Gelungener Spagat aus Sicherheit und Produktivität Datenrisiken mit DLP reduzieren

Von Frank Limberger

Viele Unternehmen tun sich schwer, ihre wertvollen Daten wirkungsvoll vor versehentlichen Sicherheitsverletzungen zu schützen, ohne Mitarbeiter durch allzu rigorose Richtlinien zu behindern. Mit Data Loss Prevention (DLP) gelingt das – große Konfigurationsorgien an Regelwerken oder Eingriffe in Mitarbeiterrechte sind dafür gar nicht notwendig.

Anbieter zum Thema

Keine andere Technologie ist so gut wie DLP geeignet, Datenrisiken aufzuspüren und Sicherheitsverletzungen wirkungsvoll zu verhindern.
Keine andere Technologie ist so gut wie DLP geeignet, Datenrisiken aufzuspüren und Sicherheitsverletzungen wirkungsvoll zu verhindern.
(Bild: thodonal - stock.adobe.com)

Neben qualifizierten Mitarbeitern sind Daten heute die wichtigste und wertvollste Ressource für Unternehmen. Sie dienen als Treibstoff für digitale Prozesse und sind die Grundlage für einen effizienten Geschäftsbetrieb sowie die Entwicklung neuer Produkte, Services und Geschäftsmodelle. Anders als früher lagern die Daten inzwischen aber weit verteilt über firmeneigene Server, verschiedene Clouds und die Rechner der Mitarbeiter, die nicht mehr nur im Büro, sondern auch im Homeoffice oder an anderen Orten ihrer Wahl arbeiten. Vorbei sind die Zeiten, in denen sich die Datenschätze allesamt gut geschützt durch Firewalls innerhalb des Unternehmensnetzwerks befanden.

Keine Frage, Remote Work und Cloud-Services haben die Angriffsfläche von Unternehmen enorm vergrößert und Sicherheitsabteilungen vor einige Herausforderungen gestellt. Mit Multifaktor-Authentifizierung, VPNs und neuen Sicherheitstools versuchen sie, wichtige und vertrauliche Daten vor Cyberkriminellen zu schützen. Doch die Gefahr droht nicht nur von außen, sondern auch von innen – wobei Unternehmen bei Insider-Bedrohungen meist an vorsätzlichen Datendiebstahl denken, beispielsweise durch unzufriedene Mitarbeiter oder externe Akteure, die Zugangsdaten entwendet haben. Allerdings sind 63 Prozent der internen Sicherheitsverletzungen laut dem „2020 Cost of Insider Threats Global Report“ des Ponemon Institutes auf Nachlässigkeiten von Mitarbeitern zurückzuführen.

Irren ist menschlich

Zwar existieren in den meisten Unternehmen klare Vorgaben zum Umgang mit sensiblen Daten, und häufig werden die Mitarbeiter auch zu diesem Thema geschult. Allerdings können Fehler immer passieren, gerade in der Hektik des Geschäftsalltags und angesichts der ungewohnten und oftmals stressigen Arbeitssituationen infolge der Pandemie. Schnell ist ein vertrauliches Dokument an den falschen E-Mail-Empfänger verschickt, eine Datei mit wertvollen Technologieinformationen unverschlüsselt auf einen USB-Stick kopiert oder ein Dokument mit personenbezogenen Daten in eine außereuropäische Cloud geladen.

Solche Sicherheitsverletzungen zu verhindern, fällt vielen Unternehmen schwer. Einerseits weil sie mit allzu restriktiven Beschränkungen wie dem Blockieren von Cloud-Diensten oder dem Verbot von USB-Speichermedien ihre Mitarbeiter im Tagesgeschäft behindern und oft nur den Aufbau von Schatten-IT fördern. Schließlich sind Mitarbeiter sehr kreativ darin, Beschränkungen zu umgehen und sich den Arbeitsalltag zu erleichtern: Fast zwei Drittel greifen unserer Umfrage zufolge mit privaten Endgeräten auf Dokumente und Dienste der Firma zu und mehr als die Hälfte nutzt private Mail- und Cloud-Services für den beruflichen Datenaustausch. Andererseits weil Unternehmen häufig nicht einmal genau wissen, wo sich ihre wirklich wichtigen Daten überhaupt befinden und wohin sie heruntergeladen, kopiert oder verschickt werden. Sie haben in der neuen Arbeitswelt schlicht die Kontrolle über ihre Daten verloren.

Keine Angst vor DLP

Mit Data Loss Prevention (DLP) gibt es ein mächtiges Werkzeug, um die Kontrolle zurückzuerlangen. DLP-Lösungen identifizieren schützenswerte Daten, erkennen Sicherheitsverletzungen und verhindern diese. Allerdings verzichten Unternehmen häufig auf den Einsatz, weil sie einen großen Einrichtungsaufwand oder Kritik wegen der Überwachung ihrer Mitarbeiter fürchten. Dabei funktioniert DLP komplett ohne mitarbeiterbezogene Datenerfassung und Datenauswertung, denn für ein Unternehmen ist gar nicht relevant, welchem Mitarbeiter im Einzelfall ein Fauxpas im Umgang mit sensiblen Daten unterläuft – wichtig ist nur, die Sicherheitsverletzung abzuwenden. Das kann der DLP-Agent auf dem Client, indem er beispielsweise einen Warnhinweis einblendet oder die Aktion blockiert. Zentral erfasst wird lediglich in anonymer Form, was passiert ist. So erhalten Unternehmen einen Überblick darüber, wo ihre größten Datenrisiken liegen, ob die Prozesse im Arbeitsalltag überhaupt mit der Corporate Governance übereinstimmen und in welchen Bereichen eine Anpassung von Richtlinien oder eine Schulung der Belegschaft notwendig ist.

