06.06.2008, 14:08 Uhr
Schluss mit Datenlecks
Gehen vertrauliche Daten verloren, kann das den guten Ruf und viel Geld kosten. Mit Data Loss Prevention lässt sich das verhindern und Compliance-Vorgaben erst noch einfacher erfüllen.
Mandy Kühn ist IT-Fachjournalistin in München.
Geht es um Spam- oder Virenschutz, fühlen sich heute viele Unternehmen gut gerüstet. Nicht selten wird dabei allerdings vergessen, dass die Gefahren nicht nur an den äusseren Netzwerkgrenzen lauern, sondern auch vermehrt von Innen kommen. Die elektronische Kommunikation via E-Mail oder interaktivem Web 2.0 bietet zahlreiche Möglichkeiten für Informationslecks - sei es mutwillig oder unbeabsichtigt. So sind Firmeninterna für Industriespione und Cyberkriminelle, die in riesigen internationalen Botnetzen agieren, enorm interessant. Erleichtert wird ihnen der Zugriff oft noch durch Unwissen und Nachlässigkeit von Mitarbeitern oder auch durch ein mangelhaftes Zugriffs- und Berechtigungskonzept. Denn sind Internetzugang oder E-Mail-Kanäle nicht ausreichend geschützt, ist es für Unbefugte ein Leichtes, an vertrauliche Unternehmensdaten zu kommen. Im schlimmsten Fall landen die Informationen direkt bei der Konkurrenz.
Die öffentliche Data Loss Database von Attrition.org, einer Expertengruppe für Sicherheit im Internet, listet alleine in den ersten drei Quartalen des Jahres 2007 mehr als 800 öffentlich gewordene Fälle von Datenlecks auf. Diese sollen insgesamt mehr als 230 Millionen Datensätze mit sensitiven Informationen betroffen haben.
Parallel dazu wird der Verlust sensibler Informationen immer kostspieliger: Laut Ponemon Institute schlug ein einziger kompromittierter Datensatz im vergangenen Jahr im Schnitt mit 197 Dollar (2006: 182 Dollar) zu Buche. Für die einzelnen Unternehmen kommen häufig noch die finanziellen und rufschädigenden Konsequenzen aus Verstössen gegen Schutzrechte oder Compliance-Regeln hinzu.
Die öffentliche Data Loss Database von Attrition.org, einer Expertengruppe für Sicherheit im Internet, listet alleine in den ersten drei Quartalen des Jahres 2007 mehr als 800 öffentlich gewordene Fälle von Datenlecks auf. Diese sollen insgesamt mehr als 230 Millionen Datensätze mit sensitiven Informationen betroffen haben.
Parallel dazu wird der Verlust sensibler Informationen immer kostspieliger: Laut Ponemon Institute schlug ein einziger kompromittierter Datensatz im vergangenen Jahr im Schnitt mit 197 Dollar (2006: 182 Dollar) zu Buche. Für die einzelnen Unternehmen kommen häufig noch die finanziellen und rufschädigenden Konsequenzen aus Verstössen gegen Schutzrechte oder Compliance-Regeln hinzu.
DPL-Lösungen werden interessant
Viele Firmen haben inzwischen erkannt, dass strikte Handlungsanweisungen an die Mitarbeitenden alleine längst nicht mehr ausreichen. Deshalb gewinnen wirksame und effiziente Lösungen gegen Datenlecks (Data Loss Prevention, DLP) immer mehr an Bedeutung. Die Marktforscher von Gartner schätzen das derzeitige Umsatzvolumen des weltweiten DLP-Marktes auf bis zu 150 Millionen US-Dollar. Im Jahr 2006 betrug es noch ein Drittel davon.
DLP-Lösungen sorgen dafür, dass vertrauliche Daten nicht ungewollt das Unternehmen verlassen. Gleichzeitig ermöglichen sie es auch, Compliance-Vorgaben einfacher zu erfüllen. Ein aktuelles Beispiel ist das PCI-Regularium (Payment Card Industry), dessen Sicherheitsvorgaben seit 2008 für alle Unternehmen gelten, die sensible Kreditkartendaten elektronisch übertragen. Diese dürfen unter anderem nur noch verschlüsselt übermittelt werden. «Durch eine Sicherheitslösung mit DLP-Funktion lassen sich Kreditkarteninformationen beispielsweise automatisch erkennen und verschlüsseln. Vorgefertigte Regelsätze machen die Umsetzung des PCI-Standards deshalb besonders einfach und schnell: In der Regel genügen wenige Mausklicks,» erklärt Reiner Baumann, Regionaldirektor Zentral- und Westeuropa beim Sicherheitsanbieter IronPort, den Compliance-Vorteil von DLP.
Viele Firmen haben inzwischen erkannt, dass strikte Handlungsanweisungen an die Mitarbeitenden alleine längst nicht mehr ausreichen. Deshalb gewinnen wirksame und effiziente Lösungen gegen Datenlecks (Data Loss Prevention, DLP) immer mehr an Bedeutung. Die Marktforscher von Gartner schätzen das derzeitige Umsatzvolumen des weltweiten DLP-Marktes auf bis zu 150 Millionen US-Dollar. Im Jahr 2006 betrug es noch ein Drittel davon.
