lauffähige Trial-Version verfügbar.

GTB Technologies

Der DLP-Anbieter GTB Technologies stammt ebenfalls aus den USA. Er wurde 2005 gegründet. Neben Produkten zum Schutz vor Datenverlusten hat das Unternehmen mehr als ein Dutzend weiterer Sicherheitsprodukte und -services im Portfolio.

GTB bietet sowohl agentenbasierte als auch netzwerkbasierte DLP-Lösungen an. Die agentenbasierte Plattform unterstützt unter anderem auch Point-of-Sale-Systeme (PoS), so dass sie etwa für Retail-Ketten interessant ist. Außerdem umfasst sie mehrere Techniken zur Klassifizierung von E-Mails und Dateien sowie eine kurzfristig umzusetzende Nutzerklassifizierung. Darüber hinaus schützt sie auch unstrukturierte Daten im Text- oder Binärformat. OCR-Fähigkeiten sind ebenfalls für ruhende und sich bewegende Daten erhältlich. Zu den unterstützten Betriebssystemen auf Client-Seite gehören Windows, macOS und Linux. Ein Einsatz ist entweder On-Premises, in der Cloud oder hybrid möglich.

Die angebotene Netzwerk-Appliance mit dem Namen Content-Aware Reverse Firewall kann den gesamten ein- und ausgehenden Traffic inspizieren. GTB bietet nach eigenen Angaben mehr als 3.200 vorgefertigte Policy-Templates an. Eine 30 Tage lauffähige Demo-Version ist verfügbar.

Somansa

Bereits 1997 wurde Somansa Technologies gegründet. Das US-Unternehmen hat sich auf DLP-Lösungen spezialisiert. Zum Portfolio gehören agentenbasierte Client-Produkte sowie eine agentenlose Plattform.

Die auf Agenten beruhenden Angebote umfassen die wichtigsten Kernfunktionen von DLP-Lösungen sowie eine Unterstützung von USB-Geräten, WLAN und Druckern. Die Software wird für verschiedene Betriebssysteme angeboten, unter anderem auch für Mobilgeräte mit Android.

Ein weiteres DLP-Produkt von Somansa mit dem Namen Server-i konzentriert sich dagegen auf Server und Datenbanken und kann unter anderem strukturierte Datenbanken prüfen, um dort gespeicherte sensible Daten zu finden. Zu den unterstützten Datenbanken gehören Microsoft SQL Server, Oracle, MySQL sowie Sybase auf HP-UX, Solaris, AIX oder Linux.

DLP Mail-i und Privacy-i konzentrieren sich dagegen auf die Endpunkte in den Unternehmen. Beide Produkte können entweder On-Premises als auch in der Cloud eingesetzt werden. Daten lassen sich damit unter anderem lokal, im Netzwerk und auf externen Laufwerken prüfen. Unterstützt werden auch Scans von E-Mails, Druckaufträgen, Displays sowie FTP und HTTP. Außerdem können die Lösungen Cloud-Dienste, Webanwendungen, Storage-Plattformen, File-Server und Datenbanken überwachen. Somansa bietet sowohl vordefinierte als auch durch den Kunden anpassbare Templates an.

Symantec

Im Rahmen der Akquisition durch Broadcom Ende des Jahres 2019 hat sich der US-Anbieter Symantec von seiner Endnutzer-Sparte getrennt, um sich in Zukunft voll auf das Enterprise-Geschäft konzentrieren zu können.

Das von Symantec angebotene Produkt zur Data Loss Prevention unterstützt eine Überprüfung von sowohl strukturierten als auch nicht strukturierten Daten durch insgesamt sechs unterschiedliche Techniken zur Klassifizierung. Sie reichen von inhaltlichen Übereinstimmungen bis zum Erkennen von Bildern mit sensiblen Bestandteilen.

Symantec DLP bietet sowohl allgemein gehaltene als auch industriespezifische Templates. Kunden haben aber auch die Möglichkeit, eigene Richtlinien zu erstellen und zu nutzen. Der Hersteller hat rund zehn unterschiedliche Template-Pakete im Portfolio, die auf diverse Industrien und Branchen ausgerichtet sind. Beispielsweise richten sie sich an Finanzinstitute, den Gesundheitssektor oder an Energieerzeuger. Außerdem unterstützt die Lösung gängige Anwendungen für zum Beispiel Videokonferenzen wie Skype, Webex und Live Meeting. Die Agenten können unter Windows, macOS und Linux eingesetzt werden.

Symantec DLP integriert sich direkt in andere von diesem Hersteller angebotene Sicherheitsprodukte wie CASB (Cloud Access Security Broker) und Endpoint Protection. Eine Bereitstellung soll abhängig von der Zahl der Nutzer und Kanäle allerdings zwischen drei und neun Monaten dauern.