Data Loss Prevention Software

Was Sie über DLP wissen müssen

22.02.2021 von Josh Fruhlinger und Florian Maier

Data Loss Prevention Software ist alles andere als der neueste Schrei. Dennoch spielt DLP weiterhin eine wichtige Rolle beim Schutz unternehmenskritischer Daten. Wir sagen Ihnen, was Sie zum Thema wissen müssen.

Data Loss Prevention ist eigentlich ein alter Security-Hut - gewinnt im Daten(schutz)zeitalter jedoch zunehmend an Bedeutung. Wir sagen Ihnen, was Sie zum Thema DLP wissen müssen.
Foto: optimarc - shutterstock.com

Totgesagte leben länger: CSO-Kolumnist Jon Oltsik kam bereits im Jahr 2010 zu dem Schluss, dass Data Loss Prevention (DLP) veraltet ist und im Grunde "weg kann". Dennoch hat sich die Technologie bis heute im Unternehmensumfeld gehalten. Das liegt auch daran, dass immer mehr Firmen ihre Geschäftsmodelle um die Sammlung und Analyse von Daten herum aufbauen. Entsprechende Abwehrmaßnahmen zu implementieren, um diesen Mehrwert auf allen Ebenen schützen zu können, ist dabei essenziell. In diesem Artikel lesen Sie unter anderem, was Data Loss Prevention ist, wie es funktioniert, wo es zum Einsatz kommt und zu welchem Zweck.

Data Loss Prevention - Definition

Data Loss Prevention ist ursprünglich ein Marketing-Begriff und bezeichnet ein Set von Methoden (und Produkten), die sensible oder kritische Unternehmensdaten vor dem Zugriff durch Unberechtigte schützt. DLP-Software soll in erster Linie unerwünschten Datenabfluss verhindern.

DLP-Software - Use Cases

DLP-Anbieter Digital Guardian stellt drei wesentliche Einsatzfelder für Data Loss Prevention heraus:

Schutz persönlicher Informationen und Einhaltung von Compliance-Vorgaben: Viele Firmen sitzen auf massiven Datenbanken mit potenziell sensiblen Inhalten. Der Abfluss von Kundendaten oder finanziellen Informationen könnte immensen Schaden anrichten. Nicht zuletzt bestehen auch rechtliche Verpflichtungen, diese Daten umfassend zu schützen - von HIPAA über DSGVO bis hin zu CCPA.
Schutz geistigen Eigentums: So gut wie jedes Unternehmen verfügt über geistiges Eigentum oder Geschäftsgeheimnisse, die nicht in falsche Hände geraten dürfen. Data Loss Prevention hat zum Ziel, diese Daten vor Industriespionage oder einer versehentlichen "Onlineveröffentlichung" zu bewahren.
Neue Einblicke in Datenbestände: Wer seine Daten wegsperren will, muss erst einmal wissen, wo welche Daten in der IT-Infrastruktur liegen und wie sie zusammenhängen. Im Zeitalter der Public- und Hybrid-Cloud-Modelle kann das zu einer komplexen Aufgabe werden. DLP-Tools können bei deren Lösung unterstützen, da sie einen übergeordneten Einblick in die Daten-Infrastruktur ermöglichen.

DLP - Zahlen und Fakten

Das Jahr 2019 gilt im Hinblick auf Datenlecks als eines der bisher schlimmsten: Mehr als vier Milliarden Datensätze wurden im Rahmen von Hacks und Leaks im Netz veröffentlicht. Laut einer Untersuchung von IBM liegen die durchschnittlichen Kosten für einen Data Breach in den USA bei fast vier Millionen Dollar.

Neben den steigenden Kosten und der erhöhten Frequenz von Cyberangriffen hat Digital Guardian weitere Gründe dafür identifiziert, warum immer mehr Unternehmen auf Data Loss Prevention Services zurückgreifen: Dazu gehören beispielsweise die Verpflichtung, Compliance-Vorgaben zu erfüllen, aber auch die zunehmende Stärkung der Rolle des CISOs, der in ständigem Austausch mit dem C-Level steht und sowohl IT-Security-Themen als auch dem Datenschutz die nötige Sichtbarkeit verleiht. Zudem wird DLP Software heute oft als Hosted Service angeboten, was die Technologie für Firmen interessant macht, die nicht die nötigen Inhouse Ressourcen aufbringen können, um eigene Data-Loss-Prevention-Richtlinien zu etablieren.

