Sogar der Präsident des Bundeskriminalamtes hat offenbar kapituliert: „Früher oder später wird jeder mit dem Internet verbundene PC mit Schadsoftware infiziert. Dagegen kann sich keiner schützen“, so Jörg Ziercke am Rande eines Symposiums im Gespräch mit TecChannel. Botnetze sind für Ziercke die „Kriminalität der Zukunft“. Ziercke weiter: „Erschreckend ist dabei, dass kaum ein Unternehmen um dieses Risiko weiß. Entsprechend gering ist die Verbreitung von geeigneten Schutzmaßnahmen.“ Ungewollt rührt der BKA-Präsident damit die Werbetrommel für Firmen wie Websense, McAfee, Symantec oder RSA.
Denn sie sind die Platzhirsche im Markt der DLP-Produkte und sehen in ihren Lösungen die passende Antwort auf die immer unüberschaubarer werdenden Bedrohungen aus dem Netz – und natürlich auf die Gefahr, die – ungewollt oder absichtlich – von den eigenen Mitarbeitern ausgeht. DLP steht für Data Leakage Protection wie auch Data Loss Prevention, die Bezeichnungen variieren immer wieder einmal. Das Ziel derlei Lösungen ist es jedoch in jedem Fall das Gleiche: sensible Daten im Unternehmen zu identifizieren und deren Verbreitung sowie Nutzung zu kontrollieren.
Das Konzept hinter DLP geht davon aus, dass Firewall und Virenscanner versagen, sich die Schadsoftware im Intranet breitmacht und Datenverluste bevorstehen – wenn nicht ein DLP-Produkt eingreift. Wahlweise weist DLP unachtsame Mitarbeiter in die Schranken und verhindert, dass als sensibel gekennzeichnete Daten durch menschliches Versagen oder Betrugsabsichten nach draußen wandern.
DLP-Einführung mit Hürden
So unterschiedliche die technischen Ansätze der Anbieter sind, eines ist allen DLP-Projekten gemeinsam: Die Projekte sind sehr langfristig, ziehen sich manchmal bis zu 18 Monate lang hin und werden dementsprechend teuer. Für kleinere Unternehmen kommt DLP daher selten in Frage. Die eigentliche Installation ist dabei schon binnen weniger Tage über die Bühne, das Erstellen des Regelwerks inklusive. Symantecs-DLP-Fachmann Alexander Haug erzählt, dass viele seiner Kunden die Data-Loss-Prevention-Lösung etliche Monate lang mit angezogener Handbremse betreiben: Die Technik protokolliert sämtliche Verstöße gegen die vom Kunden gewünschten und vom Dienstleister in der DLP-Technik hinterlegten Regeln, unterbindet den Datenabfluss aber nicht sofort. Erst nach weiterem Feinjustieren und klärenden Gesprächen mit den Mitarbeitern wird die DLP-Lösung scharf geschaltet und blockiert sämtliche, die Regeln verletzenden Datentransfers. Manchmal bleibt es auch bei der reinen Monitoring-Lösung, die zum Blockieren nötige Hardware wird niemals angeschafft. Das ist laut Haug typischerweise dann der Fall, wenn keine gravierenden Schäden durch Datenpannen zu befürchten sind, sondern lediglich Vorgaben wie Basel II, Sarbanes-Oxley oder lokalen Gesetzen Genüge getan werden soll.
Haugs Kollege Rolf Haas vom Symantec-Mitbewerber McAfee erklärt, warum DLP-Projekte so langwierig sind: „Insbesondere in Ländern wie Deutschland gilt es, nicht nur die von der Unternehmensleitung als relevant befundene Daten zu schützen. Gleichzeitig müssen sich laufend ändernde gesetzliche Vorgaben genauso beachtet werden wie unternehmensspezifische Firmenvereinbarungen und mit dem Betriebsrat getroffene Vereinbarungen.“ Diese Mammutaufgabe ist laut Haas nur durch einen Dienstleister zu erledigen – wodurch die Projektkosten wieder steigen. Denn die Investition in Lizenzen und Hardware sind dem Experten zufolge meist erheblich geringer als die Kosten für externe Berater. Ist die Lösung einmal eingeführt, gilt die Faustregel: Pro 30.000 Mitarbeiter muss sich ein Vollzeit-Administrator um das DLP-System kümmern.
