2007 kamen mehr personenbezogene Daten abhanden als je zuvor: Nach der "2007 Breach List" des amerikanischen Identity Theft Resource Center (ITRC) wurden allein in den USA 128 Millionen Datensätze kompromittiert. Weltweit, so schätzt die Attrition.org, eine Expertengruppe für Sicherheit im Internet, gingen im vergangenen Jahr vertrauliche Informationen von rund 162 Millionen Personen verloren - gut dreimal so viele wie im Vorjahr (49 Millionen). Davon entfielen 94 Millionen Daten auf den rekordverdächtigen Diebstahl von Kreditkarteninformationen bei dem US-Handelskonzern TJX, der den Discounter mehr als 118 Millionen Dollar gekostet haben soll.
Hier lesen Sie …
warum sich Firmen zunehmend mit dem Thema "Data Leakage Protection" befassen;
wie sich die großen Security-Anbieter dafür rüsten;
wie sich der DLP-Markt entwickelt.
Die Attrition-Experten führen den bisherigen Rekord in Sachen Datenverlust vor allem auf die explosionsartige Zunahme der von Unternehmen erstellten persönlichen Daten zurück. Aber auch neue Kommunikationsprozesse und die im Zuge des interaktiven Web 2.0 zunehmende Öffnung der Firmennetze gegenüber Kunden und Partnern erhöhen Anzahl und Vielfalt potenzieller Datenlecks.
Dateninkontinenz - ein teures Leiden
Parallel dazu wird der Verlust sensibler Informationen immer kostspieliger: Laut Ponemon Institute schlug ein einziger kompromittierter Datensatz im vergangenen Jahr im Schnitt mit 197 Dollar (2006: 182 Dollar) zu Buche, während die durchschnittlichen Gesamtkosten von Datenverlusten seit 2006 von 4,8 Millionen auf 6,3 Millionen Dollar gestiegen sind. Gartner schätzt deren jährlichen Zuwachs auf rund 20 Prozent.
Angesichts dieser Zahlen erstaunt es wenig, dass sich Unternehmen neben der Absicherung ihrer IT-Infrastruktur gegen externe Angreifer auch eingehender damit befassen, wie sie sich gegen die intern verursachte, versehentliche oder böswillige Preisgabe vertraulicher Kunden- und Mitarbeiterdaten schützen können. Laut einer Umfrage der auf DLP spezialisierten Kaspersky-Tochter Infowatch im vergangenen Jahr messen Europas IT-Profis internen Risiken inzwischen sogar größere Bedeutung bei als von Hackern und Malware ausgehenden Gefahren. Demnach erachten die Firmen Datendiebstahl (78 Prozent) als primäre IT-Bedrohung. An zweiter Stelle steht die Fahrlässigkeit der Angestellten (65 Prozent), gefolgt von Gefahren durch Viren (49 Prozent) und Hacker (41 Prozent). Am stärksten sehen Unternehmen die interne Datensicherheit durch den Verlust vertraulicher Informationen (93 Prozent) sowie deren Verfälschung (85 Prozent) bedroht. Als primäre Abflusskanäle erachten die befragten IT-Verantwortlichen tragbare Speichermedien (69 Prozent) wie USB-Sticks, Notebooks und E-Mail (65 Prozent) und das Internet beziehungsweise Web-Mail und Foren (58 Prozent). Zu den schlimmsten Folgen eines Datenverlusts gehören aus Sicht der IT-Profis die Schädigung des Firmen-Images und die Abwanderung von Kunden.
Der Schutz vor Datenabfluss hat viele Namen
"Data Leakage Protection", "Data Loss Prevention", "Anti-Data Leakage", "Insider-Threat Protection", "Outbound Content-Management" oder "Data Extrusion Prevention" - für den Schutz vor unerwünschtem Datenabfluss kursieren nahezu ebenso viele Bezeichnungen wie es Arten und Wege gibt, auf denen kritisches Datengut ein Unternehmen verlassen kann. Grundsätzliches Ziel dieser Produkte ist es, sensible Informationen in Firmennetzen und Speichersystemen zu identifizieren und ihre Nutzung und Verbreitung zu kontrollieren.
