Kombination von DLP und Verschlüsselung

Vielen von uns mag die Veröffentlichung von Tausenden von vertraulichen Dokumenten durch ein Informationsleck des US State Department – die sogenannte Wikileaks-Affäre – noch ein wenig unheimlich vorkommen. Doch ein genauerer Blick auf die Umstände des Datenlecks zeigt, dass der Abfluss der Daten keineswegs unvermeidlich war. So hatten annähernd eine halbe Millionen Regierungsangestellte und freie Mitarbeiter unkontrollierten Zugriff auf diese Daten. Die von der US-Regierung gewollte, transparente Verbreitung von sicherheitspolitisch relevanten Informationen innerhalb der eigenen Behörden muss jedoch nicht zwangsweise damit einhergehen, dass jeder Adressat die ungehinderte Möglichkeit zur Weiterverbreitung erhält.

Gute Vorbereitung ist wichtig

Stellt man vertrauliche Informationen einem größeren Anwenderkreis zur Verfügung, sollte man sich bereits im Vorfeld Gedanken über potenziellen Missbrauch machen. Wenn möglich, sollte der direkte Zugriff auf die Daten nur einer Untermenge dieses Anwenderkreises erlaubt sein. Verschlüsselung der Daten kann hier sehr effizient sein, wenn man den Zugriff auf den Schlüssel auf die autorisierten Leser beschränkt. Dies ermöglicht ein Dokumenten-Verschlüsselungsprodukt mit einer leistungsfähigen Schlüsselhierarchie. Diese Hierarchie ist meist in einer Baumstruktur ähnlich der Firmenhierarchie aufgebaut. Das bedeutet, dass jeder Benutzer einen persönlichen Schlüssel zur Dokumentenverschlüsselung besitzt, und optional über die Gruppen, in denen er sich befindet, Zugriff auf weitere Schlüssel hat. Diese teilt er mit den anderen Mitgliedern der Gruppen. Der Zugriff auf den persönlichen Schlüssel ist jedoch typischerweise exklusiv für den Inhaber. Letzteres kann ein Problem darstellen, wenn der Mitarbeiter die Firma verlässt, und sein Nachfolger keinen Zugriff mehr auf die verschlüsselten Dokumente hat. Um diese Situation zu vermeiden, empfiehlt es sich, das Dokument zusätzlich mit einem weiteren sogenannten Escrow-Schlüssel zu verschlüsseln, der im Notfall noch einer weiteren Person Zugriff auf das Dokument erlaubt.

Immunet Protect
Immunet ist ebenfalls eine Anti-Viren-Lösung, die allerdings einen Cloud-basierten Ansatz nutzt.

Online Armor
Online Armor ist eine kostenlose Firewall für Windows-PCs.

Avira AntiVir Personal
Avira ist eine der bekanntesten kostenlosen Anti-Viren-Lösungen.

Hijack This
HiJack this hilft, infizierte Rechner zu untersuchen.

Spybot Search and Destroy
Spybot sucht auf dem Rechner nach Keyloggern, Spyware und Adware.

Microsoft Security Essentials
Security Essentials ist die kostenlose Anti-Viren-Lösung von Microsoft.

Spamihilator
Die Software ergänzt das E-Mail-Programm und kann unerwünschte Mails erkennen und aussortieren.

Zone Alarm
Zone Alarm ist eine kostenlose Firewall für Windows.

Sophos Anti-Virus for Mac
Sophos liefert einen kostenlosen Anti-Virus für Mac OS.

Secunia PSI
Der Personal Software Inspector von Secunia überprüft die installierten Programme und schlägt gegebenfalls Updates vor.

Im Sinne der Vermeidung von Datenlecks ist es auch überlegenswert, einem Mitarbeiter den vollen Zugriff - insbesondere den Export - auf seine zur Dokumentenverschlüsselung verwendeten Schlüssel zu verwehren. Somit kann er seine verschlüsselten Dokumente nur auf den Geräten bearbeiten, auf denen er dazu autorisiert ist.