Haas hat aber auch ein Beispiel parat, das vor allem kleineren Unternehmen Hoffnung machen sollte. So hat McAfee ein DLP-Projekt bei einem bayerischen Mittelständler umgesetzt, bei dem tatsächlich nur Lizenzen und Hardware verkauft wurden. Sämtliche Anpassungen im Betrieb, das Verfeinern der Regeln und das Auswerten der Logdateien wurden von einem einzigen, festangestellten Mitarbeiter des Unternehmens erledigt. Laut Haas war das Projekt so erheblich günstiger als vergleichbare, mit Dienstleistern abgewickelte DLP-Einführungen. Möglich war die Inhouse-Lösung aber wohl nur, da es lediglich um den Schutz der Daten ging und keinerlei komplexe (rechtliche) Vorgaben zu beachten waren.
Risikofaktor Mitarbeiter
Wie das „Gefahrenbarometer 2010“ der Firma Corporate Trust belegt, halten fast 60 Prozent aller deutschen Mittelständler – Corporate Trust befragte über 5000 mittelständische Unternehmen – die eigenen Mitarbeiter für das größte Risiko im Zusammenhang mit dem unerwünschten Abfluss von Daten. Gleichzeitig sperren ebenfalls 60 Prozent der Befragten USB-Ports nicht und erlauben beinahe uneingeschränkten Internetzugang. Kein Wunder, dass Mitarbeiter so schnell zur Datenschleuder werden. Hacker sehen knapp 50 Prozent der Befragten als ernste Gefahr.
Die immer wieder zitierten Beispiele für unbeabsichtigte Angriffe von innen sind so klischeehaft wie wahr: Weil es keinen VPN-Zugang gibt, der Mitarbeiter aber unbedingt noch am Wochenende oder im Urlaub auf seine Dateien zugreifen will, kopiert er sie auf einen USB-Stick – der typischerweise verloren wird – oder schickt sich die Daten an sein privates Freemail-E-Mail-Konto. Damit sind die an sich vertraulichen Daten in der Obhut eines Web-Dienstes, der im Zweifel für keinerlei Schaden durch verlorene Daten haftbar gemacht werden kann. Bösartig handelt der Mitarbeiter keinesfalls, umsichtig jedoch auch nicht. Wie groß die Schäden solcher Datenpannen sind, belegt eine Studie der US-Marktforscher von Ponemon. Die Studie bringt aber nicht nur Schäden in Millionenhöhe ans Tageslicht, sondern weist auch einmal mehr nach, dass Mitarbeiter und Dienstleister, die Zugang zu vertraulichen Daten haben, für deren Verlust verantwortlich sind.
Schützenswerte Daten
Damit ein wie auch immer geartetes DLP-System überhaupt arbeiten kann, müssen zwei grundsätzliche Fragen geklärt werden: Welche Daten müssen eigentlich unbedingt geschützt werden und wo liegen diese Daten? Die erste Frage lässt sich vergleichsweise leicht beantworten, indem die Verantwortlichen der einzelnen Unternehmensbereiche wie Finanzen, Entwicklung, Marketing oder Vertrieb Beispiele für relevante Daten und Dateien heraussuchen und diese Files von der DLP-Lösung untersucht werden. Alles, was von nun an durchs Netzwerk rauscht und eine gewisse Ähnlichkeit mit den gespeicherten Daten hat, wird vom System mit Argusaugen beobachtet. Je nach Hersteller variieren die technischen Wege, durch die die Daten klassifiziert werden. Gemeinsam ist den Lösungen beispielsweise von RSA, Symantec und McAfee, dass sie die Dateien und deren Inhalt auch dann erkennen, wenn nur Teile davon übertragen werden. Die Klassifizierungsalgorithmen zerlegen die relevanten Daten in kleine Häppchen und erstellen mehrere Hashwerte pro File, sodass beispielsweise auch einzelne, aus einer Kundendatenbank kopierte Datensätze zielsicher von den DLP-Scannern identifiziert werden.