DLP-Lösungen sorgen dafür, dass vertrauliche Daten nicht ungewollt das Unternehmen verlassen. Gleichzeitig ermöglichen sie es auch, Compliance-Vorgaben einfacher zu erfüllen. Ein aktuelles Beispiel ist das PCI-Regularium (Payment Card Industry), dessen Sicherheitsvorgaben seit 2008 für alle Unternehmen gelten, die sensible Kreditkartendaten elektronisch übertragen. Diese dürfen unter anderem nur noch verschlüsselt übermittelt werden. «Durch eine Sicherheitslösung mit DLP-Funktion lassen sich Kreditkarteninformationen beispielsweise automatisch erkennen und verschlüsseln. Vorgefertigte Regelsätze machen die Umsetzung des PCI-Standards deshalb besonders einfach und schnell: In der Regel genügen wenige Mausklicks,» erklärt Reiner Baumann, Regionaldirektor Zentral- und Westeuropa beim Sicherheitsanbieter IronPort, den Compliance-Vorteil von DLP.
Das richtige System finden
Unternehmen, die eine solche Lösung einführen wollen, sollten also zunächst festlegen, welche Inhalte geschützt werden sollen, wie diese genutzt werden dürfen und wie Regelverstösse gehandhabt werden sollen. Besonders effektiv ist der DLP-Einsatz am Gateway zum externen Netz, um den ausgehenden Mail- und Web-Verkehr zu überprüfen. Denn so haben die Administratoren keinerlei Aufwand für die Software- und Policy-Rollouts auf die zahlreichen internen Desktop-Rechner und Notebooks. Generell rät Baumann bei der Einführung eines DLP-Systems: «Die IT-Verantwortlichen müssen bei der Auswahl der passenden Lösung im ersten Schritt genau ihre Anforderungen definieren. Idealerweise ist die Lösung am Gateway eine Erweiterung zu bereits bestehenden Viren- und Spamfiltern, um eine konsolidierte und übergreifende Lösung zu schaffen. Zudem sollte die Lösung so flexibel sein, dass eine nachträgliche Integration zusätzlicher Tools jederzeit möglich ist.»
Bei der Analyse der Inhalte sollten Unternehmen darauf achten, dass ihre DLP-Lösung auch bei E-Mail-Anhängen alle bekannten Datentypen erkennen, überprüfen und gegebenenfalls blocken kann. Ebenso wichtig ist die Verschlüsselung für die sichere Übertragung vertraulicher Daten. Entscheidend dabei ist, dass je nach den eingestellten Richtlinien des Unternehmens die Verschlüsselung der ausgehenden Nachrichten flexibel und automatisch erfolgen kann. Daneben gehören prozessbasierte Funktionen wie Richtlinien-definition, Quarantäne und Archivierung zu den wichtigsten Komponenten eines DLP-Systems.
An die Regeln halten
Um die festgelegten Richtlinien auch wirklich durchzusetzen, sollte die DLP-Lösung in der Lage sein, unerlaubte Aktivitäten zu blocken oder gegebenenfalls die Verantwortlichen zu alarmieren.
Hilfreich für alle Unternehmen sind zudem detaillierte Reports über versuchte Regelverstösse. Nur auf diese Weise sind gezielte Analysen und Gegenmassnahmen möglich. Auch vordefinierte Regeln und Wörterbücher helfen bei der schnellen Umsetzung von Compliance-Richtlinien. Sie bieten eine gute Ausgangsbasis, um die individuelle Data-Loss-Prevention-Strategie durch eigene Regeln und Wörterbücher weiter zu verfeinern.
Spezielle Compliance-Filter für Richtlinien wie etwa HIPAA, GLB, SOX und PCI überprüfen die Inhalte automatisch auf geschützte branchenspezifische Informationen. Wörterbücher können je nach Bedarf an das jeweilige Unternehmen angepasst werden.
Unternehmen, die eine solche Lösung einführen wollen, sollten also zunächst festlegen, welche Inhalte geschützt werden sollen, wie diese genutzt werden dürfen und wie Regelverstösse gehandhabt werden sollen. Besonders effektiv ist der DLP-Einsatz am Gateway zum externen Netz, um den ausgehenden Mail- und Web-Verkehr zu überprüfen. Denn so haben die Administratoren keinerlei Aufwand für die Software- und Policy-Rollouts auf die zahlreichen internen Desktop-Rechner und Notebooks. Generell rät Baumann bei der Einführung eines DLP-Systems: «Die IT-Verantwortlichen müssen bei der Auswahl der passenden Lösung im ersten Schritt genau ihre Anforderungen definieren. Idealerweise ist die Lösung am Gateway eine Erweiterung zu bereits bestehenden Viren- und Spamfiltern, um eine konsolidierte und übergreifende Lösung zu schaffen. Zudem sollte die Lösung so flexibel sein, dass eine nachträgliche Integration zusätzlicher Tools jederzeit möglich ist.»