Einsatz von DLP-Lösungen

Sehr wichtig ist die folgende Anforderung, die von Verschlüsselungsprodukten naturgemäß nur unzureichend adressiert werden kann: Die Kontrolle über den unbeabsichtigten oder auch mutwilligen Abfluss von vertraulichen Daten durch autorisierte Computernutzer, sogenannte Innentäter. Die Verhinderung solcher Datenlecks haben sich Data-Leakage-Prevention-Produkte (DLP) auf die Fahnen geschrieben. Sie erlauben einem im Prinzip unbeschränkten Anwenderkreis das Lesen der Dokumente an ihrem Arbeitsplatz, beschränken oder verhindern aber die Weiterverarbeitung der Daten, zum Beispiel weiterleiten oder kopieren.

DLP kann sowohl serverseitig (zum Beispiel E-Mail-Server) als auch clientseitig (PC) aktiv werden. Auf der Serverseite kontrolliert DLP den Informationsabfluss zum Internet (zum Beispiel als E-Mail-Proxy), auf der Clientseite die lokalen Export-Schnittstellen des PCs, und unterbindet den unautorisierten Export von Dokumenten. Zu den überwachten lokalen Schnittstellen zählen Laufwerke, Ports, eventuell die Zwischenablage und der Netzwerk-Stack (insbesondere über drahtlose Protokolle).

Microsoft Security Essentials
Mit Microsoft Security Essentials steht allen Besitzern einer gültigen Windows-Installation ein kostenloser Basisschutz vor Malware zur Verfügung. Die Software richtet sich besonders an unerfahrene Anwender die bisher noch keinen oder nur wenig Kontakt zu Security-Software hatten. Microsoft Security Essentials überwacht im Hintergrund ob sich Schadsoftware auf dem PC befindet und nimmt gegebenenfalls Reinigungsaktionen vor.

Sophos Anti-Virus for Mac Home Edition
Sophos bietet seine Sicherheits-Software Anti-Virus for Mac Home Edition kostenlos für Privatanwender an und reagiert damit auf die zunehmende Bedrohung durch Mac-Viren. Das Anti-Malware-Programm läuft im Hintergrund und untersucht jede Datei beim Ausführen auf ihr etwaiges Risiko. Wurde Malware gefunden, so kann Sophos Anti-Virus for Mac Home Edition diese auch direkt entfernen oder in ein Quarantäneverzeichnis verschieben.

BitDefender Antivirus Pro 2011
Vergleicht man das Datenblatt gegenüber dem Vorgänger von BitDefender Antivirus Pro 2011, so fallen einige Verbesserungen auf. Beispielsweise hat nun auch in dieser Anti-Viren-Software die Cloud-Suche Einzug gehalten, was geringere Reaktionszeiten auf bislang unbekannte Malware verspricht. Weiterhin lässt sich die Benutzeroberfläche nun an individuelle Bedürfnisse anpassen und es können eigene Verknüpfungen zu häufig aufgerufenen Programmfunktionen angelegt werden.

Trend Micro Worry-Free Business Security Services
Trend Micro Worry-Free Business Security Services ist ein Komplettpaket für Unternehmen, die ihre IT-Sicherheit mit einem Hosted-Protection-Plan abdecken möchten. Besonders für kleine und mittelgroße Unternehmen eignet sich so ein Angebot, wenn sie kein eigenes Sicherheitssystem aufbauen können oder wollen, da Trend Micro die gesamte Wartung der Software-Basis übernimmt. Des Weiteren lässt sich die Lösung linear mit dem Unternehmenswachstum skalieren. Wird der Schutz für weitere Clients notwendig, können problemlos zusätzliche Lizenzen hinzugekauft werden.

