Nicht erst seitdem der Verfassungsschutz darauf aufmerksam gemacht hat, dass 70 Prozent der Datendiebe nicht außerhalb, sondern innerhalb der Unternehmen sitzen, sollte Sicherheitsverantwortlichen eigentlich klar sein, dass sie sich mindestens genauso stark um den Schutz vor ungewolltem Datenabfluss von innen kümmern müssen. Dennoch wird diese Gefahr oftmals noch unterschätzt.
Innentäter kann jeder sein - egal ob Administrator oder Manager. Vielleicht wollen sie, beispielsweise aus Unzufriedenheit mit ihrem Arbeitgeber, dem Unternehmen schaden. Es muss aber auch nicht einmal böse Absicht dahinter stecken. Es genügt schon, wenn sich ein Mitarbeiter aus Versehen bei einer E-Mail-Adresse vertippt, und vertrauliche Informationen gelangen in die falschen Hände.
Um Innentätern keine Chance zu geben, respektive eine versehentliche Weitergabe geheimer Daten zu verhindern, empfiehlt sich daher der Einsatz einer Data-Loss-Prevention (DLP)-Lösung. Sie erkennt und verhindert die nichtautorisierte Weitergabe vertraulicher Dokumente und sorgt so für eine höhere Datensicherheit. Dabei gibt es einige Punkte, die bei der Auswahl und Implementierung einer DLP-Lösung besonders wichtig sind.
Digitaler Fingerabdruck
Daten werden mit einem "digitalen Fingerabdruck" versehen und gegebenenfalls auch verschlüsselt. Nur autorisierte Empfänger können dann mithilfe des notwendigen Schlüssels die Daten auslesen und darauf zugreifen. Wichtig ist in diesem Zusammenhang die Frage, wer über sensible Daten verfügen darf und wohin sie überhaupt geschickt werden dürfen. Die DLP-Lösung sollte zudem Missbrauchsfälle erkennen: Wenn beispielsweise eine unbefugte Person aus einem Verkaufsdokument wichtige Daten per Copy&Paste extrahieren möchte, sollte hierfür eine Sperre im System installiert sein. Das gleiche gilt für jegliche Formen von Datenträgern oder USB-Sticks, auf die Daten kopiert werden können.
Einheitliche Sicherheitsstandards für alle Geräte
Wenn der Außendienstmitarbeiter zum Beispiel im Home Office beschäftigt ist und von zuhause auf das Firmennetzwerk zugreifen möchte, sollten die Daten genauso geschützt sein, als ob er sich im Unternehmen befände. Dasselbe gilt, wenn er mit seinem Smartphone am Flughafen wichtige E-Mails empfängt oder versendet. Auch bei Bring Your Own Device (BYOD) gilt: Die genutzten Privatgeräte müssen denselben Sicherheitsbestimmungen wie das IT-Inventar im Büro unterliegen. Die ideale Sicherheitslösung muss also alle unternehmenskritischen Daten schützen, unabhängig davon, wo sich der Nutzer befindet und welche Geräte er verwendet. Das gilt übrigens auch bei lokaler Nutzung, wenn keine Verbindung zum Unternehmensnetz besteht.