Bei der Analyse der Inhalte sollten Unternehmen darauf achten, dass ihre DLP-Lösung auch bei E-Mail-Anhängen alle bekannten Datentypen erkennen, überprüfen und gegebenenfalls blocken kann. Ebenso wichtig ist die Verschlüsselung für die sichere Übertragung vertraulicher Daten. Entscheidend dabei ist, dass je nach den eingestellten Richtlinien des Unternehmens die Verschlüsselung der ausgehenden Nachrichten flexibel und automatisch erfolgen kann. Daneben gehören prozessbasierte Funktionen wie Richtlinien-definition, Quarantäne und Archivierung zu den wichtigsten Komponenten eines DLP-Systems.
An die Regeln halten
Um die festgelegten Richtlinien auch wirklich durchzusetzen, sollte die DLP-Lösung in der Lage sein, unerlaubte Aktivitäten zu blocken oder gegebenenfalls die Verantwortlichen zu alarmieren.
Hilfreich für alle Unternehmen sind zudem detaillierte Reports über versuchte Regelverstösse. Nur auf diese Weise sind gezielte Analysen und Gegenmassnahmen möglich. Auch vordefinierte Regeln und Wörterbücher helfen bei der schnellen Umsetzung von Compliance-Richtlinien. Sie bieten eine gute Ausgangsbasis, um die individuelle Data-Loss-Prevention-Strategie durch eigene Regeln und Wörterbücher weiter zu verfeinern.
Spezielle Compliance-Filter für Richtlinien wie etwa HIPAA, GLB, SOX und PCI überprüfen die Inhalte automatisch auf geschützte branchenspezifische Informationen. Wörterbücher können je nach Bedarf an das jeweilige Unternehmen angepasst werden.
Weitere Informationen
Reif für DLP?
Viele Anbieter von DLP-Lösungen sind von der Konkurrenz übernommen worden, andere dürften folgen. So stellt sich für Anwender die Frage nach dem richtigen Zeitpunkt, zu dem sie Produkte zum Schutz gegen unerwünschten Datenabfluss kaufen sollten.
Rich Mogull, Chef des Sicherheitsberatungsunternehmens Securosis, empfiehlt, die Investitionsentscheidung weniger von den Bewegungen des jungen DLP-Markts als vielmehr von der Reife des eigenen Unternehmens abhängig zu machen. Wer von einer DLP-Investition wirklich profitieren will, muss als Organisation darauf vorbereitet sein, gibt der ehemalige Gartner-Analyst zu bedenken.
Im Unterschied zu vielen anderen Sicherheitsprodukten liessen sich DLP-Lösungen nicht losgelöst vom Geschäft betreiben: Nicht nur sollten diese Produkte sensible Daten schützen, die das Business zunächst definieren muss. Um Policies zum Umgang mit kritischen Informationen zu erarbeiten und gegen Regelverstösse vorzugehen, müssten Security- und Fachabteilungen zusammenarbeiten.
Zudem, so Mogull, gelte es zu berücksichtigen, dass DLP-Produkte zwar bedingt vor Datendiebstahl schützen, sich aber primär dazu eignen, fehlerhafte Geschäftsprozesse zu identifizieren und so die versehentliche Preisgabe vertraulicher Informationen zu erkennen und zu verhindern. cw
Reif für DLP?
Viele Anbieter von DLP-Lösungen sind von der Konkurrenz übernommen worden, andere dürften folgen. So stellt sich für Anwender die Frage nach dem richtigen Zeitpunkt, zu dem sie Produkte zum Schutz gegen unerwünschten Datenabfluss kaufen sollten.
Rich Mogull, Chef des Sicherheitsberatungsunternehmens Securosis, empfiehlt, die Investitionsentscheidung weniger von den Bewegungen des jungen DLP-Markts als vielmehr von der Reife des eigenen Unternehmens abhängig zu machen. Wer von einer DLP-Investition wirklich profitieren will, muss als Organisation darauf vorbereitet sein, gibt der ehemalige Gartner-Analyst zu bedenken.
Im Unterschied zu vielen anderen Sicherheitsprodukten liessen sich DLP-Lösungen nicht losgelöst vom Geschäft betreiben: Nicht nur sollten diese Produkte sensible Daten schützen, die das Business zunächst definieren muss. Um Policies zum Umgang mit kritischen Informationen zu erarbeiten und gegen Regelverstösse vorzugehen, müssten Security- und Fachabteilungen zusammenarbeiten.
Zudem, so Mogull, gelte es zu berücksichtigen, dass DLP-Produkte zwar bedingt vor Datendiebstahl schützen, sich aber primär dazu eignen, fehlerhafte Geschäftsprozesse zu identifizieren und so die versehentliche Preisgabe vertraulicher Informationen zu erkennen und zu verhindern. cw
Mandy Kühn
