computerwoche.de

Netzwerke

Security-Trend Data Leak Prevention

Mehr Sicherheit durch Kontext und Content

31.03.2010
Von Sacha Chahrvin
Um den Risiken besser gerecht zu werden, stellt sich die IT-Sicherheitsbranche von netz- auf datenorientierte Ansätze um.
Mitarbeiter umgehen die geschützten Netze, indem sie Informationen direkt am Gerät abgreifen.
Mitarbeiter umgehen die geschützten Netze, indem sie Informationen direkt am Gerät abgreifen.

Zwischen 2002 und 2004 kamen die ersten Appliances für Data Leak Prevention (DLP) zur Analyse der kompletten Kommunikation über Firmennetze auf den Markt. Diese Geräte filterten zum Beispiel den Web-Zugang, E-Mails und Instant Messages (IM). Sensitive und vertrauliche Informationen sollten so direkt geschützt werden, damit keine Schäden für Unternehmen entstehen, weil etwa Unberechtigte auf Informationen zugreifen und diese missbräuchlich verwenden können.

Gleichzeitig stieg jedoch die Bedrohung durch Datenlecks an Firmencomputern, genauer gesagt über deren Ports oder Peripheriegeräte. Mitarbeiter umgingen die geschützten Netze einfach, indem sie Firmenunterlagen etwa lokal auf einen USB-Stick kopierten und aus dem Unternehmen trugen. Dementsprechend stieg die Nachfrage von Unternehmen nach Produkten zur Geräte- und Port-Kontrolle sowie bald auch nach Endpoint-DLP-Lösungen mit stärkerer Kontextsensitivität (englisch "Context Awareness"). Netzbasierende DLP-Appliances- und Endpoint-Device-Control-Produkte adressierten den gleichen Markt, allerdings mit unterschiedlichen Technologien: die einen mit Inhaltsfilterung (Content Filtering) und die anderen mit kontextbasierenden Methoden. Beide Techniken zielen auf die Erkennung sensitiver Daten ab, wobei die Daten beim Content Filtering nach bestimmten Begriffen, also Content-basiert, analysiert werden.

Bei der kontextbasierten Methode werden keine Dateiinhalte, sondern bestimmte Operationen wie das Verschieben, Kopieren oder Löschen überwacht und gegebenenfalls verhindert. Auf Herstellerseite entstand dabei eine fast ideologische Trennung zwischen Content Filtering und kontextbasierten DLP-Technologien. Die Befürworter von Content Filtering argumentierten, dass einzig und alleine ihre intelligenten Techniken das Problem von Datenlecks in Firmen umfassend lösen könnten, da sie direkt an den aussagekräftigen Inhalten der Daten - der Information - ansetzten. Im Gegenzug wurde an Device-Control-Produkten bemängelt, sie seien nicht in der Lage, die grundlegenden Prinzipien der Datensicherheit zu "verstehen" und müssten sich daher auf indirekte - und dementsprechend ineffiziente - Methoden beschränken. Als Gegenargument verwiesen die Anbieter von Device-Control-Produkten auf den hohen Anteil von "falsch positiven Ergebnissen" von Content-Filtering-Lösungen sowie auf ihre totale Unfähigkeit, lokale Datenlecks einzelner Firmenrechner zu schließen.