- Verschlüsselung bei den mobilen Plattformen
Windows Phone 8 kann zwar mittels Bitlocker den Telefonspeicher aber nicht die SD-Cards verschlüsseln. Diese Verschlüsselung kann zudem nur durch einen Administrator mittels ActiveSync-Richtlinie aktiviert werden. - Verschlüsselung ab Android 3.0 möglich
Wie hier unter Android 4.4.2 können zwar die Daten auf dem Tablet verschlüsselt werden – wird die Verschlüsselung aufgehoben, führt das aber zu Datenverlust. - Sophos Secure Workspace
Daten verschlüsselt auf diversen Cloud-Speichern oder auch lokal auf der SD-Karte ablegen: Die Lösung Sophos Secure Workspace (früher Sophos Mobile Encryption) stellt die verschiedenen Möglichkeiten übersichtlich bereit (hier ist auch eine Verbindung zu Microsofts OneDrive eingerichtet). - Verschlüsselt in die Wolke
Wurde Sophos Secure Workspace auf dem Gerät installiert, steht dem Nutzer die Möglichkeit offen, beispielsweise seine Dateien bei einem Upload auf einen Cloud-Speicher zu verschlüsseln. - Privilegien erforderlich
Auch wenn die mit verschlüsselte Datei noch die normale Dateiendung besitzt: Verwenden und auf die Daten darin zugreifen kann nur ein Nutzer, der den entsprechenden Schlüssel besitzt und das Kennwort eingibt. - Boxcryptor
Es ist eher selten, dass Verschlüsselungs-Apps auch für die Windows Phone-Geräte zur Verfügung stehen: Die Lösung "Boxcryptor" ist eine angenehme Ausnahme, die auch unter Windows Phone 8.1 problemlos funktioniert. - Zugriff auf unterschiedliche Cloud-Anbieter
Die meisten Nutzer werden "ihren Cloud-Speicher sicher in der Auflistung der Boxcryptor-App wiederfinden. - Ab in die Cloud
Der Nutzer kann mit Hilfe von Boxcryptor schnell und einfach die Dateien sowohl verschlüsselt als auch offen übertragen. - Sichere WhatsApp-Alternative
Mit der freien App "Signal" können Android-Nutzer sehr sicher verschlüsselte Textnachrichten versenden und empfangen. Mittels eines Passworts werden dazu die lokalen Daten und Nachrichten verschlüsselt. - Verschlüsselt texten
Auch die bereits auf dem Mobil-Gerät vorhandenen SMS-Nachrichten kann Signal (das früher TextSecure hieß) importieren und somit sicher abspeichern. - Verifikation der Nutzer untereinander
Sie können mit Hilfe eines Public Keys sicherstellen, dass die Nachricht tatsächlich vom entsprechenden Anwender stammt. - USB-Sticks sicher verschlüsseln
Die Open-Source-Lösung "SecurStick" verwendet ein zunächst etwas ungewöhnliches Konzept, lässt sich aber ideal auch über Plattformgrenzen hinweg einsetzen. - SecurStick im Einsatz
Nach Eingabe des Passworts werden die Daten aus dem verschlüsselten Bereich mittels WebDAV auf einer montierten Dateifreigabe zur Verfügung gestellt. - Ganze Platte verschlüsseln
Betriebssystempartition verschlüsseln oder auch nur einen USB-Stick sichern? Der freie "DiskCryptor" stellt all diese Möglichkeiten übersichtlich zur Verfügung. - Algorithmische Vielfalt
Besonders beeindruckend bei DiskCryptor: Es werden eine ganze Reihe unterschiedlicher Verschlüsselungsalgorithmen unterstützt. - Die eingebaute Verschlüsselung
Die modernen Microsoft-Betriebssysteme wie Windows 7 und Windows 8 stellen mit der Software Bitlocker bereits in vielen Versionen eine Verschlüsselung bereit, die in der "To Go"-Variante auch für USB-Sticks einzusetzen ist.
Korrekte Erkennung des Empfängers
Die Klassifizierung des Empfängers ist der Schlüssel, um den Verlust sensibler Daten mit einem Minimum an false-positives zu verhindern. Die DLP-Lösung sollte dabei so intelligent sein, die Vertrauenswürdigkeit richtig einschätzen zu können. Die DLP-Lösung sollte auch das Kommunikationsmedium richtig einstufen können. Zum Beispiel repräsentiert das Senden von vertraulichen Daten über einen Mail-Account eine kleinere Gefahr als dieselben Daten an eine Social-Networking-Site zu schicken. Eine DLP-Lösung sollte daher nicht nur Datenverluste verhindern können, sondern auch potenzielle Datenverluste via Web rechtzeitig erkennen und den Nutzer gegebenenfalls darauf hinweisen. Das verringert wiederum den Verwaltungsaufwand.
