Suchen

Data Loss Prevention (DLP) ist nicht nur für die Großen wichtig Datenlecks bei kleinen und mittleren Unternehmen vermeiden

Autor / Redakteur: Sascha Degenhardt / Peter Schmitz

Das Risiko von Datenverlust oder -diebstahl betrifft alle Unternehmen – seit „Corona“ durch mehr Home Office stärker denn je. Oft vernachlässigen jedoch kleine und mittlere Unternehmen (KMU) das Thema. Die Gründe sind meist personeller Aufwand sowie Kosten. Doch leistungsstarke Data Loss Prevention (DLP) kann einfach und günstig sein, wenn Administratoren und Entscheider ein paar Dinge beachten.

Firma zum Thema

Der Aufwand für Kauf und Betrieb einer DLP-Lösung ist überschaubar, der größte Faktor bleibt der Mensch.
Der Aufwand für Kauf und Betrieb einer DLP-Lösung ist überschaubar, der größte Faktor bleibt der Mensch.
(Bild: gemeinfrei / Pixabay )

Das Angebot an DLP-Lösungen ist relativ umfangreich, adressiert wegen der Kosten jedoch häufig eher Großunternehmen. Dabei sind kleine und mittlere Unternehmen mindestens ebenso stark vom Risiko betroffen, dass Daten unerwünscht abfließen – wenn nicht noch mehr als Konzerne. Die Gründe hierfür sind unter anderem:

  • Oft keine dedizierten IT-Mitarbeiter für Security-Themen
  • Häufig insgesamt geringeres IT-Budget pro Angestelltem
  • Fehlende Sensibilisierung der Belegschaft und entsprechend – meist sogar unbewusst – laxerer Umgang mit Daten und Zugängen
  • KMU sind häufig „Hidden Champions“ mit hoher Innovationskraft und damit attraktiv für Attacken von außen

Das untermauern BITKOM-Zahlen: 2019 gaben in einer Studie 75 Prozent der befragten Unternehmen an, in den vergangen zwei Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage gewesen zu sein – eine Zunahme von 50 Prozent im Vergleich zu 2017; weitere 13 Prozent vermuteten einen Vorfall. In Summe waren beinahe neun von zehn (88 Prozent) Unternehmen betroffen, am häufigsten solche mit zehn bis 99 Mitarbeitern. Vermehrtes Home Office durch die „Corona-Krise“ befeuert die Thematik weiter. Die Dringlichkeit des Themas nimmt somit zu und trifft KMU besonders.

Bildergalerie

Tipps für Wahl einer DLP-Lösung

Wer zu Beginn Handling, Aktualität und Umgebung ordentlich prüft, wird einen Lifecycle lang profitieren. Beim Blick auf Kosten und Personalaufwand stehen an erster Stelle die einfache Handhabbarkeit und Konfiguration einer DLP-Lösung. Eine gute Evaluation schenkt vier Punkten besondere Beachtung: Erstens sollte die Einrichtung von Richtlinien einfach sein, idealerweise unterstützt durch zweitens: ein Web-Interface, um Einstellungen von jedem Rechner aus vornehmen zu können. Drittens ist es wichtig, dass auch die Bedienung nach erfolgreicher Konfiguration ohne Expertenkennnisse klappt – wer regelmäßig externe Hilfe braucht, wird das Tool nicht zielführend nutzen. Viertens ist es ratsam, ein möglichst simples Deployment zu berücksichtigen.

Nach dem Handling gibt es einen zweiten Kernbereich, auf den Interessenten bei ihrer DLP-Evaluation eingehen sollten: die Aktualität. Hier ist der jeweilige Hersteller gefordert, sogenannter Zero-Day-Support ist eine unabdingbare Voraussetzung für eine leistungsstarke Lösung. Nur wenn vor dem Release neuer Betriebssystem-Versionen bereits Kompatibilität hergestellt und getestet ist, können kleine und mittlere Unternehmen Datenlecks wirklich vermeiden. Vor diesem Kontext ist es wichtig, dass sich auch Updates einfach und schnell installieren lassen – und nicht nur die Basis-Software selbst.

