ra2 studio - stock.adobe.com
Data Loss Prevention für die Cloud in fünf Schritten
Mit der vermehrten Cloud-Nutzung hat der klassische DLP-Ansatz an Wirkung verloren. IT-Teams können aber in wenigen Schritten eine zeitgemäße DLP-Strategie aufbauen.
Der Verlust oder Diebstahl von Daten, insbesondere von geistigem Eigentum oder sensiblen Informationen über Kunden und Mitarbeiter, kann für Unternehmen verheerende Folgen haben. Entsprechend wurde der Schutz dieser Daten in den meisten Unternehmen zu einer Top-Priorität und DLP-Technologie (Data Loss Prevention) zu einem wichtigen Bestandteil vieler Cybersicherheitsstrategien.
Traditionell ist DLP eine On-Premises-Lösung, die in erster Linie Regex-Regeln (reguläre Ausdrücke) verwendet, um den Datenverkehr auf der Netzwerkschicht zu bewerten. Unternehmen setzen DLP in der Regel an E-Mail- und Web-Gateways am Netzwerkperimeter ein, um Datenflüsse kontinuierlich zu untersuchen und nach Datenausgängen zu suchen.
Die Anordnung am Endpunkt und im Netzwerk ist für solche Unternehmen effektiv, die von einem einzigen Standort aus operieren – ganz ohne entfernte oder mobile Nutzer und ohne den Einsatz von Cloud-Diensten.
Spätestens seit der COVID-19-Pandemie arbeiten aber die meisten Unternehmen nicht mehr auf diese Weise. Durch die wachsende Nutzung von Cloud-Anwendungen und die Ausbreitung von Home-Office-Arbeitsplätzen löst sich der Netzwerk-Perimeter immer mehr auf.
Letztlich ist das Unternehmensnetzwerk nur noch einer von vielen Endpunkten, die mit der Cloud verbunden sind. Dadurch verliert der klassische DLP-Ansatz an Wirkung und Effektivität und sensible Daten können ungeschützt bleiben.
Viele Unternehmen haben diese Verschiebung der Nutzung erkannt und entsprechend den Schutz der Daten (und eben nicht des nicht mehr vorhandenen Perimeters) ins Zentrum ihrer Cybersicherheitsstrategie gestellt und nehmen entsprechend Identität, Anwendungen und Aktivitäten in den Fokus. Bedeutet dies, dass der DLP-Ansatz ausgedient hat? Im Folgenden zeigen wir fünf Schritte zum Aufbau eines zeitgemäßen DLP-Programms.
Schritt 1: Bewertung
Der erste Schritt besteht darin, eine gründliche Bewertung der aktuellen Technologieumgebung durchzuführen, um zu ermitteln und zu erkennen, welche Dienste von dem Unternehmen genutzt werden, wie sie genutzt werden und welche Daten von diesen Diensten gespeichert oder verarbeitet werden.
Hierbei müssen sowohl Data-at-Rest- und Data-in-Motion-Aktivitäten sowie die Kategorien von Daten (also zum Beispiel Kundendaten oder geistiges Eigentum), die innerhalb jeder Cloud-Anwendung gespeichert oder verarbeitet werden, identifiziert werden.
Dieser Schritt hilft auch bei der Einhaltung von gesetzlichen Vorgaben wie der DSGVO (EU-Datenschutz-Grundverordnung): Deren Artikel 30 verlangt, dass Unternehmen, die personenbezogene Daten verarbeiten, Aufzeichnungen über ihre Verarbeitungsaktivitäten führen.
In vielen Fällen bedeutet dies insbesondere, ein Protokoll über alle Systeme, Partner etc. zu führen, die personenbezogene Daten verarbeiten, und zu dokumentieren, welche Datenkategorien verarbeitet werden. Aufgrund der Komplexität moderner Cloud-Infrastrukturen (einschließlich Software as a Service, Platform as a Service und Infrastructure as a Service) und der oftmals mangelnden Transparenz in der Cloud, sind diese Dienste häufig nicht in die von Artikel 30 geforderten Aufzeichnungen aufgenommen worden. Eine umfassende Bewertung im Rahmen der DLP-Modernisierung schließt diese Lücke.
Schritt 2: Priorisierung
Im zweiten Schritt wird identifiziert, wo die höchsten Risiken bestehen, um diese dann gezielt zu minimieren. Es macht keinen Sinn, sämtliche Policies auf alle Daten anzuwenden, da hierdurch in erster Linie eine Vielzahl an (Fehl-)Alarmen ausgelöst wird.
In diesem Lärm dann die wirklichen Bedrohungen und Gefährdungen herauszufiltern, ist nahezu unmöglich, zumindest aber ausgesprochen zeit- und ressourcenaufwändig. Deshalb sollte man mit der Anwendung von Richtlinien auf bestimmte risikoreiche Aktivitäten und Abteilungen beginnen. Dies könnten je nach Unternehmen beispielsweise Kundendienst- oder Verkaufsabteilungen, die Personalabteilung oder der Forschungs- und Entwicklungsbereich sein.
Dabei empfiehlt es sich, bestimmten Arten von Daten oder Anwendungen einen Risiko-Score zuzuordnen, um ein besseres Verständnis des Kontexts zu ermöglichen. Wenn die Personalabteilung beispielsweise Dropbox für Mitarbeiterdaten verwendet, wird dies mit einem hohen Risiko bewertet, wenn Dropbox keine autorisierte Anwendung im Unternehmen ist.
