Zwischen 2002 und 2004 kamen die ersten Appliances für Data Leak Prevention (DLP) zur Analyse der kompletten Kommunikation über Firmennetze auf den Markt. Diese Geräte filterten zum Beispiel den Web-Zugang, E-Mails und Instant Messages (IM). Sensitive und vertrauliche Informationen sollten so direkt geschützt werden, damit keine Schäden für Unternehmen entstehen, weil etwa Unberechtigte auf Informationen zugreifen und diese missbräuchlich verwenden können.
Gleichzeitig stieg jedoch die Bedrohung durch Datenlecks an Firmencomputern, genauer gesagt über deren Ports oder Peripheriegeräte. Mitarbeiter umgingen die geschützten Netze einfach, indem sie Firmenunterlagen etwa lokal auf einen USB-Stick kopierten und aus dem Unternehmen trugen. Dementsprechend stieg die Nachfrage von Unternehmen nach Produkten zur Geräte- und Port-Kontrolle sowie bald auch nach Endpoint-DLP-Lösungen mit stärkerer Kontextsensitivität (englisch "Context Awareness"). Netzbasierende DLP-Appliances- und Endpoint-Device-Control-Produkte adressierten den gleichen Markt, allerdings mit unterschiedlichen Technologien: die einen mit Inhaltsfilterung (Content Filtering) und die anderen mit kontextbasierenden Methoden. Beide Techniken zielen auf die Erkennung sensitiver Daten ab, wobei die Daten beim Content Filtering nach bestimmten Begriffen, also Content-basiert, analysiert werden.
Bei der kontextbasierten Methode werden keine Dateiinhalte, sondern bestimmte Operationen wie das Verschieben, Kopieren oder Löschen überwacht und gegebenenfalls verhindert. Auf Herstellerseite entstand dabei eine fast ideologische Trennung zwischen Content Filtering und kontextbasierten DLP-Technologien. Die Befürworter von Content Filtering argumentierten, dass einzig und alleine ihre intelligenten Techniken das Problem von Datenlecks in Firmen umfassend lösen könnten, da sie direkt an den aussagekräftigen Inhalten der Daten - der Information - ansetzten. Im Gegenzug wurde an Device-Control-Produkten bemängelt, sie seien nicht in der Lage, die grundlegenden Prinzipien der Datensicherheit zu "verstehen" und müssten sich daher auf indirekte - und dementsprechend ineffiziente - Methoden beschränken. Als Gegenargument verwiesen die Anbieter von Device-Control-Produkten auf den hohen Anteil von "falsch positiven Ergebnissen" von Content-Filtering-Lösungen sowie auf ihre totale Unfähigkeit, lokale Datenlecks einzelner Firmenrechner zu schließen.
Kontext versus Content: Eine Trennung auf Zeit
Mittlerweile hat sich der Markt grundsätzlich gewandelt: Endpoint-Computer sind leistungsfähiger geworden, so dass reine Endpoint-DLP-Hersteller und einige DLP-Appliance-Anbieter Funktionen zur Port-Content-Analyse in ihre Endpoint-Produkte integrieren konnten. Die Marktdurchdringung von Endpoint-Lösungen mit Content Filtering ist erheblich gestiegen. Bestätigt dies die Ineffizienz von kontextbasierten DLP-Technologien? Werden sie vom Markt verschwinden?
Foto: Device Lock
Keinesfalls! Nicht nur die Lösungen für Endpoint-Computer sind ausgereifter geworden, sondern auch die Ansprüche der Unternehmenskunden. Kontext- und inhaltsbasierende DLP-Technologien sind im Grunde gar nicht so unterschiedlich wie bislang behauptet. Dies wird deutlich, wenn man ihre grundlegenden gegenseitigen Abhängigkeiten beim Endpoint-Computing betrachtet. Die primäre Aufgabe einer DLP-Lösung ist das Verhindern von Datenlecks. Deshalb müssen diese Lösungen direkt die Bedeutung der weitergeleiteten Daten - also den Inhalt - erkennen und verifizieren. Da jedoch rein kontextbasierte Endpoint-DLP-Lösungen den Inhalt weder erkennen noch analysieren, müssen sie sich mit indirekten Methoden wie zum Beispiel Device Access Control behelfen. Sie sind daher für den Schutz von Daten nur teilweise geeignet.
Erst durch die Verknüpfung mit einer Content-Filtering-Anwendung können sie einen kompletten Schutz bieten. Zum anderen lautet ein grundlegendes Prinzip der Informationstechnologie, dass man die wahre Bedeutung von Daten - also die enthaltenen Informationen - nur dann versteht und bewusst verwenden kann, wenn man sie im Kontext betrachtet. In Sachen DLP bestimmt also das volle Wissen um den Kontext einer Datenübertragung, ob es sich bei einer Reihe von abstrakt erscheinenden Daten um sinnvolle - und möglicherweise ungewollt nach außen gelangende - Informationen handelt. Ohne zu wissen, wer die Daten sendet, woher und über welchen Übertragungsweg sie kommen und wohin sie transferiert werden, ist es unmöglich, zu definieren, welche Informationen die Daten enthalten, wie vertraulich sie sind und ob ihre Weitergabe legitim ist, also die Sicherheitsbestimmungen des Unternehmens nicht verletzt.