Umgebung berücksichtigen

Falls ein Unternehmen über eine heterogene Infrastruktur bei den Betriebssystemen verfügt, muss ein DLP-Tool natürlich alle vorhandenen Versionen beherrschen; Windows ist grundsätzlich unabdingbar, MacOS inzwischen empfehlenswert. Bisweilen vernachlässigt wird noch der Blick auf die mobilen Endgeräte, die jedoch immens wichtig sind: Gerade bei ihnen ist die Remote-Nutzung ja quasi der Regelfall, und gerade sie werden häufig nochmals weniger kritisch von Endanwendern benutzt als Desktops – das Risikobewusstsein der Mitarbeiter sollte hier nicht überschätzt werden. Darum muss eine zielführende DLP-Lösung iOS und Android abdecken.

Kommen Cloud-Lösungen zum Einsatz, muss die DLP-Software diese ebenfalls aufnehmen können. So ist es zum Beispiel hilfreich, bestehende O365 OneDrives / SharePoints abzusichern. Dabei ist die Anwendbarkeit von Richtlinien auf die Applikation das zentrale Kriterium. Lassen sich etwa Screenshots, Downloads von Daten etc. verhindern? Eine Absicherung muss dabei zwingend stets on- und offline gewährleistet sein. Dateibewegungen sowie Freigaben sollte das Tool dabei sowohl protokollieren als auch verhindern können. Für die Akzeptanz bei den Endanwendern sind dabei unbedingt die Systemanforderungen zu beachten: Die Lösung muss effizient und ressourcenschonend arbeiten, um den laufenden Betrieb auf den Endgeräten nicht zu beeinflussen.

Bei Einrichtung und Betrieb beachten

Ist die DLP-Lösung erst einmal da, muss sie richtig verwendet werden. Eine der ersten Aufgaben wird es sein, sensible Daten, Dokumente und Datenkanäle zu ermitteln: Welche Daten müssen geschützt werden, wo befinden sie sich? In diesem Zuge sind nicht autorisierte Datenträger zu sperren sowie entsprechende Uploads ins WWW per Richtlinie zu unterbinden. Hierbei gilt es, Folgeaktionen zu definieren, also inwieweit eine DLP-Lösung in die Aktion des Benutzers eingreifen soll: Sperrung des Dokuments, Information des Benutzers oder Protokollierung für das Admin-Team sind gängige Optionen; bei der Wahl sollten DSGVO- und interne Compliance-Vorgaben berücksichtigt werden.

Die oben erwähnte Aktualität betrifft nicht ausschließlich Tool und Hersteller: So ist es in der Verantwortung des jeweiligen Unternehmens, Updates regelmäßig bzw. unmittelbar zu installieren. So simpel eine DLP-Lösung auch sein sollte, ein Rest an Schulungsaufwand wird erforderlich sein. Nach der Einführung der DLP-Lösung müssen die Security-Verantwortlichen regelmäßig prüfen, ob die Richtlinien aktuell sind und ob neue Daten aufgenommen werden müssen. Bei der Einführung und beim Betrieb sollten daher neben der IT auch Personen aus den Geschäftsbereichen bei der Definition von sensiblen Daten einbezogen werden.

Fazit

Wer diese genannten Punkte beachtet, wird bemerken, dass der Aufwand für Kauf und Betrieb einer DLP-Lösung selbst überschaubar ist. Der größte Faktor bleibt der Mensch. Eine Sensibilisierung samt Schulung aller Mitarbeiter muss daher immer Bestandteil einer wirksamen DLP-Lösung sein. Wer hier nicht weiterkommt, sollte nicht davor zurückscheuen, auch für diesen Punkt beim Hersteller oder Implementierungspartner nach Unterstützung zu fragen – und so dafür zu sorgen, dass sein Unternehmen nicht zu den 88 Prozent der BITKOM-Studie zählt.

Über den Autor: Sascha Degenhardt ist als Software Consultant im Bereich Enterprise Management bei der MicroNova AG tätig. Er kümmert sich dabei um Security- und IT-Service-Management-Themen.

(ID:46946330)