Daten klassifizieren
Bevor sich eine DLP-Lösung ans Werk machen kann, gilt es die bei den folgenden Punkte zu klären: Welche Daten bei einer Bank oder einer Versicherung sind schutzbedürftig und wo sind sie gespeichert? Zum Beantworten des ersten Punkts sollten die jeweiligen Unternehmensbereiche - Personal, Finanzen, Vertrieb und so weiter - Beispiele für relevante Daten und Dateien heraussuchen. Diese Daten werden vom DLP-System untersucht und mit einem digitalen Fingerabdruck versehen.
Jegliche über das Netzwerk geschickte Information wird von nun an mit diesen Fingerabdrücken verglichen und beim Versuch, Daten an einen nicht dafür vorgesehenen Adressaten zu verschicken, gibt es zunächst einmal eine Warnmeldung. Unternehmensinterna beispielsweise dürfen nur an eine zuvor definierte Liste von Empfängern versendet werden. Sollen die Daten dennoch übermittelt werden, muss ein Vorgesetzter dafür eine Ausnahmegenehmigung erteilen. Ansonsten stoppt die DLP-Lösung den Transfer.
Je nach Hersteller variieren die technischen Wege zum Klassifizieren der Daten. Als besonders sicher gelten Systeme, die Inhalte auch dann erkennen, wenn nur Teile der ursprünglich klassifizierten Datensätze oder Dateien übertragen werden. Hierzu zerlegen die Algorithmen die relevanten Daten beim Erfassen in kleine Häppchen und erstellen mehrere Prüfsummen pro Datensatz. Somit lässt sich auch ein einzelner Datensatz aus einer umfangreichen Datenbank mit Kunden- oder Finanzdaten erkennen.
Problematischer ist in der Praxis oft die Suche nach den Daten. Im Lauf der Jahre verteilten sich in vielen Unternehmen die stets größer werdenden Datenmengen auf die verschiedensten Speicherorte: Relevante Daten liegen auf Servern und mobilen Endgeräten sowie mobilen Speichermedien, strukturiert in Datenbanken oder unstrukturiert in Office-Dokumenten, PDF-Dateien oder E-Mails. Damit eine DLP-Lösung umfassend schützen kann, muss sie zu Beginn alle relevanten Daten erfassen können, unabhängig von Speicherort und Datentyp.
Die Einführung einer DLP-Lösung stellt viele Kunen zunächst vor eine organisatorische Herausforderung. Ein guter Leitfaden dafür liefern die folgenden grundlegenden Fragen:
-
• Welche Daten müssen geschützt werden? Dazu werden die Daten mit einem "digitalen Fingerabdruck” gekennzeichnet
-
• Wer darf in welchen Geschäftsprozessen welche Daten nutzen?
-
• Wohin dürfen sensitive Daten - bei Bedarf zusätzlich verschlüsselt - sicher versandt werden?
Ganz wichtig: Die Sicherheitsmaßnahmen müssen so dosiert sein, dass sich die Mitarbeiter in ihren Alltagsaktivitäten nicht behindert fühlen. Denn eine DLP-Lösung greift immer ein, wenn als vertraulich charakterisierte Daten oder Dokumente die Bank - auf welchem Kommunikationsweg auch immer - verlassen sollen. Hier darf es keine Ausnahme geben. (rw)