In diesem Schritt sollte auch eine Liste der gemanagten Cloud-Anwendungen erstellt werden. Jegliche Daten, die in nicht verwaltete Cloud-Anwendungen oder Anwendungen mit einem schlechten CCI-Wert (Cloud Confidence Index) verschoben werden, stellen damit ein (sichtbar) hohes Risiko dar.
Schritt 3: Schulung und Sensibilisierung
Es ist von größter Wichtigkeit, die Mitarbeiter (als schwächstes Glied) in sämtliche Sicherheitsanstrengungen einzubeziehen. Man muss ihnen erklären, warum vom Unternehmen DLP eingesetzt wird und weshalb bestimmte Aktivitäten blockiert werden.
Macht man dies nicht und blockiert erklärungs- und kommentarlos Anwendungen und Dienste, kann dies unangenehme Folgen haben, etwa dadurch, dass sich Mitarbeiter nach ähnlichen Diensten umschauen und so eine (unkontrollierte) Schatten-IT entsteht.
Bei allen Sicherheitsaktivitäten muss es auch darum gehen, die Prozesse des Unternehmens zu ermöglichen (oder gar zu verbessern), anstatt Innovation und Produktivität zu ersticken. Dabei funktionieren Schulung und Sensibilisierung in beide Richtungen: Bevor eine Anwendung automatisch blockiert wird, muss das Sicherheitsteam den Geschäftsprozess und die Anforderungen der Mitarbeiter verstehen, indem es bei diesen nachfragt, weshalb sie diesen Dienst oder diese Applikation nutzen, der aus Sicht der IT-Abteilung ein Sicherheitsrisiko darstellen könnte.
Dieser Schritt ist auch eine gute Gelegenheit, die Mitarbeiter nochmals mit den (allgemeinen) Sicherheitsrichtlinien des Unternehmens vertraut zu machen, etwa indem man sie bei Hinweisen verlinkt.
Schritt 4: Schutz
Im vierten Schritt werden dann die DLP-Maßnahmen umgesetzt. Diese sollten, wie in den vorherigen Schritten bereits thematisiert, risikobasiert und datenzentriert erfolgen.
Durch abgestufte Policies ist es beispielsweise möglich, alles, was im zweiten Schritt als risikoreich eingestuft wurde, zu blockieren und entsprechende Warnmeldungen und Alarme auszugeben. Das Sicherheitsteam sollte wöchentliche Berichte über Blockierungen erstellen und auf dieser Grundlage bewerten, ob es dadurch zu Störungen in den Geschäftsprozessen kommt. Ebenso sollten falsch-positive und/oder potenzielle Vorfälle überwacht und recherchiert werden.
„Letztlich ist das Unternehmensnetzwerk nur noch einer von vielen Endpunkten, die mit der Cloud verbunden sind. Dadurch verliert der klassische DLP-Ansatz an Wirkung und Effektivität.“
Neil Thacker, Netskope
Zum Schutz der sensiblen Daten ist es zudem sinnvoll, das Nutzerverhalten zu analysieren, um auf diese Weise verdächtige Aktionen identifizieren zu können. Hinter risikoreichem und verdächtigem Verhalten muss nicht immer Absicht stecken: Es kann gut sein, dass sich ein Mitarbeiter einer bestimmten Richtlinie nicht bewusst ist oder sich lediglich nachlässig verhält.
Hierauf müssen Sicherheitsverantwortliche reagieren, am besten mit freundlichen, aber bestimmten Hinweisen. Verdächtiges Verhalten kann aber auch auf kompromittierte Konten zurückzuführen sein. Auch hierauf müssen Sicherheitsteams adäquat reagieren können.
Schritt 5: Governance
Der letzte Schritt ist schließlich die Governance. Dazu gehört eine Überprüfung aller vorhergehender Schritte, um sicherzustellen, dass diese korrekt angewendet wurden und auch weiterhin wie geplant durchgeführt werden.
Hier lässt sich auch erkennen, ob eventuell Regeln noch nachjustiert werden müssen. Zudem ist es sinnvoll und hilfreich, einen regelmäßigen Bericht für die Unternehmensführung zu erstellen, der sich auf Governance, Risiko und Compliance (GRC) konzentriert, einschließlich der Untersuchung von Vorfällen pro Abteilung, um festzustellen, welche Verbesserungen vorgenommen werden müssen. Dieser Bericht sollte quantitativ sein, aber auch detaillierte Beispiele für Vorfälle mit hohem Risiko enthalten, die durch DLP verhindert wurden.
Auf diese Weise wird in der Geschäftsführung die Bedeutung der Datensicherheit verdeutlicht und damit idealerweise langfristig DLP und Datensicherheit zum Teil der Unternehmenskultur.
Der Einsatz von DLP in einer „Cloud-first World“ ist nicht nur eine Möglichkeit, die Sicherheit zu erhöhen, er kann außerdem zu einem schnellen Return on Investment (ROI) führen und rasch geschäftlichen Nutzen bringen. So lassen sich durch die ersten vier Schritte schnell Erfolge erzielen, zum Beispiel bei der Einhaltung gesetzlicher Vorschriften, einer effizienteren Verwaltung von Daten und einer größeren Transparenz und Kontrolle in der Cloud. Der fünfte Schritt führt zu einer technologischen Reife, die dem Unternehmen die effektive Bedrohungsabwehr ermöglicht.
Durch die zunehmende Verlagerung in die Cloud muss auch DLP fit für die Cloud gemacht werden. Folgt man den fünf Schritten, kann dies gelingen und die Datensicherheit überall – egal ob On-Premises oder in der Cloud – nachhaltig verbessert werden.
Über den Autor:
Neil Thacker ist CISO EMEA und Lateinamerika von Netskope.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
