Technik schafft Abhilfe
Schon seit Jahren gibt es technische Konzepte, um den unerwünschten Datenabfluss aus einem Unternehmensnetz zu verhindern. Zusammengefasst werden die Ansätze unter der Abkürzung DLP, Data Loss Prevention oder auch Data Leakage Prevention. Allen Konzepten der verschiedenen Hersteller gemeinsam ist, dass sie den Datenfluss vom Unternehmensnetz hin zum Internet untersuchen - und nicht umgekehrt. Das heißt, DLP kann nur eine Ergänzung zu klassischen Mechanismen wie Firewalls sein, diese aber nicht ersetzen.
Einige wichtige Punkte muss eine DLP-Lösung auf jeden Fall abdecken. Sie sollte alle relevanten innerhalb gespeicherter Daten (Data at Rest) auf Festplatten und in Datei-Systemen aufspüren. Auch alle sich in Umlauf befindlichen Daten (Data in Motion) innerhalb und außerhalb des Unternehmens werden einem guten DLP-System nicht entgehen. Außerdem gilt es, sämtliche Gebrauchsdaten (Data in Use) in Anwendungen und am Endpunkt ("endpoint") ebenfalls sehr aufmerksam zu beobachten.
Des Weiteren sollte die DLP-Lösung verstehen, was die Daten in Bezug auf Regularien, firmeneigene Daten und interne Richtlinien für den Geschäftsprozess bedeuten und das Abstimmen von Richtlinien mit den Geschäftsprozessen zulassen. Gleichzeitig sollte das System in der Lage sein, einheitliche Richtlinien einzusetzen und Arbeitsabläufe zu aktivieren, die vom Management tatsächlicher oder vermuteter Sicherheitsvorfälle (Incident Management), über die automatisierte Reaktion auf Sicherheitsvorfälle (Incident Response), Mitteilungen und Zusammenfassungen bis hin zu detailliertem Reporting reichen.
Nachdem unternehmenseigene Blogs inzwischen zum guten Ton bei der Unternehmenskommunikation gehören, muss eine zeitgemäße DLP-Lösung die verschiedenen Kategorien der Blogs verstehen und berücksichtigen. Darüber hinaus gilt es, den Nutzer und die Daten in Echtzeit mit ausreichender Genauigkeit identifizieren können, um das unerlaubte Verwenden von vertraulichen Informationen im Blog zu blockieren. Durch korrektes Klassifizieren der Host-Seite, der Reputation und des tatsächlichen Inhalts eines Blogs, sollte die DLP-Lösung verhindern, dass nicht autorisierte Nutzer Zugang zu dem Blog erhalten und ihn manipulieren.
Malware von Websites
Ein erhebliches Bedrohungspotenzial bildet bösartiger Content auf Webseiten. Daher ist insbesondere im Zusammenhang mit Gefahren durch soziale Netzwerke oder andere Web-2.0-Angebote wichtig, dass DLP-Lösungen Webseiten, Web-Content, Applikationen und Malware über die Reputation hinaus versteht. Nur mit diesem Verständnis können Bedrohungen präzise und in Echtzeit geblockt werden: Selbst wenn eine bekannte und vertrauensvolle Seite mit einer guten Reputation gefährdet ist, kann die Bedrohung durch den Echtzeitschutz verhindert werden.
Ebenfalls von Außen droht Gefahr durch die nach wie vor von Angreifern verwendeten E-Mails. Anders als in großflächigen Spam-Kampagnen - die von entsprechenden Filtern in der Regel leicht ausgekontert werden - gehen professionelle Datendiebe immer öfter mit maßgeschneiderten, nur an eine Handvoll Adressaten, verschickten Nachrichten vor, beispielsweise an die Vorständen von Banken und Versicherungen. Dabei handelt sich um täuschend echt aussehende Mails, die persönlich an Führungskräfte verschickt werden. Die so genanten Spear Phishing-Nachrichten umgehen die Radarsysteme von Spam-Filtern und enthalten beispielsweise Schadsoftware im Anhang.
Oder es tauchen Links im Inhalt auf, die das potentielle Opfer auf eine eigens präparierte Webseite locken. Daher sollte eine DLP-Lösung Links in einer E-Mail identifizieren und diese bis hin zu bösartigen Seiten oder schadhaften Inhalten zurückverfolgen können. Aufgrund dieser präzisen Identifizierung sollten Lösungen in Echtzeit agieren können, um solche E-Mails zu blockieren und auch alle weiteren Zugangsversuche zu dieser Webseite sowie das Einsehen von Inhalten oder die Übermittlung von Daten zu dieser Zieladresse zu verhindern.
Damit das DLP-System all diese Informationen über aktuelle Bedrohungen parat hat, muss es in ständigem Kontakt zum Anbieter der Lösung stehen. Dieser wiederum muss auf einen großen Pool an sicherheitsrelevanten Informationen zugreifen können.