Avira AntiVir Professional 10
Avira AntiVir erlangte besonders durch die kostenlose Version der Anti-Viren-Software Bekanntheit, die einen ausreichenden Standard-Schutz für Privatanwender bietet. Avira AntiVir Professional 10 adressiert Unternehmen mit einer gemischten IT-Infrastruktur und höheren Sicherheitsanforderungen als es für den Heimanwender üblich ist. Die Software liegt in einer Windows- sowie einer Linux-Version vor und bietet den Vorteil, dass eine Lizenz für alle Plattformen gültig ist.

F-Secure Anti-Virus 2011
Anti-Virus 2011 von F-Secure zeichnet sich durch seine klare Struktur und Benutzeroberfläche aus, die sich vor allem für Einsteiger anbietet. Zu den Schutzfunktionen gehören die üblichen Mechanismen wie eine Heuristik-Erkennung, Echtzeit-Überwachung verdächtiger Aktivitäten, Quarantäne-Funktion sowie eine Verhaltensanalyse. Eine Firewall besitzt F-Secure Anti-Virus 2011 indessen nicht, die Software ist eine reine Anti-Malware-Lösung.

Dabei besitzen die meisten DLP-Produkte die Intelligenz, Dokumente nach ihrem Inhalt zu klassifizieren. Enthält ein Dokument zum Beispiel ein Schlüsselwort aus einer Sperrliste, oder ein Datum, das einem mittels regulärem Ausdruck („Regular Expression“) definierten Schema (zum Beispiel Kreditkartennummer, Personalausweisnummer, vergleichbare Daten im Gesundheitssektor) entspricht, so registriert das System dies. Die regulären Ausdrücke werden häufig bereits vom Hersteller des DLP-Produkts mitgeliefert, sodass der Anwender sie nicht mehr selbst definieren muss. Überschreiten solche Verletzungen einen bestimmten Schwellwert, so schlägt das System Alarm und unterbindet gegebenenfalls den Export.

Fingerprinting und Discovery

Einige Produkte bieten auch die Möglichkeit, Daten auf Ähnlichkeit mit einer Referenzdatenbank von klassifizierten Dokumenten zu kontrollieren. Dabei werden in einem vorhergehenden Prozess ausgewählte Referenzdokumente in Fragmente zerlegt. Diese Fragmente werden mit Signaturen versehen („Fingerprinting“), welche in einer internen Datenbank abgelegt sind. Der gesamte Mechanismus ist so leistungsfähig, dass ein Angreifer einzelne Absätze eines Dokuments löschen, umsortieren oder einzeln exportieren könnte, trotzdem würde der Datenabfluss bemerkt. Dasselbe gilt für das Verändern einzelner Wörter. Ebenso könnte der Angreifer versuchen, das Format des Dokuments zu verändern, indem er zum Beispiel ein Fragment aus einem Textdokument in eine Präsentation übernimmt. Auch hier würde der versuchte Export geblockt.

Ein weiterer Aspekt von DLP liegt in der Klassifizierung von ruhenden Daten („Data at Rest“) ohne Online-Überwachung der Benutzeraktivitäten. Dieser Vorgang wird auch „Discovery“ genannt. Viele Produkte bieten dazu einen Crawler, der die vorhandenen Datenbestände offline durchforstet, und gemäß den bereits erläuterten Kriterien nach individueller Vertraulichkeit bewertet. In diesem Prozess werden zum Beispiel auch eventuell vorhandene Dokumenten-Duplikate entdeckt und angezeigt. Die Ergebnisse dieser Klassifizierung dienen zur Beurteilung, wie Daten eventuell besser organisiert und welche Bereiche unbedingt verschlüsselt werden sollten.

