computerwoche.de

Security

Data Leakage Prevention

DLP: Schutz vor ungewolltem Datenabfluss

02.12.2011
Von 
Uli Ries ist freier Journalist in München.
Alle Posts des Autors

Funktionsweise von DLP-Lösungen

Kommunikativ: McAfees Sicherheits-Management-Lösung ePO (ePolicy Orchestrator) wird von zahlreichen Herstellern unterstützt – wichtig, um effiziente DLP-Lösungen in heterogenen IT-Infrastrukturen aufbauen zu können. (Quelle: McAfee)
Kommunikativ: McAfees Sicherheits-Management-Lösung ePO (ePolicy Orchestrator) wird von zahlreichen Herstellern unterstützt – wichtig, um effiziente DLP-Lösungen in heterogenen IT-Infrastrukturen aufbauen zu können. (Quelle: McAfee)

Im Großen und Ganzen bestehen alle gängigen DLP-Lösungen aus drei Modulen, die beliebig kombinierbar sind: Aufspüren der Daten auf File- und Datenbankservern, Überwachen der Datentransfers im Netzwerk (insbesondere am Web- und E-Mail-Gateway) und Blockieren von nicht erlaubtem Traffic. Irgendwo dazwischen liegen die Agenten, die auf den Clients installiert werden und zum Beispiel Drucken, Kopieren (auf USB-Sticks oder in die Zwischenablage) oder den E-Mail-Versand vertraulicher Daten blockieren. Der Vorteil dieser zu DLP-Frühzeiten am weitesten verbreiteten Technik: Der Abfluss von Daten kann auch dann verhindert werden, wenn das Firmen-Notebook nicht per VPN mit dem Intranet und der dort wirkenden DLP-Infrastruktur in Verbindung steht. Der Schutz besteht also auch, wenn der Mitarbeiter an einem öffentlichen WLAN-Hotspot oder vom Heimarbeitsplatz aus mit den lokal gespeicherten, als vertraulich gekennzeichneten Daten hantiert.

So einheitlich das Ziel der unterschiedlichen DLP-Lösungen, so verschieden die Herangehensweise der Hersteller. So setzt Symantec beispielsweise auf eine eher softwarebasierte Lösung: Eigens angelegte User-Accounts durchforsten die File- und Datenbank-Server und legen die Ergebnisse in einer Datenbank ab. Als Hardwarebasis dienen herkömmliche x86-Server, die allerdings über einen Minimum 6 GByte großen Arbeitsspeicher verfügen sollten, da sämtliche Indizierungs- und Hashing-Prozesse im Speicher abgearbeitet werden. Andere Hersteller setzen auf dedizierte Appliances, deren Installation teilweise mehr Aufwand und Planung erfordert als das simple Anlegen von neuen Usern im Active Directory. Diese dedizierte Hardware soll den Standard-Servern aber in Sachen Performance überlegen sein.

Zum Monitoring werden in der Regel die dafür vorgesehenen Monitoring-Ports der Ethernet-Switches verwendet: Die DLP-Komponente kann an diesem Port sämtlichen Traffic mitlesen, da der Switch eine Kopie aller Datenpakete an diesen Port weiterreicht. Blockiert werden kann auf diese Art aber nicht, da die DLP-Hardware nur Kopien sieht und kein echter Man-in-the-Middle ist. Soll im Fall eines entdeckten Regelverstoßes automatisch blockiert werden, muss die Monitoring-Komponente sofort einen weiteren Teil der Lösung alarmieren, der den Datenverkehr vor dem E-Mail-MTA (Message Transfer Agent) oder dem Web-Proxy abfangen kann. Sämtliche DLP-Komponenten der großen Hersteller interagieren hierzu mit den gängigen Proxys und MTAs.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)