Data Loss Prevention - Funktionsweise

Wie auch in diesem Blogbeitrag zu lesen, lassen sich Data-Loss-Prevention-Lösungen zwei grundlegende Funktionen zuschreiben: sensible, schützenswerte Daten zu identifizieren sowie deren Abfluss beziehungsweise Kompromittierung zu verhindern. Der Teufel liegt dabei wie so oft im Detail, denn sensible Daten zu identifizieren, kann aufgrund deren unterschiedlicher Zustände innerhalb der Infrastruktur zur Herausforderung werden. Dabei unterscheidet man:

Daten in Benutzung: Aktive Daten in RAM, Cache oder CPU-Registern.
Daten in Bewegung: Informationen die mit Hilfe eines (internen, gesicherten oder auch öffentlich über das Internet zugänglichen) Netzwerks übertragen werden.
Daten im Ruhezustand: In Datenbanken, Dateisystemen oder Backup-Lösungen gespeicherte Informationen.

Enterprise-DLP-Lösungen sind im Regelfall umfassende Tools, die Daten in jedem dieser Zustände schützen. Integrierte DLP-Lösungen fokussieren dagegen möglicherweise auf nur einen bestimmten Status. Der Microsoft Exchange Server bietet beispielsweise DLP-Funktionalitäten, die ganz speziell Datenverlust über E-Mail verhindern sollen. In jedem Fall nutzt Data Loss Prevention Software kleine Programme ("Agents"), um die zugrundeliegenden Daten zu durchsuchen. Dabei kommt eine Vielzahl von DLP-Techniken zum Einsatz, um schützenswerte Daten ermitteln zu können. Der Security-Blog von McAfee nimmt einige gängige Techniken unter die Lupe. Dazu gehören:

Regelbasiertes Matching: Anhand bekannter Muster wird nach Daten gesucht, die bestimmten Mustern entsprechen - eine 16-stellige Zahlenfolge bildet beispeilsweise im Regelfall eine Kreditkartennummer ab.
Database Fingerprinting: Es wird nach spezifischen, bekannten und strukturierten Daten gesucht.
Exact File Matching: Dokumente werden auf Grundlage der ihnen zugeordneten Hash-Dateien untersucht, nicht auf ihre Inhalte.
Partial Document Matching: Auf Grundlage vorher festgelegter Muster werden Dateien gesucht, die teilweise mit den Kriterien übereinstimmen. So können beispielsweise alle Formulare der gleichen Art, die von unterschiedlichen Nutzern ausgefüllt wurden, gefunden werden.
Statistische Analyse: Einige DLP-Lösungen bringen Machine-Learning-Methoden oder Bayessche Statistik zum Einsatz, um sensible Daten zu identifizieren. Um ein solches System zu trainieren, sind große Datenmengen erforderlich - das Risiko von Fehlalarmen bleibt dennoch bestehen.

Data Loss Prevention Software bietet in den meisten Fällen auch die Möglichkeit zur Schaffung eigener, unternehmensspezifischer Suchkriterien. Hat eine DLP-Lösung die entsprechenden Daten gefunden, müssen diese auch gehändelt werden. Dazu sollten Unternehmen eine Data-Loss-Prevention-Strategie aufsetzen, die klare Regelungen darüber enthält, wie mit welcher Art von Daten verfahren wird und wie genau die Verantwortlichkeiten der einzelnen internen und externen Nutzer im Zusammenhang mit diesen Daten aussehen.

Im Idealfall sollte auch die Balance zwischen Datenschutz und Workflow gewahrt werden: Richtlinien, die ihrer Belegschaft das tägliche Business verhageln, sind selten eine gute Idee. Dieser Blogbeitrag gibt Ihnen nützliche Tipps für die Entwicklung einer nachhaltigen DLP Policy im Unternehmen an die Hand.