Datentresore
Der Redaktion der COMPUTERWOCHE Schwesterpublikation PC-Welt hat 15 Gratis-Tools zusammen getragen, mit denen sich Festplatten verschlüsseln und Daten sichern lassen. In der folgenden Bilderstrecke finden Sie eine Kurzbeschreibung und einen Link zum Download der Tools.

aborange Crypter
Das Programm von Aborange arbeitet nach dem AES-Verfahren, um Ihre Dateien, Texte und Mails sicher zu verschlüsseln. Mit dem integrierten Passwortgenerator haben Sie auch immer gleich sichere Passwörter zur Hand. Und damit keiner Ihre Datenreste auslesen kann, löscht das Tool auch Dateien durch mehrmaliges Überschreiben sehr sicher. <br /><br /><a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/76722/aborange_crypter/" target="_blank">Zum Download</a>

AxCrypt
Wenn Sie sensible Dateien - zum Beispiel Office-Dokumente - auf einem freigegebenen Laufwerk im Netz speichern, bietet sich der Einsatz eines Verschlüsselungs-Tools an, das Ihre Daten mit einem Passwort schützt. Ax Crypt erfüllt diese Aufgabe besonders einfach, aber dennoch wirkungsvoll. Bei der Installation integriert sich das Tool in das Kontextmenü des Windows-Explorers. <br /><br /><a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/69136/axcrypt/" target="_blank">Zum Download</a>

Challenger
Das Programm verschlüsselt Dateien, Ordner oder ganze Laufwerke und passt dabei sogar auf einen USB-Stick. Das Tool klinkt sich im Windows-Explorer beziehungsweise im Datei-Manager in das Kontextmenü ein. Per Popup-Menü wählen Sie die Verschlüsselungs-Methode und vergeben ein Passwort.<br /><br /><a href="http://www.pcwelt.de/downloads/Challenger-571087.html" target="_blank">Zum Download</a>

Crosscrypt
Mit Crosscrypt können Sie Image-Dateien als verschlüsselte, virtuelle Laufwerke einbinden. Ein Image kann beispielsweise auf der lokalen Festplatte, einer Wechselfestplatte oder auf einem Server im Netz liegen. Entpacken sie das Programm in ein beliebiges Verzeichnis und starten Sie Install.BAT. Damit installieren Sie den Treiber und das Kommandozeilen-Tool Filedisk.EXE. <br /><br /><a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/115016/crosscrypt_043/" target="_blank">Zum Download</a>

Cryptool
Wer schon immer mal wissen wollte, wie die unterschiedlichen Verschlüsselungsverfahren wie RSA oder DES arbeiten, sollte sich Cryptool einmal näher ansehen. Nach dem Start kann man eine Datei laden oder neu anlegen, die man verschlüsseln oder analysieren möchte. Für die Verschlüsselung stehen klassische Verfahren wie etwa Caesar zur Verfügung, bei dem lediglich die zu verschlüsselnden Zeichen im Alphabet um eine Position nach hinten verschoben werden. <br /><br /><a href="http://www.pcwelt.de/downloads/tools_utilities/sonstiges/23884/cryptool_1421/index.html" target="_blank">Zum Download</a>

Drag'n'Crypt ULTRA
Drag'n'Crypt ULTRA verschlüsselt Ihre sensiblen Daten ganz einfach per Drag und Drop, so dass diese vor unbefugten Zugriffen geschützt sind. Drag'n'Crypt ULTRA muss nicht installiert werden und kann auch von einem USB-Stick aus verwendet werden. <br /><br /><a href="http://www.bitcore.de/dcu/download.html" target="_blank">Zum Download</a>

EFS
Auf Windows-2000- und XP-Pro-Rechnern sorgt auf Wunsch das Encrypting File System (EFS) für Sicherheit. <br /><br /><a href="http://www.pcwelt.de/start/software_os/tipps_tricks/windows/datenschutz/98330/efs_nutzen_und_den_efs_schluessel_sichern/index.html" target="_blank">Anleitung</a>

Free CompuSec
Free CompuSec sichert Ihren Rechner schon vor dem Bootvorgang per Passwort ab und erlaubt Ihnen auch, einzelne Festplatten und Ordner zu verschlüsseln, sodass Ihr Rechner und mit ihm die Daten vor neugierigen Augen und unerlaubten Zugriffen geschützt ist. Zusätzlich sichert ClosedTalk Ihre VoIP Verbindung und mit DriveCrypt verschlüsseln Sie auch Datencontainer. <br /><br /><a href="http://www.pcwelt.de/downloads/Free-CompuSec-555399.html" target="_blank">Zum Download</a>

