Datenlecks stopfen

Wie Reseller den Datenklau verhindern

28.01.2011
Datenlecks sind keine Weltuntergangsszenarien von Schwarzmalern. Wie Reseller ihre Kunden vor derartigen Pannen bewahren können, das schildert Lior Arbel, ist Managing Consultant beim Security-Spezialisten Websense.

Datenlecks sind keine Weltuntergangsszenarien von Schwarzmalern. CDs mit Daten von Steuerflüchtigen oder die weltweit diskutierten WikiLeaks-Coups belegen dies eindrucksvoll. Banken und Versicherungen sind Datendieben aber nicht hilflos ausgeliefert - Schutztechniken stehen bereit. Wie Reseller ihre Kunden vor derartigen Pannen bewahren können, das schildert Lior Arbel, ist Managing Consultant beim Security-Spezialisten Websense.

Der mit mathematischen Methoden erzeugte digitale Fingerabdruck erlaubt eine sofortige Identifizierung der Informationen, auch wenn diese durch Cut-and-Paste in ein neues Dokument oder eine Nachricht eingefügt wurden. (Quelle: Websense)
Foto: Websense

Auch wenn der Bezug zum Webportal WikiLeaks scheinbar abgedroschen ist, er bleibt dennoch aktuell. Denn nach den Diplomaten-Kabeln will Julian Assange, der Kopf hinter WikiLeaks, demnächst Daten aus der Privatwirtschaft veröffentlichen. Genauer: Interna einer US-Bank. Auch zuvor wurde das Portal schon von Whistleblowern ("Flüsterer", "Informant", "Hinweisgeber") aus dem Bankenumfeld mit Informationen versorgt, wie unter anderem die veröffentlichten Dokumente der Schweizer Bank Julius Bär belegen.

All diesen Informationslecks gemeinsam ist die Tatsache, dass es stets Insider waren, die die Daten erst kopierten und dann weiter reichten. Keine ominösen ausländischen Hacker, sondern Mitglieder der eigenen Organisation. Zumindest ist dies der aktuelle Informationsstand.

Für die Security-Dienstleister bedeutet das: Gängige Abwehrmechanismen wie Firewalls, Virenscanner oder Intrusion Detection Systeme (IDS) sind wirkungslos. Denn der Feind sitzt ja - im wahrsten Sinne des Wortes - bereits hiter diesen Verteidigungslinien und muss nicht mühsam von außen per Internet Lücken im Schutzwall aufspüren. Einer Studie des Beratungsunternehmens PriceWaterhouseCoopers zufolge ist der typische Wirtschaftskriminelle in Deutschland Mitte 40, verheiratet und bekleidet seit längerer Zeit eine Führungsposition im Unternehmen. Nicht gerade das gängige Bild eines bösartigen Hackers.

Aus dem "Gefahrenbarometer 2010" der Unternehmensberatung Corporate Trust geht hervor, dass für beinahe 60 Prozent der deutschen Mittelständler die eigenen Mitarbeiter das größte Gefahrpotenzial in Sachen Datenlecks darstellen. Passend dazu blockieren ebenfalls 60 Prozent der Befragten nicht die USB-Schnittstellen an den Unternehmens-PCs und erlauben gleichzeitig quasi uneingeschränkten Internet-Zugang. Selbst, wenn die Angestellten nicht aus Frust oder Geldgier zur Datenschleuder werden, so kann es aus Unachtsamkeit oder Unwissen passieren: Der Mitarbeiter kopiert aus praktischen Gründen relevante Daten auf einen leicht zu verlierenden USB-Stick oder übermittelt die Daten an sein privates Freemail-Konto. Damit sind die an sich vertraulichen Daten auf Servern eines Anbieters gespeichert, der nicht für die Datensicherheit gerade stehen muss.