Die festgelegten DLP-Richtlinien und -Prozesse bilden quasi die technische Umsetzung ihrer Data-Loss-Prevention-Strategie. Die genaue Vorgehensweise ist je nach gewähltem Produkt unterschiedlich. Die entsprechende Dokumentation für Exchange zeigt die Vorgehensweise für die Microsoft-Plattform. Stellt eine DLP-Software einen Verstoß gegen die Richtlinien fest, werden DLP Security-Maßnahmen eingeleitet, um Datenverlust zu verhindern. Werden beispielsweise sensible Daten über das Netzwerk extrahiert, sendet die Software einen Alert an den Administrator, der dann den Zugang zum Netzwerk kappen kann.

DLP Software - Metriken

Wie zuvor bereits erwähnt, ist die zunehmende Bedeutung der CISO-Rolle ein Grund für die Verbreitung von Data Loss Prevention Software. Und es gibt kaum etwas, was auf CISOs attraktiver wirkt, als harte Zahlen, die klipp und klar Auskunft darüber geben, wie die neue Security-Initiative performt. Natürlich ist IT-Sicherheit im Regelfall nur relativ schwer zu quantifizieren - ein Blogpost will hier Abhilfe schaffen und zeigt einige Metriken auf, an denen sich der Erfolg ihres DLP Rollouts messen lässt:

Die Zahl der gestatteten Policy-Ausnahmen: Wurden zu viele Ausnahmen genehmigt, könnte das ein Hinweis darauf sein, dass Ihre Policy zu strikt ist und die Belegschaft bei der Erledigung ihrer täglichen Aufgaben behindert. Oder darauf, dass einige Mitarbeiter Ihre DLP-Richtlinien auf unsichere Art und Weise unterwandern.
Die Anzahl der Fehlalarme: Idealerweise liegt dieser Wert bei Null - in der Praxis ist das allerdings nur schwer zu erreichen. Dennoch ist diese Metrik ein guter Indikator dafür, wie gut ihre Richtlinien und Prozesse ausgestaltet sind. Darüber hinaus gibt die Zahl auch Auskunft darüber, wie gut die DLP Software Ihre Daten analysiert.
Die Antwortzeit im Alert-Fall: Dieser Wert zeigt Ihnen, wie gut die Data-Loss-Prevention-Lösung in ihr Security-Netz integriert ist und ob ihr Sicherheitsteam DLP-Alarmmeldungen ernst nimmt.
Die Anzahl nicht-gemanagter Devices im Netzwerk und die Zahl der nicht mit einem Fingerprint versehenen Datenbanken: Ist eine dieser Zahlen höher als Null, ist der Rollout noch nicht abgeschlossen. Wenn Systeme nach dem DLP-Rollout dazugekommen sein sollten, die nicht erfasst wurden, ist das ein Anzeichen dafür, dass ihre Richtlinien unzureichend ausgestaltet sind, was die Integration in die Infrastruktur angeht.

Aufgaben eines CISO

Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen.

Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren.

Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen.

Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind.

Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat.

Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches.

Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern.

Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.

Data Loss Prevention - Anbieter und Produkte

Ein umfassender Katalog aller Anbieter von Data-Loss-Prevention-Lösungen würde die Kapazität dieses Artikels bei weitem übersteigen. Wir haben deswegen einige wenige, dafür aber populäre Lösungsanbieter und deren Alleinstellungsmerkmale für Sie zusammengestellt:

Check Point: DLP-Funktionalität trifft auf Gateway-Architektur - inklusive der Möglichkeit, TLS-verschlüsselten Traffic über Netzwerk-Gateways zu überwachen;
Digital Guardian: Eine cloudbasierte Plattform die Endpoint Agents und Network Appliances umfasst, um On-Premises-Infrastruktur zu überwachen;
McAfee: DLP-Lösung inklusive IT-Forensik-Optionen;
Forcepoint: Integriert Compliance-Checks und -Reporting;
Symantec: Verschiedene DLP-Module für Cloud, E-Mail, Web, Endpunkte und Storage, die einzeln oder in Kombination nutzbar sind;

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.