Gpg4win
Gpg4win ist eine recht komplexe Open-Source-Software zum Verschlüsseln von Dateien und Mails. Das Programm ist die Weiterentwicklung von GnuPG. <br /><br /><a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/136989/gpg4win/" target="_blank">Zum Download</a>

Guardian of Data
Die Freeware Guardian of Data verschlüsselt einzelne Dateien und komplette Ordner nach dem AES-Algorithmus mit 256 Bit. Eine übersichtliche Bedienerführung und ein Programm-Assistent macht die Handhabung des Tools sehr einfach. <br /><br /><a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/36894/guardian_of_data/" target="_blank">Zum Download</a>

Opheus Quantum
Sie erstellen vor der Verschlüsselung der Daten eine eigene Benutzermatrix und geben ein Passwort an. Daraus errechnet das Programm jeweils eine 1024-Bit-Matrix zur Verschlüsselung, so dass jeder Angreifer den vollständigen Schlüsselsatz haben muss, Dateien wieder entschlüsseln zu können. <br /><br /><a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/66510/opheus/" target="_blank">Zum Download</a>

Steganos LockNote
Sie können einfach einen Text in das Programmfenster eingeben oder ziehen per Drag und Drop fertige Dokumente auf Locknote. Mit einem Passwort verschlüsselt können Sie die Dateien sicher lagern oder auch weiter geben. Für die Verschlüsselung wird ein AES-256-Bit-Schlüssel verwendet. Die verschlüsselten Daten werden als ausführbare Dateien gespeichert und können nur mit dem Passwort geöffnet werden. Das Programm muss nicht installiert werden. <br /><br /><a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/132112/steganos_locknote_102/index.html" target="_blank">Zum Download</a>

Steganos Safe One
Zwei Archive mit jeweils bis zu 1 GB Größe lassen sich mit Hilfe des Gratis-Tools Steganos Safe One anlegen. Dabei ist es egal, um welche Art Daten es sich handelt. Zusätzlich lassen sich mit dem Tool Passwörter generieren und auf einem USB-Stick speichern. Dabei prüft das Steganos-Utility, ob das gewählte Passwort ausreichend kompliziert ist. Die AES-Verschlüsselung mit 256 Bit Verschlüsselungstiefe ist hinreichend sicher. <br /><br /><a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/100575/steganos_safe_one/" target="_blank">Zum Download</a>

TrueCrypt
Sichern Sie vertrauliche Daten mit dem Open-Source-Tool TrueCrypt in einem verschlüsselten virtuellen Laufwerk. Den Datencontainer lassen sich mit einem sicheren Kennwort vor dem unbefugten Zugriff schützen. Das neue TrueCrypt-Laufwerk ist zunächst versteckt, nach dem Mounten, Auswahl eines freien Laufwerksbuchstaben und Eingabe des entsprechenden Passworts taucht das Laufwerk im Windows-Explorer auf. Eingebundene Container sind stets verschlüsselt. <br /><br /><a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/105893/truecrypt/" target="_blank">Zum Download</a>

Bitlocker
Windows Vista und Windows 7 haben bereits eine Verschlüsselung an Bord.

Verschlüsselung mit DLP kombinieren

Die Kombination von Verschlüsselung mit DLP verspricht besondere Synergien. Die Klassifizierung der Daten dient dabei als Gradmesser, ob diese zu verschlüsseln sind oder nicht. Ein paar Stunden überflüssiger Ver- und insbesondere Entschlüsselungsvorgänge können bei ruhenden Daten schnell eingespart werden. Das kann sich beim Zugriff auf Backups schnell bezahlt machen, wenn nicht kategorisch jedes Backup vor dem Zugriff entschlüsselt werden muss.

