Nicht erst seitdem der Verfassungsschutz darauf aufmerksam gemacht hat, dass 70 Prozent der Datendiebe nicht außerhalb, sondern innerhalb der Unternehmen sitzen, sollte Sicherheitsverantwortlichen eigentlich klar sein, dass sie sich mindestens genauso stark um den Schutz vor ungewolltem Datenabfluss von innen kümmern müssen. Dennoch wird diese Gefahr oftmals noch unterschätzt.
Innentäter kann jeder sein - egal ob Administrator oder Manager. Vielleicht wollen sie, beispielsweise aus Unzufriedenheit mit ihrem Arbeitgeber, dem Unternehmen schaden. Es muss aber auch nicht einmal böse Absicht dahinter stecken. Es genügt schon, wenn sich ein Mitarbeiter aus Versehen bei einer E-Mail-Adresse vertippt, und vertrauliche Informationen gelangen in die falschen Hände.
Um Innentätern keine Chance zu geben, respektive eine versehentliche Weitergabe geheimer Daten zu verhindern, empfiehlt sich daher der Einsatz einer Data-Loss-Prevention (DLP)-Lösung. Sie erkennt und verhindert die nichtautorisierte Weitergabe vertraulicher Dokumente und sorgt so für eine höhere Datensicherheit. Dabei gibt es einige Punkte, die bei der Auswahl und Implementierung einer DLP-Lösung besonders wichtig sind.
Digitaler Fingerabdruck
Daten werden mit einem "digitalen Fingerabdruck" versehen und gegebenenfalls auch verschlüsselt. Nur autorisierte Empfänger können dann mithilfe des notwendigen Schlüssels die Daten auslesen und darauf zugreifen. Wichtig ist in diesem Zusammenhang die Frage, wer über sensible Daten verfügen darf und wohin sie überhaupt geschickt werden dürfen. Die DLP-Lösung sollte zudem Missbrauchsfälle erkennen: Wenn beispielsweise eine unbefugte Person aus einem Verkaufsdokument wichtige Daten per Copy&Paste extrahieren möchte, sollte hierfür eine Sperre im System installiert sein. Das gleiche gilt für jegliche Formen von Datenträgern oder USB-Sticks, auf die Daten kopiert werden können.
Einheitliche Sicherheitsstandards für alle Geräte
Wenn der Außendienstmitarbeiter zum Beispiel im Home Office beschäftigt ist und von zuhause auf das Firmennetzwerk zugreifen möchte, sollten die Daten genauso geschützt sein, als ob er sich im Unternehmen befände. Dasselbe gilt, wenn er mit seinem Smartphone am Flughafen wichtige E-Mails empfängt oder versendet. Auch bei Bring Your Own Device (BYOD) gilt: Die genutzten Privatgeräte müssen denselben Sicherheitsbestimmungen wie das IT-Inventar im Büro unterliegen. Die ideale Sicherheitslösung muss also alle unternehmenskritischen Daten schützen, unabhängig davon, wo sich der Nutzer befindet und welche Geräte er verwendet. Das gilt übrigens auch bei lokaler Nutzung, wenn keine Verbindung zum Unternehmensnetz besteht.
Korrekte Erkennung des Empfängers
Die Klassifizierung des Empfängers ist der Schlüssel, um den Verlust sensibler Daten mit einem Minimum an false-positives zu verhindern. Die DLP-Lösung sollte dabei so intelligent sein, die Vertrauenswürdigkeit richtig einschätzen zu können. Die DLP-Lösung sollte auch das Kommunikationsmedium richtig einstufen können. Zum Beispiel repräsentiert das Senden von vertraulichen Daten über einen Mail-Account eine kleinere Gefahr als dieselben Daten an eine Social-Networking-Site zu schicken. Eine DLP-Lösung sollte daher nicht nur Datenverluste verhindern können, sondern auch potenzielle Datenverluste via Web rechtzeitig erkennen und den Nutzer gegebenenfalls darauf hinweisen. Das verringert wiederum den Verwaltungsaufwand.
False-positive-Raten überprüfen
Eine möglichst geringe Zahl von fälschlich erkannten Datenlecks ist zwar eine wichtige Kenngröße für die Effektivität einer Datenschutzlösung. Viele Anbieter von DLP-Lösungen geben aber absichtlich eine niedrigere Rate an, als es das System in Wirklichkeit liefern kann. Es ist daher empfehlenswert, diese Angaben in der Praxis zu überprüfen. Eine moderne DLP-Lösung ist darüber hinaus in der Lage, verschiedene Erkennungsmuster zu bieten. Aktuelle Technologien gehen dabei über eine simple Texterkennung hinaus und nutzen eine voll ausgestattete script-basierte Erkennung von Inhalten, die zusätzlich durch eine einfache Mustererkennung ergänzt wird.
Einfache Konfiguration
Um die Komplexizität so gering wie möglich zu halten, sollte im Idealfall eine DLP-Komplettlösung verwendet werden, die auf einer einheitlichen Architektur basiert. Das macht sich auch in niedrigeren Kosten für die IT bemerkbar, denn dann reicht in der Regel ein einziger Server oder eine einzige Appliance aus, die nur im Bedarfsfall erweitert werden muss. Lösungen, die aus einer Vielzahl von Einzelprodukten bestehen, benötigen auch immer mehrere Geräte, verbrauchen mehr Platz, sind schwieriger zu implementieren und erfordern einen höheren Administrationsaufwand.
Eine gut durchdachte DLP-Lösung sollte auch skalierbar sein und sich problemlos an die unterschiedlichen Anforderungen eines Unternehmens anpassen lassen. Dazu gehören auch Vorschriften für den Datenschutz, die je nach Benutzerprofil verändert werden können. So sollte ein Außendienstmitarbeiter zum Beispiel andere Rechte zum Versenden von wichtigen Verkaufsdokumenten erhalten als der Chef des Unternehmens.
Eine gute Lösung sollte auch eine umfangreiche Ausstattung an sofort einsatzfähigen Sicherheitsrichtlinien enthalten. Das ermöglicht Unternehmen einen schnellen Einstieg und effiziente Administration. Da jedes Unternehmen unterschiedliche schützenswerte Daten besitzt, werden spezielle kundenspezifische Nutzerprofile benötigt. Die DLP-Lösung sollte beim Erstellen und Testen dieser Profile behilflich sein.
Fazit
Im Idealfall sollte eine DLP-Lösung eine allumfassende Sicherheit bei der Erkennung von Datenlecks bieten. Besonders wichtig ist zunächst die Kenntnis, wo im Unternehmen sensible Daten einem Risiko ausgesetzt werden und auf welchen Wegen sie das Unternehmen verlassen. Dann gilt es, die fahrlässige Weitergabe und den Diebstahl unternehmenskritischer Daten über alle Kommunikationswege wirksam zu verhindern, und somit potenziellen Innentätern das Handwerk zu legen. (bw)