DLP-Systeme evaluieren: Acht Fragen, die Sie vor einem Kauf stellen sollten

Nicht jede Firma benötigt eine komplette DLP-Lösung (Data Loss Prevention). Unser Experte hilft Ihnen, die richtige Entscheidung zu treffen.

DLP-Systeme (Data Loss Prevention) sind kein Allheilmittel. Jedes Unternehmen hat andere Anforderungen. Weiterhin gibt es verschiedene Produkte und Services, um diese Ansprüche zu erfüllen.

Nachfolgend finden Sie acht Fragen, die sich Ihr Unternehmen stellen sollte. So kaufen Sie das DLP-Produkt, das Ihre Anforderungen am besten erfüllt.

Benötigen Sie eine komplette DLP-Lösung oder reicht DLP-lite?

Nicht jedes Unternehmen braucht eine komplette und umfangreiche DLP-Lösung. In einigen Fällen ist es sinnvoller, DLP-lite-Funktionen zu nutzen, die sich in existierende Produkte integrieren lassen. Einige Beispiele:

  • Sie sorgen sich um E-Mail, wollen aber kein generelles Netzwerk-Monitoring betreiben? Viele E-Mail-Security-Gateways beinhalten grundlegende DLP-Fähigkeiten.
  • Sie wollen sichergehen, dass auf den Notebooks der Angestellten keine Kreditkartennummern zu finden sind? Es ist nicht unüblich, einfaches Scanning als Option in einer Endpunkt-Schutz-Plattform zu finden.
  • Sie wollen im Blick haben, welche Daten Angestellte via Webmail verschicken? Entweder reicht ein Web-Gateway oder eine Next-Generation Firewall (NGFW) vielleicht vollkommen aus.

Sobald Sie allerdings komplexere Inhalts-Analytik betreiben oder Daten an mehr als einem Standort managen wollen, sollten Sie sich eher nach einer Komplett-Lösung umsehen. Außerdem gilt es grundsätzlich, die Vorgaben für Datenschutz und Arbeitsrecht zu beachten. Nicht alles was machbar ist, ist auch erlaubt.

Kennen Sie Ihre Anwender?

Eines der größten Probleme beim Einsatz von Data Loss Prevention sind chaotische Verzeichnis-Server (Directory Server). Können Sie Anwender nicht auf ihre Aktivitäten im Netzwerk, auf den Systemen oder Datei-Servern abbilden, wird das Erstellen von präzisen DLP-Richtlinien schwierig. Das gilt auch für die Behandlung einfacher Vorfälle.

Wie überwachen Sie Web-Traffic?

Einfaches Netzwerk-Monitoring ist in den modernen Umgebungen extrem eingeschränkt. Das gilt vor allen Dingen, wenn der meisten Traffic im Netzwerk über mit SSL / TLS verschlüsselte HTTP-Verbindungen (HTTPS) läuft. 

Wenn Verbindungen zu SPAN-Ports für breite Analysen ausgeschlossen sind, können Sie Web-Traffic durch einen Proxy leiten und überwachen? Das sollte ein Schlüssel-Faktor bei einer Kaufentscheidung sein. Möglicherweise müssen Sie zusätzliche ein Web-Gateway oder einen SSL-Proxy kaufen und integrieren. Ignorieren Sie diesen Traffic, verschwenden Sie Ihre Zeit.

Wo soll man beginnen?

In der Regel hat ein DLP-Projekt einen Startpunkt. Das kann Netzwerk-Monitoring, E-Mail, Inhaltserkennung oder der Endpunkt sein. Selbst wenn Sie eine umfangreiche Lösung kaufen möchten und diese im Laufe der Zeit entwickeln, müssen Sie irgendwo anfangen. Das wirkt sich später auf die Priorisierung der Funktionen aus. 

Ist Ihr primäres Ziel zum Beispiel das Auffinden von Kreditkartennummern, um den PCI-Audit-Umfang zu reduzieren, priorisieren Sie Ihre Auswahl darauf. Das bedeutet nicht, dass Sie alles andere ignorieren. Sollte das erste Projekt allerdings misslingen, fahren Sie mit dem Rest erst gar nicht fort.

Welche Arten an Inhalten?

Jeder Anbieter behauptet, die gleichen Inhaltsanalyse-Leistungsfähigkeiten bieten zu können. In der Praxis gibt es an dieser Stelle allerdings viele Unterschiede. Das gilt im Speziellen dann, wenn es über grundsätzliche Muster-Erkennung hinausgeht. Liegt Ihr Fokus auf Kreditkarten? Geistiges Eigentum? Daten aus dem Gesundheitswesen? 