Auch die Einführung von DLP-Lösungen ist in der Regel leichter als gedacht, weil sie üblicherweise in mehreren Schritten erfolgt. Ganz am Anfang steht die Festlegung, welche Daten überhaupt eines besonderen Schutzes bedürfen. Immerhin werden selbst in mittelständischen Unternehmen häufig mehrere Terabyte pro Tag generiert – nur ein Teil davon wie geistiges Eigentum oder Betriebs- und Geschäftsgeheimnisse ist kritisch und darf unter keinen Umständen in die falschen Hände geraten. Auf diese Daten sollten Unternehmen sich zunächst konzentrieren, später kann der DLP-Schutz dann auf weitere Datenkategorien ausgeweitet werden, etwa personenbezogene Daten oder Finanzinformationen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Wo die zu schützenden Daten liegen, ermittelt die DLP-Lösung durch Scans von Servern, Endpoints und Clouds, und das regelmäßig, um neu hinzugekommene Daten aufzuspüren und festzustellen, wohin Daten verschoben oder kopiert wurden. Gute DLP-Lösungen greifen zudem auf die Vorarbeit anderer Sicherheitstools zurück und beziehen deren bestehende Datenklassifizierungen und Regeln ein. Das beschleunigt die Auswertungen und nimmt Unternehmen einige Arbeit ab. Wenn bestimmte Dokumente zum Beispiel laut der Azure Information Protection von Microsoft 365 nicht aus der Microsoft-Cloud in andere Cloud-Dienste kopiert werden dürfen, adaptiert die DLP-Anwendung das und unterbindet auch das Kopieren dieser Dokumente von den Endpoints der Mitarbeiter in die Cloud.

Datennutzung verstehen, Sicherheit verbessern

Dennoch sollten sich Unternehmen in dieser Phase der DLP-Einführung noch gar nicht mit der Erstellung umfangreicher Regelwerke beschäftigen. Gute DLP-Lösungen bringen bereits ein umfangreiches Set vordefinierter Regeln mit, die viele typische Sicherheitsverletzungen abdecken. So brauchen Unternehmen nur ganz wenige individuelle Regeln anzulegen, um besonders sensible Daten wie zum Patent angemeldete Verfahren, die noch keinen Patentschutz genießen, zu schützen.

In den ersten Monaten geht es vornehmlich darum, die DLP-Reports auszuwerten und mehr über Datenflüsse und Datennutzung im Unternehmen zu erfahren. Stellen Unternehmen beispielsweise fest, dass Mitarbeiter regelmäßig vertrauliche Daten über einen Cloud-Service austauschen, könnten sie einen alternativen Cloud-Service bereitstellen, der ein höheres Sicherheitsniveau bietet. Oder sie setzen Awareness-Trainings an, in denen Mitarbeiter lernen, welche Daten sie über die Cloud austauschen dürfen und welche nicht. In den folgenden Wochen lässt sich dann anhand der Reports nachvollziehen, ob die gewünschte Verhaltensänderung stattgefunden hat. Auf diese Weise hilft DLP, Schulungen besser am Mitarbeiterverhalten sowie den tatsächlichen Abläufen im Unternehmen auszurichten.

Erst wenn Unternehmen ein weitreichendes Verständnis erlangt haben, wie sich ihre wichtigen Daten bewegen und wo ihre Datenrisiken liegen, steht die Anpassung und Erweiterung der Regelwerke an. Hier sollten sie mit Bedacht vorgehen und das Blockieren von Aktivitäten nur in Ausnahmefällen einsetzen. Besser ist es, Mitarbeiter per Popup auf riskantes Verhalten hinzuweisen. Ergänzend dazu kann eine kurze Angabe abgefragt werden, warum eine Datei etwa auf einen USB-Stick kopiert oder per Mail verschickt werden muss. Ebenso ist es möglich, eine Aktivität zunächst unter Quarantäne zu stellen und erst nach Bestätigung durch den Vorgesetzten auszuführen.

DLP liefert schnelle Ergebnisse

Letztlich gibt es keine andere Technologie, die so gut wie DLP geeignet ist, Datenrisiken aufzuspüren und Sicherheitsverletzungen wirkungsvoll zu verhindern – und das, ohne Mitarbeiter bei ihren Tätigkeiten einzuschränken oder zu überwachen. Schon kurz nach der Einführung liefern die Lösungen wertvolle Informationen, die Unternehmen bei der Verbesserung ihrer Sicherheitsrichtlinien, Awareness-Trainings und Anwendungslandschaft helfen. Sie unterstützen Mitarbeiter im Arbeitsalltag und heben das Sicherheitsniveau des gesamten Unternehmens kontinuierlich an.

Über den Autor: Frank Limberger ist Data & Insider Threat Security Specialist bei Forcepoint.

(ID:48197893)