Die aktuelle Diskussion um den Kauf von CDs mit den Daten potentieller Steuersünder zeigt, dass das Thema Datenverlust neben Datenrettung und Datensicherung noch einen weiteren Aspekt umfasst: Den unerwünschten Abfluss von Daten oder kurz Datenklau. Das Verhindern solchen Datenverlusts wird als Data Loss Prevention (DLP) bezeichnet, während früher Bezeichnungen wie Extrusion Prevention Systeme (EPS), Data Leakage Prevention oder Content Monitoring and Filtering (CMF) üblich waren.
Was ist Data Loss Prevention?
Vor allem Unternehmen sind in der heutigen Zeit auf einen zuverlässigen Schutz angewiesen, der ihren Pc vor Gefahren wie zum Beispiel Angriffe von außen bewahrt. Das größte Risiko besteht wohl darin, dass Unbefugte an vertrauliche Daten gelangen und diese zum einen über das Internet verteilen und zum anderen die Daten eventuell noch an die Konkurrenz verkaufen. Für Unternehmen bedeutet das nicht nur einen schweren Imageschaden, sondern auch sinkende Markenwerte. Der Zugriff auf die Daten wird jedoch erst ermöglicht, wenn es keinen ausreichenden Schutz für den Zugang ins Internet und für die E-Mail-Kanäle gibt. Allerdings sind die meisten Schutzmechanismen im Falle von Datenverlusten oder Datendiebstahl nicht sicher genug. Hier greift Data Loss Prevention ein. Die Schutzmaßnahme unterstützt ganz gezielt den Schutz der Vertraulichkeit der jeweiligen Daten, sowie auch die Integrität.
Wie arbeitet Data Loss Prevention?
Die DLP-Produkte gibt es sowohl als Software, als auch als Module aus Hardware und Software, die vor allem eingesetzt werden, um bereits bestehende Sicherheitsvorkehrungen zu erweitern. Die Module arbeiten für bestehende Proxys oder Mailfilter als Proxy oder Sniffer. Der Nachteil der Module besteht jedoch darin, dass sie sich am leichtesten umgehen lassen, da sie eine sehr geringe Erkennungsrate haben und nur wenige Dateiformate unterstützen.
Um einen wirklich zuverlässigen Schutz zu gewährleisten, ist also eine agentenbasierte DLP-Lösung notwendig, also eine Verschlüsselung die intelligent gesteuert wird. Vorasussetzung dafür ist, dass die Software bisher nicht gehackt wurde und somit selbst sicher ist. Zudem muss der Computer als Funktionseinheit betrachtet werden. Um bestimmte Anwender mit bestimmten Daten regulieren zu können, sind abgesehen von der Verschlüsselung noch zusätzlich Funktionen notwendig. So sollte zum Beispiel dokumentiert werden, was mit bestimmten Daten gemacht wurde. Auch die Möglichkeit, alle Anwendungen, die mit Daten möglich sind zu blockieren oder den Anwender über ein Eingabefeld eine Bestätigung abgeben zu lassen sollte vorhanden sein. Ein Popup könnte den Umgang mit vertraulichen Daten sensibilisieren. Selbstverständlich ist auch die Funktion des Alarmierens unbedingt notwendig.
Welche DLP-Lösung geeignet ist, hängt also vor allem von den individuellen Anforderungen ab. Eine einfache DLP-Lösung kann zum Beispiel von USB-Geräten geschriebene Dateinamen protokollieren, während eine besser ausgestattete DLP-Lösung mit Hilfe von einer dritten Software jede Änderung, die an vertraulichen Daten vorgenommen werden, erkennt. Je nachdem wie die Richtlinien für die Sicherheit festgelegt sind, können zudem beliebige Aktionen durchgeführt werden, die auch nicht zu beeinflussen oder abzuwenden sind, wenn der jeweilige Anwender administrative Rechte hat.
Die Grenzen von Data Loss Prevention
Die Verwaltung der DLP-Agenten auf Computern und Servern, die vertrauliche Daten enthalten, erfolgt grundsätzlich zentral. Zwar ist es möglich, für Benutzergruppen oder für einzelne Benutzer bestimmte Rechte freizugeben, allerdings können diese bei den meisten Produkten nur grob reguliert werden. Zudem muss zunächst geprüft werden, ob das jeweilige Produkt den Anforderungen entspricht. Wenn das nicht der Fall ist, muss sich das Unternehmen an die DLP-Lösung anpassen und gegebenenfalls bestimmte Dateitypen nicht mehr verwenden, um einen ausreichenden Schutz zu bekommen.
Natürlich schützt auch das beste System nicht davor, dass Bildschirminhalte fotografiert oder von Hand abgeschrieben werden.
Anbieter von Data Loss Prevention
Anbieter für DLP-Lösungen gibt es mittlerweile einige auf dem Markt. Als einer der führenden Anbieter 2009 wurde Symantec ausgezeichnet, aber auch McAfee zum Beispiel wirbt mit DLP-Lösungen, die einen umfassenden Schutz und sämtliche Zusatzfunktionen bieten. Allerdings lässt sich pauschal nicht sagen, welche DLP-Lösungen zu empfehlen sind. Welcher Anbieter schlussendlich der Passende ist, hängt vor allem von den individuellen Anforderungen ab und nicht zuletzt auch vom Budget.