Mit anderen Worten: Content-basierende DLP-Methoden sind nur dann praxistauglich, wenn sie den vollen Kontext einer Datenübertragung erfassen und mit bestehenden Compliance-Richtlinien vergleichen. Eine gute Richtlinie für das Content Filtering ist immer eine Kombination von inhaltlichen Parametern und relevanten Kontext-Vorgaben und -Bedingungen.
Parameter für optimale DLP
Die Abhängigkeit der Analyse der Dateninhalte am Endpoint von der Vollständigkeit der Kontextkontrollen wird deutlich, wenn man die Komplexität der Endpoint-DLP-Architektur betrachtet. Die größten Schwachstellen für Datenlecks am Endpoint-Computer sind:
-
das Firmennetz (LAN, WAN, W-LAN),
-
die Wechseldatenträger und Plug-and-Play-Geräte,
-
die Datensynchronisation mit lokal angeschlossenen Smartphones/PDAs,
-
die Druckeranbindung.
Jeder dieser Übertragungswege ist eine Ansammlung von mehrschichtigen physikalischen und logischen Schnittstellen, anschließbaren Geräten, Anwendungen und Systemfunktionen, den verwendeten Dateiformaten und dem Informationsinhalt. Im Endpoint-DLP-Prozess wird zuerst das angeschlossene Gerät oder die Netzverbindung genau definiert und auf Interface-Ebene genehmigt. Der DLP-Agent ordnet dann der Verbindung die jeweilige zuständige Anwendung oder den zuständigen Service zu, um die Art des Übertragungswegs zu bestimmen und, falls notwendig, kontrollierend einzugreifen. Anschließend werden Charakteristika der übertragenen Daten, etwa das Dateiformat, erfasst. Dies ist notwendig für die Analyse der Textinhalte. Wenn diese Konfigurationen getroffen sind, startet die Content-Filtering-Engine.
Foto: Device Lock
Jedes fehlende "Puzzleteil" in der Endpoint-Kontextkontrolle reduziert die Wirksamkeit des Content Filtering im Netz und wirkt sich letztlich auf andere Bereiche aus. Der Grund: Durch die Diskrepanz entstehen gefährliche Inkonsistenzen in der gesamten Durchsetzung von DLP-Richtlinien. Das kann sogar dazu führen, dass bestimmte Datenlecks nicht erkannt werden.
Eine Schwachstelle von vielen Endpoint-DLP-Lösungen ist die unvollständige Kontextkontrolle beim Druckvorgang. Vielfach werden nur per USB angeschlossene Drucker am Endpoint-Computer erkannt. Wenn Unternehmen dann zum Beispiel die DLP-Richtlinie festlegen, dass als vertraulich oder geheim eingestufte Dokumente nicht über lokale oder am Netzwerk angeschlossene Drucker ausgedruckt werden dürfen, verhindern sie den Datenmissbrauch keineswegs. Alle per LPT oder FireWire sowie über das Netzwerk angeschlossenen Drucker werden nicht als "druckbereite Geräte" identifiziert. Dementsprechend wendet die DLP-Lösung fälschlicherweise Zugangsrichtlinien für einen Port-basierten Zugang an, die nichts mit dem eigentlich erforderlichen Umgang mit für den Druck bestimmten Daten zu tun haben. Auch das Dateiformat der Druckdaten wird nicht erkannt und kein Text zur Filterung des Inhalts entnommen. So können Anwender beliebige Dokumente ungehindert über die LPT- oder FireWire-Anschlüsse sowie über Netzdrucker ausgeben. Es sei denn, alle lokalen Nicht-USB-Ports der Endpoint-Computer sind vollständig blockiert und die Netzverbindung per Firewall abgeriegelt.
Unternehmen sollten sich deshalb der gegenseitigen Abhängigkeit von inhaltsbasierten DLP-Anwendungen und möglichst lückenlosen kontextbasierten DLP-Kontrollen bewusst werden, und zwar auf allen Ebenen und Übertragungswegen am Endpoint-Computer. Nur so können sie ihre Informationen optimal gegen Datenmissbrauch schützen.
Praxis-Tipps
Endpoint-DLP-Lösungen werden zunehmend auch in kleinen und mittleren Unternehmen eingesetzt. Bei der Wahl einer Endpoint-DLP-Lösung sollten Unternehmen einen ausführlichen Anforderungskatalog erstellen und mit dem Risiko von Datenverlusten durch internes Fehlverhalten abgleichen. Dabei ist sicherzustellen, dass die kontextbasierten DLP-Kontrollen der Anwendungen wirklich alle denkbaren Szenarien für Datenlecks im Risikoprofil erfassen und abdecken. Erst nachdem ein ausgewogenes Maß an kontextbasierter Kontrolle erreicht ist, kann mit Entwicklung der Content-Filtering-Funktionen begonnen werden. Dafür stehen zahlreiche Technologien zur Auswahl: Wortmuster, oft verwendete Ausdrücke, "digitale Fingerabdrücke", konzeptuelle und lexikalische Analysen, Clustering, um nur einige zu nennen.
Resümee
Die erhältlichen Datensicherungsprodukte unterscheiden sich deutlich - sowohl in der Leistungsfähigkeit als auch im Preis. Daher sollten Unternehmen genau abwägen, was sie, auch mit Blick auf die Datenschutzrichtlinien, brauchen. Unter dem Strich besteht kein Widerspruch zwischen Inhaltsfilterung (Content Filtering) und kontextbasierter Datenkontrolle. Vielmehr müssen die beiden Techniken zusammenwirken, damit DLP-Lösungen zuverlässig arbeiten.