Suchen

Mit Fingerspitzengefühl gegen Datenschwund Data Loss Prevention als methodische Medizin gegen Schwachstellen

| Redakteur: Dr. Stefan Riedl

Es muss ja nicht gleich ein Datenverlust wie bei Sony sein. Ein mittelständisches Unternehmen hätte oft schon daran zu knabbern, wenn der Konkurrenz die ausstehenden Angebote in die Hände fallen. Experten aus diesem Problemumfeld beschäftigen sich mit Data Loss Prevention. IT-BUSINESS gibt einen Einblick in die Branche.

Wenn es um Data Leakage Prevention geht, ist Detailarbeit gefragt.
Wenn es um Data Leakage Prevention geht, ist Detailarbeit gefragt.

Mit Entsetzen wurde von der Fachwelt wahrgenommen, wie Sony erst 77 Millionen, dann im Anschluss weitere 25 Millionen Kundendaten gestohlen wurden. Und das ist nur einer von mehreren aktuellen Datenskandalen. Hintergrund dieses Vorgangs könnten auch Streitigkeiten zwischen Sony und der Hacker-Szene im Rahmen juristischer Auseinandersetzungen sein. Als fraglich gilt, ob sich so etwas im ewigen Zweikampf der Hacker-Fraktion gegen Security-Experten überhaupt verhindern lässt. Selbst Profis wie Stefan Bächer, Geschäftsführer bei Digitaldefense sind skeptisch, vor allem weil die Hacker-Szene so verteilt ist. Zwar gebe es Reverse-Engineering-Methoden, mit denen Rückschlüsse gezogen werden können. "Wir sind dann in der Lage, ein klares Bild über die Aktivitäten und über die Angriffsquelle zu geben", so Bächer.

Wie Zahnpasta

In solchen Fällen haben DLP-Experten (Data Loss Prevention) aber im Grunde versagt, denn die Prävention hat nichts geholfen. Selbst wenn die Datendiebe ermittelt werden können und juristische Schritte eingeleitet werden, wurden die Daten trotzdem gestohlen und können – wie bei Zahnpasta – nicht mehr zurück in die Tube. So war es auch bei Sony.

Das tägliche Brot

Doch wie verhindern DLP-Spezialisten in ihrem Tagesgeschäft den Verlust geschäftskritischer Daten wie Angebote und Files aus den Bereichen Technologie und Entwicklung? Die grundsätzliche Herangehensweise ist laut Bächer, erst die Geschäftsprozesse des Unternehmens zu verstehen und dann konkrete Policies zu formulieren, denn "Wenn ich alles erlaubt habe, kann ich gegen nichts verstoßen", so Bächer. Erst Policies weisen Zugreifende in ihre Schranken. Vor diesem Hintergrund ist die größte Gefahr das unzureichende Verständnis über Daten. Chaotisch gewachsene Daten-Ablagesysteme unterstützen jede Form von Datendiebstahl, berichtet Bächer aus der Praxis. Die entscheidenden Fragen in einer einzigen zusammengefasst, lauten: Welche Daten habe ich, in welcher Ausprägung, mit welchen Zugriffsberechtigungen wie oft (Versionen und Kopien) und wo genau liegen diese?

DLP-Prozesse

In DLP-Projekten werden die verteilten Daten im Unternehmen zunächst erfasst, dann ein Profil zur Datenverteilung ausgearbeitet. Eine Risikobewertung bildet dann die Grundlage für weitere Maßnahmen und die Technologieauswahl. Hierbei werden vor allem Daten-Repositories analysiert. Jeglicher Dateninhalt wird in Bezug auf seine Verwendung im Geschäftskontext klassifiziert. Die entstehenden Reports beantworten die oben beschriebenen Grundfragen in der DLP und zeigen auf, welche Daten wie oft in welcher Ausprägung vorkommen, wo diese Daten liegen, wer welche Berechtigungen hat und wie diese verteilt wurden.