DLP umfasst Werkzeuge, die zum einen Daten auf Endgeräten absichern, zum anderen am Netz-Gateway den ausgehenden SMTP- sowie http-Verkehr kontrollieren und auf Policy-Verstöße im Umgang mit sensiblen Informationen filtern. Drittens sollen die Tools Inhalte in jeglichen Speichersystemen (von E-Mail-Inboxen bis hin zu Backend-Archivierungssystemen) überwachen. Zu den Kernfunktionen der CMF/DLP-Lösungen (Content-Management and Filtering) zählt Gartner neben Deep-Packet-Inspection und Session-Tracking über simples Keyword-Matching hinausgehende linguistische Analysefähigkeiten, die es ermöglichen, gemäß vordefinierten Regeln die Nutzung (etwa Speicherung, Ausdruck und Weitergabe) bestimmter Inhalte zu erkennen, zu kontrollieren und gegebenenfalls zu blockieren.
Unabhängig von ihrer technischen Umsetzung, ob als reine Software-Tools, als Appliance oder Host- beziehungsweise agentenbasierende Lösung, scannt das Gros der derzeit erhältlichen DLP-Produkte in Bewegung befindliche Daten ("Data in motion"), also Informationen, die das Unternehmen etwa via E-Mail, Instant Messaging (IM) oder als Kopie auf Wechselspeichermedien verlassen. Doch gibt es auch Lösungen, die ruhende Daten ("Data at rest") beziehungsweise im Unternehmen gespeicherte Informationen in das Überwachungskonzept einbeziehen. Dieser Ansatz soll Firmen dabei helfen, nicht nur Daten auf dem Weg nach außen, sondern sämtliche in ihrem Besitz befindlichen Informationen, für die sie nicht zuletzt aus Compliance-Gründen verantwortlich sind, zu schützen.
DLP: Die Security-Branche rüstet auf
Angesichts der zunehmenden Sensibilisierung der Unternehmen für den Schutzbedarf ihrer Informationen ist das noch junge, stark wachsende DLP-Segment mittlerweile ein heiß umkämpftes Terrain: Gartner schätzt das Volumen des weltweiten CMF/DLP-Markts derzeit auf 100 bis 150 Millionen Dollar (2006: rund 50 Millionen Dollar). Blut geleckt haben insbesondere die Schwergewichte unter den Security-Anbietern, die in den vergangenen zwölf Monaten insgesamt gut 1,6 Milliarden Dollar in den Zukauf entsprechender Techniken investiert haben. "Das Thema DLP wurde im vergangenen Jahr vor allem durch die drei ehemaligen Virenschutzanbieter McAfee, Symantec und Trend Micro, die sich mittlerweile stark in Richtung Endpoint-Protection orientieren, vorangetrieben", so Wolfram Funk, Senior Advisor bei der Experton Group.
McAfee hat bereits 2006 mit dem Kauf von Onigma den Grundstein für sein DLP-Angebot gelegt. Die mit der israelischen Softwareschmiede erworbene Software kontrolliert beziehungsweise unterbindet das unerlaubte Verschicken von Informationen via E-Mail oder IM sowie Ausdrucke oder das Kopieren auf mobile Datenträger. Nicht zuletzt auf Grundlage dieser Technik bietet McAfee mittlerweile unter dem Namen "Data Loss Prevention" sowohl ein Host-basierendes System zur Kontrolle des Datengeschehens auf Endgeräten als auch eine auf Netzebene agierende Gateway-Lösung zum Schutz vor unerwünschtem Datenabfluss an. Die Produkte des im Herbst 2007 übernommenen, auf Geräte-, Festplatten- und Content-Verschlüsselung spezialisierten Anbieters Safeboot sollen das DLP-Angebot abrunden.
Trend Micro gibt sein DLP-Debüt
Mit der Akquisition von Provilla und dessen Software "Leakproof" im vergangenen Oktober ist auch Trend Micro auf den DLP-Zug aufgesprungen. Die auf Endpunkten wie Laptops installierten Leakproof-Agenten nutzen eine Fingerprinting-Technik namens "DataDNA", um zu verhindern, dass sensible Daten aus dem Firmennetz geschleust beziehungsweise vertrauliche Informationen ausgedruckt oder auf unautorisierte Geräte wie USB-Sticks kopiert werden. Die zunächst weiterhin als Einzelprodukte erhältlichen Provilla-Techniken sollen mittelfristig auch in das bestehende Trend-Micro-Portfolio einfließen.