Technik schafft Abhilfe

Lior Arbel ist Managing Consultant DLP bei Websense
Foto: Websense

Schon seit Jahren gibt es technische Konzepte, um den unerwünschten Datenabfluss aus einem Unternehmensnetz zu verhindern. Zusammengefasst werden die Ansätze unter der Abkürzung DLP, Data Loss Prevention oder auch Data Leakage Prevention. Allen Konzepten der verschiedenen Hersteller gemeinsam ist, dass sie den Datenfluss vom Unternehmensnetz hin zum Internet untersuchen - und nicht umgekehrt. Das heißt, DLP kann nur eine Ergänzung zu klassischen Mechanismen wie Firewalls sein, diese aber nicht ersetzen.

Einige wichtige Punkte muss eine DLP-Lösung auf jeden Fall abdecken. Sie sollte alle relevanten innerhalb gespeicherter Daten (Data at Rest) auf Festplatten und in Datei-Systemen aufspüren. Auch alle sich in Umlauf befindlichen Daten (Data in Motion) innerhalb und außerhalb des Unternehmens werden einem guten DLP-System nicht entgehen. Außerdem gilt es, sämtliche Gebrauchsdaten (Data in Use) in Anwendungen und am Endpunkt ("endpoint") ebenfalls sehr aufmerksam zu beobachten.

Des Weiteren sollte die DLP-Lösung verstehen, was die Daten in Bezug auf Regularien, firmeneigene Daten und interne Richtlinien für den Geschäftsprozess bedeuten und das Abstimmen von Richtlinien mit den Geschäftsprozessen zulassen. Gleichzeitig sollte das System in der Lage sein, einheitliche Richtlinien einzusetzen und Arbeitsabläufe zu aktivieren, die vom Management tatsächlicher oder vermuteter Sicherheitsvorfälle (Incident Management), über die automatisierte Reaktion auf Sicherheitsvorfälle (Incident Response), Mitteilungen und Zusammenfassungen bis hin zu detailliertem Reporting reichen.

Nachdem unternehmenseigene Blogs inzwischen zum guten Ton bei der Unternehmenskommunikation gehören, muss eine zeitgemäße DLP-Lösung die verschiedenen Kategorien der Blogs verstehen und berücksichtigen. Darüber hinaus gilt es, den Nutzer und die Daten in Echtzeit mit ausreichender Genauigkeit identifizieren können, um das unerlaubte Verwenden von vertraulichen Informationen im Blog zu blockieren. Durch korrektes Klassifizieren der Host-Seite, der Reputation und des tatsächlichen Inhalts eines Blogs, sollte die DLP-Lösung verhindern, dass nicht autorisierte Nutzer Zugang zu dem Blog erhalten und ihn manipulieren.

Malware von Websites

Ein erhebliches Bedrohungspotenzial bildet bösartiger Content auf Webseiten. Daher ist insbesondere im Zusammenhang mit Gefahren durch soziale Netzwerke oder andere Web-2.0-Angebote wichtig, dass DLP-Lösungen Webseiten, Web-Content, Applikationen und Malware über die Reputation hinaus versteht. Nur mit diesem Verständnis können Bedrohungen präzise und in Echtzeit geblockt werden: Selbst wenn eine bekannte und vertrauensvolle Seite mit einer guten Reputation gefährdet ist, kann die Bedrohung durch den Echtzeitschutz verhindert werden.

Data Loss Prevention (DLP) sorgt für eine detaillierte Kontrolle von Sicherheitsregeln für Benutzer, Daten, Empfänger und die verschiedenen Kommuni-kationskanäle. (Quelle: Websense)
Foto: Websense

Ebenfalls von Außen droht Gefahr durch die nach wie vor von Angreifern verwendeten E-Mails. Anders als in großflächigen Spam-Kampagnen - die von entsprechenden Filtern in der Regel leicht ausgekontert werden - gehen professionelle Datendiebe immer öfter mit maßgeschneiderten, nur an eine Handvoll Adressaten, verschickten Nachrichten vor, beispielsweise an die Vorständen von Banken und Versicherungen. Dabei handelt sich um täuschend echt aussehende Mails, die persönlich an Führungskräfte verschickt werden. Die so genanten Spear Phishing-Nachrichten umgehen die Radarsysteme von Spam-Filtern und enthalten beispielsweise Schadsoftware im Anhang.