Job für Perfektionisten

In der Praxis ziehen sich DLP-Projekte häufig in die Länge, so dass die angepeilten Zeitpläne mitunter über den Haufen geworfen werden müssen. Das liegt daran, dass häufig keine strukturierten Daten über die Dokumentenverteilung im Unternehmen vorliegen. "Die größte Herausforderung in einem DLP-Projekt ist, ein genaues Datenverständnis zu erzeugen", so DLP-Profi Bächer.

Dieses Datenverständnis soll dann auch dafür sorgen, dass die "Datenschluderei" nicht wieder von vorne beginnt, nachdem ein DLP-Projekt durchgezogen wurde. Policies geben die künftigen Rahmenbedingungen vor. Bächer berichtet aus der Praxis: "Nach der Aufräumaktion haben wir die Daten für das Unternehmen klassifiziert. Über die klassifizierten Daten legen wir ein Regelwerk (Policy Management) an, um die Daten nachhaltig strukturiert zu halten. Dabei wird jede tägliche Änderung an den Daten berücksichtigt und gemäß den Policies automatisch behandelt".

Um den Stand zu halten, müssen aber auch gefährdende Situationen erkannt werden, damit die neue Ordnung nicht wieder aus dem Ruder gerät. Hierfür bedient man sich eines Monitorings, das Datenbewegungen und Änderungen an der Datenstruktur erfasst und meldet. Damit hat man dann die höchste DLP-Stufe erreicht, nämlich ein echtes Dokumenten-Risikomanagement in Verbindung mit einem Überblick über den gesamten Lebenszyklus der Daten im Unternehmen. IT-Verantwortliche erhalten durch solche Monitoring-Tools die Möglichkeit, Datenlecks in ihrer Entstehungsphase zu erkennen und zu verhindern.

Regeln für Daten

Was dem Schmied sein Feuer und dem Bäcker sein Mehl, ist dem DLP-Experten seine Policy-Sammlung. Sie bringt Ordnung ins Datenchaos und zwar mit möglichst vielen automatisierten Prozessen. Bächer nennt einige zentrale Policy-Beispiele, die in der Praxis von besonders großer Bedeutung sind:

  • Alle Daten die länger als einen bestimmten Zeitraum (beispielsweise sechs Monate oder ein Jahr) nicht mehr geöffnet oder verändert wurden, werden auf ein gesondertes Archiv geschoben. Auf dem Haupt-File-Server sollen nur die wirklich benötigten Daten zu finden sein.
  • Alle Versionen und Kopien werden zudem automatisch konsolidiert (beispielsweise: Versionen, die sechs Monate nicht geöffnet oder verändert wurden, landen in einem gesonderten Archiv-System).
  • Automatisierte Archivierung von Dokumenten oder E-Mails nach Compliance-Vorschriften
  • Dokumente werden automatisch gemäß einer vordefinierten Einstufung klassifiziert, so dass im Anschluss die Migration dieser Dokumente anhand ihrer Markierung in Risikoklassen erfolgen kann (beispielsweise: Risikoklasse Eins auf Sharepoint-Server Eins, Risikoklasse Zwei auf Sharepoint-Server Zwei).
  • Alle sensiblen Dokumente werden auf einen bestimmten Server migriert und mit besonderen Berechtigungen versehen.
  • Falsche Zugriffsversuche werden direkt an den Admin gemeldet.

Fazit

Dienstleister im DLP-Umfeld müssen vor allem eines haben: den Blick für das Ganze. Daten werden hier nicht nur auf File-Ebene betrachtet, auf der dann Zugriffsbeschränkungen eingerichtet werden, sondern komplette Geschäftsprozesse.

Außerdem hilft ein gewisser Hang zum Perfektionismus. Policies umzusetzen ist nicht nur Strategie, sondern geht automatisch mit "Frickelarbeit" in Datenbanken einher. Aber es lohnt sich: Sensibilität und Nachfrage für DLP steigen tendenziell, gerade in Cloud-Fragen. □

(ID:28037240)