Vorrangiges Ziel der seit Anfang 2008 verfügbaren DLP-Lösung "Leakproof 3.0" ist, die Anwender dazu zu erziehen, dass sie Datenlecks und andere aus Unachtsamkeit verursachte Sicherheitsbedrohungen bereits im Ansatz verhindern. So sollen IT-Administratoren damit Content-sensitive Dialogfelder definieren können, die auf dem Bildschirm des Anwenders erscheinen und ihn über den angemessenen Umgang mit vertraulichen Daten informieren. Zudem lassen sich Policies festlegen, nach denen der Benutzer bei bestimmten Vorgängen dazu aufgefordert wird, die involvierten Daten zu verschlüsseln oder die jeweilige Aktion zu rechtfertigen. So genanntes PC/LAN Boundary Filtering an den Grenzen des Endpoint soll es ferner ermöglichen, dass sensible Daten nicht erst an den Grenzen des LAN, sondern bereits beim Verlassen des PC herausgefiltert werden.
Symantec zieht mit Vontu nach
Um mit der Konkurrenz Schritt zu halten, hat sich Symantec im November 2007 einen besonders dicken DLP-Fisch geangelt: Mit Vontu - laut Gartner einem der führenden Anbieter im Markt für Datenschutz- und -kontrolllösungen - legte sich der Sicherheitsanbieter eine Reihe von Produkten zu, die sowohl den Mail-, Web- oder IM-Verkehr sowie den File-Transfer im Netz überwachen als auch auf Endgeräteebene die unautorisierte Weitergabe vertraulicher Informationen verhindern. Darüber hinaus umfasst das Vontu-Angebot zentrales Policy-Management und eine Data-Discovery-Lösung, die Firmen Anhaltspunkte dazu liefern soll, wo kritische Inhalte gespeichert sind, um eventuelle Datenlecks in File-Servern, Datenbanken, Dokumenten-Management-Systemen sowie Laptops und Desktops abzudichten. Die noch als Stand-alone-Lösungen verfügbaren Vontu-Techniken sollen Schritt für Schritt auch in Symantecs bestehende Endpoint-Security- und Netzsicherheitsportfolios sowie die Backup- und Speicherprodukte "Netbackup" und "Enterprise Vault" integriert werden. Parallel dazu ist das nun als Teil von Symantecs "Security and Data Management Group" agierende Vontu-Team mit der Weiterentwicklung von Vontus Produktsuite "DLP 8" betraut, die Symantec bereits seit geraumer Zeit als Add-on zu seiner Appliance-Reihe "Mail Security 8300" anbietet. Die jüngste Version der Vontu-Software ist laut Anbieter in der Lage, nicht nur das Datengeschehen auf Endgeräten zu überwachen, sondern mittels Deep-Content-Inspection etwa auf PCs und Laptops befindliches sensibles Datengut zu identifizieren, um dann zu verhindern, dass es als Kopie etwa auf Wechselspeichermedien aus dem Unternehmen geschleust wird.
EMC/RSA verstärkt sich mit Tablus
Neben dedizierten Sicherheitsanbietern streckt auch die Speicherbranche ihre Fühler nach dem viel versprechenden DLP-Segment aus. Für EMC/RSA stellt die letztjährige Akquisition des DLP-Anbieters Tablus eine Hauptkomponente der angestrebten "Information Centric Security" dar. "Perfekte Sicherheit werden wir nie haben, aber wir können es Mitarbeitern beziehungsweise Datendieben erschweren, Informationen zu verlieren oder zu stehlen", erläutert Arthur Coviello, Executive Vice President bei EMC/RSA, die Strategie seines Unternehmens.
