Braucht Ihr Unternehmen ein DLP-System (Data Loss Prevention)?

DLP (Data Loss Prevention) eignet sich nicht für jede Firma. Wir erklären, wann sich die Security-Technologie lohnt und was Sie dabei beachten müssen.

So wichtig DLP (Data Loss Prevention) auch für jegliche Datensicherungs-Bemühungen sein mag, ist es möglicherweise nicht das richtige Tool für Ihr Business. Viele Unternehmen kaufen und implementieren diese Technologie, haben aber nicht wirklich einen Mehrwert davon. Mögliche Ursachen sind eine schlechte Auswahl, unzureichende Implementierungen oder nicht angemessene Erwartungen.

Der wichtigste Aspekt ist, dass Data Loss Prevention ein Tool zur Risiko-Verminderung ist. Es handelt sich hier nicht um einen unfehlbaren Security-Kontroll-Mechanismus. Es kümmert sich lediglich um die Daten, die Sie in der Konfiguration bestimmen. 

Das gilt auch für die Orte, an denen DLP aktiv sein soll. Böswillige Machenschaften übersieht das Tool, wenn die Gegner die richtigen Vorsichtsmaßnahmen treffen. DLP wird Sie nicht über neue Produkt-Pläne informieren, die in einer Abteilung entwickelt, aber nie bei Data Loss Prevention registriert wurden oder es sich um „allgemeine“ Inhalte handelt, nach denen Sie Ausschau halten können.

Bevor Sie sich Hals über Kopf auf DLP stürzen, sollten Sie unbedingt wissen, welche Daten sie eigentlich schützen wollen.

Es kann den Datei-Server nicht scannen, den Sie aus Versehen nicht angegeben haben. Weiterhin kann derzeit kein DLP-Produkt auf dem Markt wirklich gut eine standardmäßig verschlüsselte Datei erkennen, die über eine Kombination Nicht-Standard-Port und -Protokoll nach außen übertragen wird.

Auf der anderen Seite könnte man sich fragen, wie oft so etwas passiert. Lässt man diese extremen Fälle außen vor, ist es dann wert, das allgemeine Datensicherheits-Risiko um 80 oder 90 Prozent zu reduzieren? Aus diesem Grund ist es so wichtig, mit den angemessenen Erwartungen an die Sache zu gehen. 

DLP findet möglicherweise nicht alles in Ihrem Unternehmen. Im Moment sieht es allerdings wahrscheinlich so aus, dass Sie komplett im Dunkel stehen, inwiefern sensible Daten genutzt und wo sie gespeichert werden. Möglicherweise versäumt die Komponente einige Angriffe oder zweckwidrige Aktivitäten. Allerdings zahlt sich das Tool vielleicht alleine schon wegen der Audit-Kosten aus, weil man den Umfang hinsichtlich der Inhalts-Erkennung reduziert.

Bevor Sie sich Hals über Kopf auf DLP stürzen, sollten Sie unbedingt wissen, welche Daten sie eigentlich schützen wollen. Die Technologie hilft wesentlich besser, wenn Sie die Daten irgendwie in einer technischen Richtung definieren können. Wissen Sie auf der anderen Seite nicht, nach was Sie suchen, fällt das ganze Konstrukt sehr schnell auf die Nase. 

Es tauchen mittlerweile statistische Analyse-Techniken in Produkten auf. Diese Methoden an Inhalts-Analytik sind allerdings relativ neu und bei vielen Kunden nicht in der produktiven Umgebung getestet. DLP funktioniert gut, wenn Ihre Daten definierte Muster enthalten, in einer Datenbank gespeichert sind oder sich innerhalb gekennzeichneter Dokumente und Dateien wie zum Beispiel Quell-Code befinden. Weniger nützlich ist es, wenn Sie geistiges Eigentum schützen wollen, das keine eindeutige Quelle aufweist, auf die Sie verweisen können.

DLP scheint in Unternehmen nützlicher zu sein, die regulierte Daten haben. Ein Beispiel sind Kreditkartennummern. Das gilt auch für persönlich identifizierbare Informationen von Kunden oder gut definiertes geistiges Eigentum. Branchen wie zum Beispiel Finanzdienstleistungen, Gesundheitswesen, High-Tech-Produktion, Einzelhandel, Arzneimittel und Technik eignen sich gut. 