Bevor Sie sich die Produkte ansehen, sollten Sie eine Prioritätenliste erstellen. Danach können Sie sich die jeweilig verwendeten Techniken zur Inhaltsanalytik genauer ansehen. Im Idealfall sollten Sie nach Referenzen fragen, die mit sehr ähnlichen Daten arbeiten. Vielleicht können Sie auch Fachkollegen um Rat bitten. 

Die echten Differenzen werden sich erst bei einem produktiven Einsatz zeigen. Ignorieren Sie am besten die ganzen wunderschönen Marketing-Materialien, die die tollen proprietären Techniken der Anbieter anpreisen. Es ist egal, wie wunderbar das Produkt auf dem Papier aussieht. Es zählt nur, wie gut es sich in der Realität schlägt. Diese beiden Faktoren passen nicht immer zueinander.

Wie ist das Preismodell?

Bei einigen DLP-Tools bekommen Sie eine Flatrate pro Server / Appliance oder pro Anwender. Auch eine Kombination aus beiden ist möglich. Bei anderen wiederum zahlen Sie nach den aktivierten Funktionen. 

Zum Beispiel könnte eine zusätzlich Pro-Anwender-Gebühr für Netzwerk-Monitoring, E-Mail-Integration, Netzwerk-Filtering, Storage-Monitoring und so weiter anfallen. 

Diese Preisstruktur funktioniert vielleicht dann, wenn Sie nur spezielle Funktionen nutzen wollen. Planen Sie aber, die Entwicklung im Laufe der Zeit auszubauen, müssen Sie sich im Klaren sein, ob sich das Lizenzmodell mit dem Budget in Einklang bringen lässt.

Welche Ressourcen sind notwendig?

Wie viel Aufwand das Management des DLP-Tools in Anspruch nehmen wird, lässt sich sehr schwer einschätzen. Setzen Sie nur auf grundlegende Richtlinien, ist der menschliche Aufwand möglicherweise sehr gering. Sie müssen hier lediglich Vorfälle verwalten und dann und wann eine Richtlinien anpassen oder hinzufügen. 

In den meisten Fällen müssen Sie im Vorfeld mehr Zeit investieren, um die Lösung zum Laufen zu bringen und die Richtlinien einzustellen. Besonders die Inhaltserkennung kann sehr viel Zeit in Anspruch nehmen. Hier müssen Sie die zu scannenden Repositorien identifizieren, diese scannen und die Dateibesitzer ausfindig machen. 

Ist das geschafft, müssen Sie sich durch alle Business-Probleme wälzen und definieren, wie man Verstöße gegen die Richtlinien ahndet. Stellen Sie sicher, dass Sie genügend Mitarbeiter haben, die das Produkt unterstützen. Behalten Sie diesen Punkt auch im Hinterkopf, wenn Sie die Tools und deren Leistungsmerkmale evaluieren.

Benötigen Sie eine vollständige Bereitstellung oder Risiko-Bewertung?

Ist Ihnen klar wo Sie beginnen, dann wollen Sie sich möglicherweise Tools mit einer großen Auswahl an vordefinierten Richtlinien und Sammel-Leistungsmerkmalen ansehen. Danach installieren Sie das Produkt, aktivieren alles und prüfen, wo sich die meisten Probleme identifizieren lassen. 

Erwarten Sie allerdings nicht, dass Sie all diese Vorfälle managen. Wenn Sie ein paar Kontrollkästchen aktivieren und die Richtlinien nicht verfeinern, werden Sie allerlei ungenaue Resultate bekommen. 

Allerdings bekommen Sie so ein Gespür, auf welche Bereiche Sie sich fokussieren sollten, um die Risiken zu minimieren. Im Anschluss deaktivieren Sie die Kontrollkästchen und fangen an, eigene Richtlinien zu erstellen. Damit adressieren Sie zunächst die Brennpunkte.

Über den Autor:
Rich Mogull bringt fast 20 Jahre Erfahrung im Bereich Informations-Sicherheit, physischer Security und Risiko-Management mit. Bevor er die unabhängige Security-Consulting-Firma Securosis gründete, hat er sieben Jahre bei Gartner gearbeitet. Am Schluss war er als Vize-Präsident tätig. Er hat Tausende an Kunden beraten, Dutzende an Berichten geschrieben und wurde durchweg als einer der internationalen Top-Redner von Gartner betitelt. Mogull gehört zu den angesehensten Experten im Bereich Data-Security-Technologien, inklusive DLP. Er hat Probleme adressiert, die sich von Schwachstellen und Bedrohungen bis zu Risiko-Management-Frameworks und Security für große Applikationen erstrecken.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close