Weitaus schwieriger gestaltet sich den Experten zufolge die Suche nach den Daten. Offenbar herrscht in vielen Unternehmensnetzwerken ein über die Jahre schlimmer gewordener Wildwuchs, und es nimmt viel Zeit in Anspruch, alle Server und vor allem Clients nach in Datenbanken strukturierten und unstrukturierten (Office-Dokumente, PDFs etc.) Daten abzusuchen. Denn nur wenn der DLP-Scanner alle Daten erfassen kann, kann er sie hinterher auch schützen. Und selbst wenn die Übertragung einer unbekannten, aber relevanten Datei blockiert und der IT-Verantwortliche alarmiert wird: Was nutzt ein Alarm, wenn aufgrund der unbekannten Datei nicht so recht klar ist, ob es ein falscher oder ein berechtigter Alarm ist?
Datenverlust: Finanzielle und rechtliche Risiken
Was droht, wenn Daten verloren gehen? Die Liste der Horrorszenarien ist lang: Von Schadensersatz über Umsatzeinbußen aufgrund von Imageverlust bis hin zu Kosten für Gutachter und Anwälte reichen die Möglichkeiten. Immer wieder genannt wird auch der finanzielle Schaden von geklautem oder verlorenem geistigem Eigentum: die Formel für das Medikament, die Konstruktionszeichnungen für das Maschinenteil, der Quellcode der neuen Software. Diese Schäden sind schwer zu beziffern und dringen auch selten an die Öffentlichkeit, wie der Anwalt Dr. Berthold Hilderink von der Düsseldorfer Kanzlei Simmons & Simmons weiß.
Hilderink weist aber im gleichen Atemzug auf eine oftmals unterschätzte Gefahr des Datenverlustes hin: rechtliche Konsequenzen. Insbesondere Pannen mit persönlichen Daten von Mitarbeitern und Kunden können in Deutschland geahndet werden, wenn das Unternehmen beziehungsweise dessen Verantwortliche keine geeigneten Schutzmaßnahmen ergriffen haben. Wirksame Schutzmaßnahmen gegen (Hacker-)Angriffe von außen, Abwehren von Viren und anderer Malware, Einhalten der datenschutzrechtlichen Pflichten, regelmäßige Backups, Berücksichtigen von Handlungsanleitungen, Best-Practice-Vorgaben und Wirtschaftsprüfungsstandards – all das sind Aufgaben, die der Gesetzgeber Geschäftsführern, Vorständen und Aufsichtsräten ins Pflichtenheft schreibt. DLP-Lösungen können zumindest einen Teil dieser Bedrohungen ausschalten.
Missachten die Unternehmenslenker diese Vorschriften, drohen unter anderem Geldbußen, ökonomische Nachteile wie beispielsweise ein schlechteres Kreditrating, zivilrechtliche Schadensersatzansprüche von Geschädigten gegen das Unternehmen, Verlust des Versicherungsschutzes oder der Ausschluss bei der Vergabe öffentlicher Aufträge. Dies ist des Schlechten aber noch nicht genug, da der Missbrauch von IT-Infrastruktur und der Datendiebstahl nach mehreren Vorschriften auch strafbar sein können. Dazu zählen zum Beispiel das Verletzen des Post- oder Fernmeldegeheimnisses oder der Verrat von Geschäfts- und Betriebsgeheimnissen. All diese Szenarien sind es, die eine DLP-Installation notwendig erscheinen lassen.
Personenbezogene Daten und Datenschutz
Sofern personenbezogene Daten verarbeitet werden – was in aller Regel der Fall ist, wenn Namen von Mitarbeitern, Kunden oder persönliche E-Mail-Adressen gespeichert werden –, ist insbesondere das Bundesdatenschutzgesetz (BDSG) zu befolgen. Ein eigener Paragraf (§9 BDSG) regelt technische und organisatorische Maßnahmen, die Unternehmen zu treffen haben. Dazu gehören beispielsweise die Zugriffs- und Weitergabekontrolle – ein klassischer Fall für Data Leakage Prevention. Alle gängigen DLP-Lösungen bringen vorgefertigte Regeln mit, die zum Beispiel die Vorgaben von Basel II oder andere (gesetzliche) Regelungen im Netzwerk durchsetzen.