False-positive-Raten überprüfen
Eine möglichst geringe Zahl von fälschlich erkannten Datenlecks ist zwar eine wichtige Kenngröße für die Effektivität einer Datenschutzlösung. Viele Anbieter von DLP-Lösungen geben aber absichtlich eine niedrigere Rate an, als es das System in Wirklichkeit liefern kann. Es ist daher empfehlenswert, diese Angaben in der Praxis zu überprüfen. Eine moderne DLP-Lösung ist darüber hinaus in der Lage, verschiedene Erkennungsmuster zu bieten. Aktuelle Technologien gehen dabei über eine simple Texterkennung hinaus und nutzen eine voll ausgestattete script-basierte Erkennung von Inhalten, die zusätzlich durch eine einfache Mustererkennung ergänzt wird.
Fragen nach Passwörtern oder Kreditkarteninformationen sollten immer misstrauisch machen: Anfragen deshalb lieber zweimal prüfen, bevor irgendwelche Daten weitergegeben werden.
Auch innerhalb geschützter WLAN-Netzwerke gilt: Wirklich sicher surft, wer Websites mit HTTPS-Verschlüsselung besucht. Internetnutzer sollten sichergestellten, dass sie die von ihnen bevorzugten Websites mit dem entsprechenden Schutz ansteuern.
Ebenfalls wahr: Wer nie an einer Lotterie teilgenommen hat, kann auch keine gewinnen. Auch innerhalb geschützter WLAN-Netzwerke gilt: Wirklich sicher surft, wer Websites mit HTTPS-Verschlüsselung besucht. Internetnutzer sollten sichergestellten, dass sie die von ihnen bevorzugten Websites mit dem entsprechenden Schutz ansteuern.
Der alte Spruch „zu gut, um wahr zu sein” stimmt: Vorsicht vor zu verlockenden Angeboten! Ebenfalls wahr: Wer nie an einer Lotterie teilgenommen hat, kann auch keine gewinnen.
Vorsicht vor Links, die auf Anwendungen verweisen oder auf externe, unbekannte Websites
Einfache Konfiguration
Um die Komplexizität so gering wie möglich zu halten, sollte im Idealfall eine DLP-Komplettlösung verwendet werden, die auf einer einheitlichen Architektur basiert. Das macht sich auch in niedrigeren Kosten für die IT bemerkbar, denn dann reicht in der Regel ein einziger Server oder eine einzige Appliance aus, die nur im Bedarfsfall erweitert werden muss. Lösungen, die aus einer Vielzahl von Einzelprodukten bestehen, benötigen auch immer mehrere Geräte, verbrauchen mehr Platz, sind schwieriger zu implementieren und erfordern einen höheren Administrationsaufwand.
Eine gut durchdachte DLP-Lösung sollte auch skalierbar sein und sich problemlos an die unterschiedlichen Anforderungen eines Unternehmens anpassen lassen. Dazu gehören auch Vorschriften für den Datenschutz, die je nach Benutzerprofil verändert werden können. So sollte ein Außendienstmitarbeiter zum Beispiel andere Rechte zum Versenden von wichtigen Verkaufsdokumenten erhalten als der Chef des Unternehmens.
Eine gute Lösung sollte auch eine umfangreiche Ausstattung an sofort einsatzfähigen Sicherheitsrichtlinien enthalten. Das ermöglicht Unternehmen einen schnellen Einstieg und effiziente Administration. Da jedes Unternehmen unterschiedliche schützenswerte Daten besitzt, werden spezielle kundenspezifische Nutzerprofile benötigt. Die DLP-Lösung sollte beim Erstellen und Testen dieser Profile behilflich sein.
Fazit
Im Idealfall sollte eine DLP-Lösung eine allumfassende Sicherheit bei der Erkennung von Datenlecks bieten. Besonders wichtig ist zunächst die Kenntnis, wo im Unternehmen sensible Daten einem Risiko ausgesetzt werden und auf welchen Wegen sie das Unternehmen verlassen. Dann gilt es, die fahrlässige Weitergabe und den Diebstahl unternehmenskritischer Daten über alle Kommunikationswege wirksam zu verhindern, und somit potenziellen Innentätern das Handwerk zu legen. (bw)