Data Leakage Prevention

DLP: Schutz vor ungewolltem Datenabfluss

02.12.2011
Von 
Uli Ries ist freier Journalist in München.

DLP-Einführung mit Hürden

Dreiklang: DLP-Lösungen – nicht nur die in der Grafik dargestellte von Symantec – bestehen in der Regel aus den Modulen zur Datenerfassung (Discover), Überwachung (Monitor) und Blockieren (Protect). (Quelle: Symantec)
Dreiklang: DLP-Lösungen – nicht nur die in der Grafik dargestellte von Symantec – bestehen in der Regel aus den Modulen zur Datenerfassung (Discover), Überwachung (Monitor) und Blockieren (Protect). (Quelle: Symantec)

So unterschiedliche die technischen Ansätze der Anbieter sind, eines ist allen DLP-Projekten gemeinsam: Die Projekte sind sehr langfristig, ziehen sich manchmal bis zu 18 Monate lang hin und werden dementsprechend teuer. Für kleinere Unternehmen kommt DLP daher selten in Frage. Die eigentliche Installation ist dabei schon binnen weniger Tage über die Bühne, das Erstellen des Regelwerks inklusive. Symantecs-DLP-Fachmann Alexander Haug erzählt, dass viele seiner Kunden die Data-Loss-Prevention-Lösung etliche Monate lang mit angezogener Handbremse betreiben: Die Technik protokolliert sämtliche Verstöße gegen die vom Kunden gewünschten und vom Dienstleister in der DLP-Technik hinterlegten Regeln, unterbindet den Datenabfluss aber nicht sofort. Erst nach weiterem Feinjustieren und klärenden Gesprächen mit den Mitarbeitern wird die DLP-Lösung scharf geschaltet und blockiert sämtliche, die Regeln verletzenden Datentransfers. Manchmal bleibt es auch bei der reinen Monitoring-Lösung, die zum Blockieren nötige Hardware wird niemals angeschafft. Das ist laut Haug typischerweise dann der Fall, wenn keine gravierenden Schäden durch Datenpannen zu befürchten sind, sondern lediglich Vorgaben wie Basel II, Sarbanes-Oxley oder lokalen Gesetzen Genüge getan werden soll.

Haugs Kollege Rolf Haas vom Symantec-Mitbewerber McAfee erklärt, warum DLP-Projekte so langwierig sind: „Insbesondere in Ländern wie Deutschland gilt es, nicht nur die von der Unternehmensleitung als relevant befundene Daten zu schützen. Gleichzeitig müssen sich laufend ändernde gesetzliche Vorgaben genauso beachtet werden wie unternehmensspezifische Firmenvereinbarungen und mit dem Betriebsrat getroffene Vereinbarungen.“ Diese Mammutaufgabe ist laut Haas nur durch einen Dienstleister zu erledigen – wodurch die Projektkosten wieder steigen. Denn die Investition in Lizenzen und Hardware sind dem Experten zufolge meist erheblich geringer als die Kosten für externe Berater. Ist die Lösung einmal eingeführt, gilt die Faustregel: Pro 30.000 Mitarbeiter muss sich ein Vollzeit-Administrator um das DLP-System kümmern.

Haas hat aber auch ein Beispiel parat, das vor allem kleineren Unternehmen Hoffnung machen sollte. So hat McAfee ein DLP-Projekt bei einem bayerischen Mittelständler umgesetzt, bei dem tatsächlich nur Lizenzen und Hardware verkauft wurden. Sämtliche Anpassungen im Betrieb, das Verfeinern der Regeln und das Auswerten der Logdateien wurden von einem einzigen, festangestellten Mitarbeiter des Unternehmens erledigt. Laut Haas war das Projekt so erheblich günstiger als vergleichbare, mit Dienstleistern abgewickelte DLP-Einführungen. Möglich war die Inhouse-Lösung aber wohl nur, da es lediglich um den Schutz der Daten ging und keinerlei komplexe (rechtliche) Vorgaben zu beachten waren.