Im Online-Fall kann dem autorisierten Benutzer prinzipiell erlaubt werden, Dokumente zu exportieren. Gleichzeitig werden diese Dokumente aber, sofern sie als vertraulich erkannt werden, mit einem Schlüssel verschlüsselt, auf den ein Angreifer keinen Zugriff hat. Häufig hat nicht einmal der autorisierte Benutzer direkten Zugriff. Dadurch wird erreicht, dass der Zugriff sowie die weitere Verarbeitung nur durch autorisierte Anwender auf autorisierten Geräten möglich ist.

Kontrolle über den unternehmensweiten Datenfluss ist also kein Hexenwerk. Allerdings erfordert der Einsatz von Verschlüsselungs- und DLP-Produkten eine sorgfältige Planung, bevor man sie im Unternehmen ausrollt. Eine Klassifizierung der ruhenden Daten mittels Discovery ist ein sinnvoller erster Schritt, da man dadurch einen Überblick über die Sensitivität und somit potenzielle Gefährdung des eigenen Datenbestands erhält. Die Ergebnisse bilden eine gute Grundlage für die Einführung von Online-Richtlinien. Bei deren Einsatz sollte man den Aspekt des innerbetrieblichen Datenschutzes nicht außer Acht lassen, schließlich wird hier das Verhalten einzelner Mitarbeiter überwacht und gegebenenfalls protokolliert. Der Betriebsrat sollte also von Anfang an mit im Boot sein. Prinzipiell gilt es immer, einen ausgewogenen Kompromiss zwischen den gerechtfertigten Sicherheitsinteressen eines Unternehmens und einer möglichst geringen Einschränkung der Aktionsfreiheit der einzelnen Mitarbeiter zu finden. Mitarbeiter, die ständig vom System gegängelt und behindert werden, entwickeln eine unglaubliche Kreativität beim Finden von Umgehungslösungen.

Erziehung der Anwender

Der eigentliche Charme von DLP liegt nicht notwendigerweise in der harten Unterbindung nicht autorisierter Datenexporte, sondern eher in der Gewöhnung der Mitarbeiter an sicherheitsbewusste Arbeitsabläufe. Mitarbeiter, die routinemäßig vom DLP-Produkt darauf aufmerksam gemacht werden, dass ein versuchter Datenexport möglicherweise gefährlich ist, und die entsprechenden Daten verschlüsselt werden sollten, werden von sich aus ihre Einstellung ändern und frühzeitig zur Verschlüsselung greifen. In diesem Sinne ist eine sanfte, aber progressive Einführung von DLP-Richtlinien am vielversprechendsten: Zuerst sehen Mitarbeiter nur automatisierte Warnungen, die auf potentielle Gefahren aufmerksam machen. Wird dieser Schritt akzeptiert, so kann man nach und nach daran gehen, die Restriktionen auch hart durchzusetzen.

Man sollte sich aber nicht der Illusion hingeben, dass DLP allein Datenspione mit fundierten IT-Kenntnissen davon abhalten kann, vertrauliche Daten aus dem Unternehmen zu schmuggeln. Zu vielfältig sind die Wege, mit denen Daten kodiert oder verschleiert über kaum dokumentierte Kommunikationskanäle, wie zum Beispiel exotische Instant Messenger, aus dem System geschleust werden können. DLP-Produkte können solche Lecks kaum vollständig abdichten. Hier sind also noch weitere Maßnahmen erforderlich, wie zum Beispiel eine effiziente Kontrolle der Applikationen, die dem Anwender zur Verfügung stehen.

Angreifer verraten sich bisweilen durch den “elektronischen Staub”, den sie aufwirbeln, bevor sie erfolgreich ein noch nicht gestopftes Leck nutzen können. Typischerweise gehen die ersten Versuche zum Datenexport schief, und das lässt sich später in den Protokollierungsdateien des DLP-Produkts und eventuell des Betriebssystems identifizieren. Eine regelmäßige Kontrolle der Protokollierung hilft also, nach und nach vorhandene Lücken zu schließen. (ph)