Wie Dr. Hildenrink im Gespräch mit TecChannel erklärt, gibt es noch keine einschlägigen Gerichtsurteile, die Firmenverantwortliche aufgrund von Datenpannen zu hohen Strafen verdonnert haben. Das liegt zum einen daran, dass es sehr oft keine feststellbaren Schäden gibt. Wenn Kundendaten abhanden kommen, müssen die Kunden davon erst einmal erfahren, und es muss ihnen ein tatsächlicher Schaden entstehen. Zum anderen werden viele Fälle von bedenklichen Datenpannen außergerichtlich beigelegt. Das heißt aber nicht, dass die internationalen Datenschutzgesetze ein stumpfes Schwert sind. Der Leiter des IT-Risikomanagements des Pharmariesen Novartis, Andreas Wuchner, hat in seinem Blog einige spektakuläre Fälle von Strafzahlungen zusammengetragen. Und wie das dort gelistete Beispiel Lidl zeigt, wissen sich auch die deutschen Datenschutzbeauftragten zur Wehr zu setzen.
Funktionsweise von DLP-Lösungen
Im Großen und Ganzen bestehen alle gängigen DLP-Lösungen aus drei Modulen, die beliebig kombinierbar sind: Aufspüren der Daten auf File- und Datenbankservern, Überwachen der Datentransfers im Netzwerk (insbesondere am Web- und E-Mail-Gateway) und Blockieren von nicht erlaubtem Traffic. Irgendwo dazwischen liegen die Agenten, die auf den Clients installiert werden und zum Beispiel Drucken, Kopieren (auf USB-Sticks oder in die Zwischenablage) oder den E-Mail-Versand vertraulicher Daten blockieren. Der Vorteil dieser zu DLP-Frühzeiten am weitesten verbreiteten Technik: Der Abfluss von Daten kann auch dann verhindert werden, wenn das Firmen-Notebook nicht per VPN mit dem Intranet und der dort wirkenden DLP-Infrastruktur in Verbindung steht. Der Schutz besteht also auch, wenn der Mitarbeiter an einem öffentlichen WLAN-Hotspot oder vom Heimarbeitsplatz aus mit den lokal gespeicherten, als vertraulich gekennzeichneten Daten hantiert.
So einheitlich das Ziel der unterschiedlichen DLP-Lösungen, so verschieden die Herangehensweise der Hersteller. So setzt Symantec beispielsweise auf eine eher softwarebasierte Lösung: Eigens angelegte User-Accounts durchforsten die File- und Datenbank-Server und legen die Ergebnisse in einer Datenbank ab. Als Hardwarebasis dienen herkömmliche x86-Server, die allerdings über einen Minimum 6 GByte großen Arbeitsspeicher verfügen sollten, da sämtliche Indizierungs- und Hashing-Prozesse im Speicher abgearbeitet werden. Andere Hersteller setzen auf dedizierte Appliances, deren Installation teilweise mehr Aufwand und Planung erfordert als das simple Anlegen von neuen Usern im Active Directory. Diese dedizierte Hardware soll den Standard-Servern aber in Sachen Performance überlegen sein.
Zum Monitoring werden in der Regel die dafür vorgesehenen Monitoring-Ports der Ethernet-Switches verwendet: Die DLP-Komponente kann an diesem Port sämtlichen Traffic mitlesen, da der Switch eine Kopie aller Datenpakete an diesen Port weiterreicht. Blockiert werden kann auf diese Art aber nicht, da die DLP-Hardware nur Kopien sieht und kein echter Man-in-the-Middle ist. Soll im Fall eines entdeckten Regelverstoßes automatisch blockiert werden, muss die Monitoring-Komponente sofort einen weiteren Teil der Lösung alarmieren, der den Datenverkehr vor dem E-Mail-MTA (Message Transfer Agent) oder dem Web-Proxy abfangen kann. Sämtliche DLP-Komponenten der großen Hersteller interagieren hierzu mit den gängigen Proxys und MTAs.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)