Oder es tauchen Links im Inhalt auf, die das potentielle Opfer auf eine eigens präparierte Webseite locken. Daher sollte eine DLP-Lösung Links in einer E-Mail identifizieren und diese bis hin zu bösartigen Seiten oder schadhaften Inhalten zurückverfolgen können. Aufgrund dieser präzisen Identifizierung sollten Lösungen in Echtzeit agieren können, um solche E-Mails zu blockieren und auch alle weiteren Zugangsversuche zu dieser Webseite sowie das Einsehen von Inhalten oder die Übermittlung von Daten zu dieser Zieladresse zu verhindern.

Damit das DLP-System all diese Informationen über aktuelle Bedrohungen parat hat, muss es in ständigem Kontakt zum Anbieter der Lösung stehen. Dieser wiederum muss auf einen großen Pool an sicherheitsrelevanten Informationen zugreifen können.

Daten klassifizieren

Bevor sich eine DLP-Lösung ans Werk machen kann, gilt es die bei den folgenden Punkte zu klären: Welche Daten bei einer Bank oder einer Versicherung sind schutzbedürftig und wo sind sie gespeichert? Zum Beantworten des ersten Punkts sollten die jeweiligen Unternehmensbereiche - Personal, Finanzen, Vertrieb und so weiter - Beispiele für relevante Daten und Dateien heraussuchen. Diese Daten werden vom DLP-System untersucht und mit einem digitalen Fingerabdruck versehen.

Mit einer DLP-Lösung werden vertrauliche Daten lokalisiert, die Datenbewegungen überwacht und Datenmissbrauch verhindert. (Quelle: Websense)
Foto: Websense

Jegliche über das Netzwerk geschickte Information wird von nun an mit diesen Fingerabdrücken verglichen und beim Versuch, Daten an einen nicht dafür vorgesehenen Adressaten zu verschicken, gibt es zunächst einmal eine Warnmeldung. Unternehmensinterna beispielsweise dürfen nur an eine zuvor definierte Liste von Empfängern versendet werden. Sollen die Daten dennoch übermittelt werden, muss ein Vorgesetzter dafür eine Ausnahmegenehmigung erteilen. Ansonsten stoppt die DLP-Lösung den Transfer.

Je nach Hersteller variieren die technischen Wege zum Klassifizieren der Daten. Als besonders sicher gelten Systeme, die Inhalte auch dann erkennen, wenn nur Teile der ursprünglich klassifizierten Datensätze oder Dateien übertragen werden. Hierzu zerlegen die Algorithmen die relevanten Daten beim Erfassen in kleine Häppchen und erstellen mehrere Prüfsummen pro Datensatz. Somit lässt sich auch ein einzelner Datensatz aus einer umfangreichen Datenbank mit Kunden- oder Finanzdaten erkennen.

Problematischer ist in der Praxis oft die Suche nach den Daten. Im Lauf der Jahre verteilten sich in vielen Unternehmen die stets größer werdenden Datenmengen auf die verschiedensten Speicherorte: Relevante Daten liegen auf Servern und mobilen Endgeräten sowie mobilen Speichermedien, strukturiert in Datenbanken oder unstrukturiert in Office-Dokumenten, PDF-Dateien oder E-Mails. Damit eine DLP-Lösung umfassend schützen kann, muss sie zu Beginn alle relevanten Daten erfassen können, unabhängig von Speicherort und Datentyp.

Die Einführung einer DLP-Lösung stellt viele Kunen zunächst vor eine organisatorische Herausforderung. Ein guter Leitfaden dafür liefern die folgenden grundlegenden Fragen:

Ganz wichtig: Die Sicherheitsmaßnahmen müssen so dosiert sein, dass sich die Mitarbeiter in ihren Alltagsaktivitäten nicht behindert fühlen. Denn eine DLP-Lösung greift immer ein, wenn als vertraulich charakterisierte Daten oder Dokumente die Bank - auf welchem Kommunikationsweg auch immer - verlassen sollen. Hier darf es keine Ausnahme geben. (rw)