Überlegen durch koordinierten Ansatz
Mit der Tablus-Technik (jetzt: "RSA DLP Version 6") habe EMC/RSA nicht nur die Fähigkeit erworben, Daten aufzuspüren und zu klassifizieren und den Datenfluss mittels Agenten im Netz und auf dem Desktop zu überwachen, sondern auch die Möglichkeit, um das Monitoring herum Policy-Enforcement-Mechanismen zu entwickeln. Was den DLP-Ansatz des Storage-Riesen nach Ansicht des Managers von den Strategien anderer Anbieter abhebt: Zum einen könne EMC/RSA Verschlüsselung zur Durchsetzung firmenspezifischer und gesetzlicher Vorgaben sowie Techniken zur Schlüsselverwaltung bieten, zum anderen verfüge die Tablus-Engine auf Netz- wie auf Desktop-Ebene über ungleich ausgefeiltere Monitoring-Funktionen. "Das ermöglicht einen koordinierten Ansatz, der uns hier stärker macht als andere", statuiert Coviello.
Andere in den Bereichen E-Mail- und Content-Security agierende Anbieter wie Clearswift und Cisco mit dem "Ironport" adressieren den augenscheinlichen Datenschutzbedarf der Unternehmen entweder mit Punktlösungen oder reichern ihre Produkte um DLP-Funktionen an. Vor allem der Web-Filtering-Spezialist Websense hat sich durch den Kauf von Portauthority im Markt für "Data-centric Content Control" verstärkt und bietet mittlerweile Lösungen zur Überwachung bewegter wie ruhender Daten an.
Infowatch setzt auf "DLP only"
Doch es gibt auch Anbieter wie beispielsweise Infowatch, die sich ausschließlich mit dem Thema DLP befassen. Mit ihrem jüngsten Produkt "Traffic Monitor 3.0" bietet die Kaspersky-Tochter eine modular aufgebaute Perimeter-Lösung gegen den Abfluss vertraulicher Informationen über Kanäle wie E-Mail, Internet, ISQ, Drucker und Wechseldatenträger an. Dank dem neuen Verfahren "Post-Analyse" soll das System zudem komplexe Verbindungen zwischen Datenobjekten, Ereignissen und Anwendern erkennen und so helfen, den Verursacher eines Datenverlusts zu ermitteln, um die Sicherheitslücke schneller zu schließen.
Reif für DLP?
Anbieter von "Data Leakage Protection" (DLP) sind übernommen worden, andere dürften folgen. So stellt sich für Anwender die Frage nach dem richtigen Zeitpunkt, zu dem sie Produkte zum Schutz gegen unerwünschten Datenabfluss kaufen sollten.
Rich Mogull, Chef des Sicherheitsberatungsunternehmens Securosis, empfiehlt Unternehmen, die Investitionsentscheidung weniger von den Bewegungen des jungen DLP-Markts als vielmehr von der eigenen Reife abhängig zu machen. Wer von einer DLP-Investition wirklich profitieren will, muss als Organisation darauf vorbereitet sein, gibt der ehemalige Gartner-Analyst zu bedenken.
Anders als viele andere Sicherheitsprodukte ließen sich DLP-Lösungen nicht losgelöst vom Geschäft betreiben: Nicht nur sollten diese Produkte sensible Daten schützen, die das Business zunächst definieren muss. Um Policies zum Umgang mit kritischen Informationen zu erarbeiten und gegen Regelverstöße vorzugehen, müssten Security- und Fachabteilungen zusammenarbeiten. Zudem, so Mogull, gelte es zu berücksichtigen, dass DLP-Produkte zwar bedingt vor Datendiebstahl schützen, sich aber primär dazu eignen, fehlerhafte Geschäftsprozesse zu identifizieren und so die versehentliche Preisgabe vertraulicher Informationen zu erkennen und zu verhindern.
-
Wer den Kauf einer DLP-Lösung in Erwägung zieht, sollte dem Experten zufolge bereits wissen,
-
welche Inhalte zu schützen sind,
-
wie diese Daten genutzt werden dürfen,
-
wie Regelverstöße gehandhabt werden sollen und
-
wer für Handhabung und Untersuchung von Policy-Verstößen verantwortlich ist.
Laut Experton-Consultant Funk dürfte sich der letztjährige Konsolidierungstrend in dem primär Emerging Vendors vorbehaltenen DLP-Markt im laufenden Jahr weiter fortsetzen: "Die Angebote werden voraussichtlich in anderen Lösungen aufgehen und nicht als eigenständiges Marktsegment bestehen bleiben." Zwar müssten die großen Security-Anbieter in Sachen DLP-Integration noch ihre Hausaufgaben machen, für erste Produktevaluierungen sei 2008 jedoch das richtige Jahr.