Wie ich bereits erwähnt habe, ist die Technologie im Speziellen für Konformität von Nutzen, auch wenn sie nicht unbedingt vorausgesetzt wird. Mithilfe von DLP können Sie Auditoren oder Gutachtern technische Beweise vorlegen. Sie bestimmen, ob sich die regulierten Daten in Ihrem Unternehmen befinden oder eben nicht. Aus diesem Grund können Sie manchmal den Umfang eines Audits drastisch reduzieren.

Kennen Sie Ihre Umgebung gut genug, um das Datei-Storage ausreichend zu scannen oder haben Sie Zugriff auf die entsprechenden Repositories?

Die Standard-Richtlinien in DLP funktionieren möglicherweise gut. Allerdings ist es wie bei allen Komponenten, die Fine-Tuning benötigen. Sie werden Zeit investieren müssen, um es aufzubauen, auf Ihre Bedürfnisse anzupassen und die angemessenen Richtlinien für Ihre Umgebung zu erstellen. Sie sollten nicht an ein DLP-Projekt mit der Erwartung gehen, dass Sie lediglich einige Kontrollkästchen klicken müssen und das war es. Vorgefertigte Kategorien werden am Anfang helfen. Allerdings wird das Niveau an False Positives (falschen positiven Werten) und anderen Nieten sehr hoch sein.

Bei kleineren Unternehmen erfüllt das möglicherweise Ihre Ziele. Mittelgroße und große Unternehmen werden allerdings mit ziemlicher Sicherheit einige Ressourcen einplanen müssen, um neue Richtlinien zu erschaffen und einzusetzen. Das gilt vor allen Dingen für den Anfang.

Zum Schluss müssen Sie sich die Frage stellen, ob Ihr Unternehmen für DLP bereit ist. Wissen Sie genau, was Sie schützen wollen? Können Sie diese Wünsche in technische Richtlinien umsetzen, um sie in einem Tool zu implementieren? Haben Sie Willensstärke, um Angestellte zu monitoren und Aktivitäten zu blockieren, die potenziell die Richtlinien verletzen? 

Kennen Sie Ihre Umgebung gut genug, um das Datei-Storage ausreichend zu scannen oder haben Sie Zugriff auf die entsprechenden Repositories? Sind Ihre Verzeichnis-Server sauber genug, dass Sie Anwender mit Aktivitäten in Verbindung bringen können? Weiß das Management Ihrer Firma, dass DLP zwar das Risiko hinsichtlich verschiedener Arten an Datenverlust minimieren, aber nicht alles verhindern kann?

Sind Sie nicht ausreichend vorbereitet und gehen mit den falschen Erwartungen an die Sache, wird das jedes DLP-Projekt schnell im Keim ersticken. Selbst gewöhnliche Daten-Typen werden in verschiedenen Unternehmen auf unglaublich differenzierte Weise verwendet. Dieser Bereich unterscheidet sich wesentlich von Netzwerk- oder Endpunkt-Security. Dort unterscheiden sich die Best Practices weit weniger stark von Firma zu Firma.

DLP ist keine Technologie, die Zeit verschwendet und kann unglaublich viel Mehrwert bieten. Das gilt aber nur dann, wenn Sie zum einen verstehen, wie die zu schützenden Daten in Ihrem Business Verwendung finden und zum anderen, wenn Sie entsprechende Richtlinien auf diesem Umstand basierend aufbauen.

Über den Autor:
Rich Mogull bringt fast 20 Jahre Erfahrung im Bereich Informations-Security, physischer Security und Risiko-Management mit. Bevor er die unabhängige Security-Consulting-Firma Securosis gründete, hat er sieben Jahre lang bei Gartner Inc. gearbeitet. Am Schluss war er als Vize-Präsident tätig. Er hat Tausende an Kunden beraten, Dutzende an Berichten geschrieben und wurde dauerhaft als einer der internationalen Top-Redner von Gartner betitelt. Er gehört zu den angesehensten Persönlichkeiten hinsichtlich Daten-Security-Technologien, inklusive DLP. Mogull hat Probleme adressiert, die sich von Schwachstellen und Bedrohungen bis zu Risiko-Management-Frameworks und Security für große Applikationen erstrecken.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de

Close