Suchen

DLP- und Compliance-Grundlagen, Teil 3 Leitfaden – DLP-Projekte erfolgreich und termingerecht umsetzen

Autor / Redakteur: Rainer Witzgall, CenterTools / Stephan Augsten

Jedes neue IT-Sicherheitsprojekt greift in die tägliche Arbeit ein und kann erhebliche Störungen verursachen. Die Spezialisten von CenterTools haben einen Leitfaden zur Umsetzung von DLP-Projekten erarbeitet, der die Flexibilität des Unternehmens bewahrt und schnell zu Ergebnissen führt.

Um möglichst schnell Erfolge zu erzielen, sollte man DLP-Projekten in Teilaufgaben aufspalten.
Um möglichst schnell Erfolge zu erzielen, sollte man DLP-Projekten in Teilaufgaben aufspalten.
( Archiv: Vogel Business Media )

Nahezu jede Einführung von Sicherheitsmaßnahmen behindert zwangsläufig das Tagesgeschäft und den Ablauf täglicher Routinen. Gleichzeitig wächst beständig der Druck, durch geeignete Maßnahmen den Datenschutz zu verbessern und den gesetzlichen Vorschriften zu entsprechen. Die große Herausforderung besteht nun darin, ein Gleichgewicht zwischen Maximierung der Sicherheit und der Bewahrung der Firmenflexibilität zu finden, so dass Benutzer ihrer Arbeit weiter effizient nachgehen können.

Ein großes unternehmensweites DLP-Projekt sollte in mindestens drei Teilprojekte aufgeteilt werden, um die Komplexität zu senken und Erfolge zu dokumentieren. Unter Berücksichtigung des Umfanges und der beteiligten Mitarbeiter können die Teilprojekte parallel oder sequentiell bearbeitet werden.

In jedem Fall ist es sinnvoll, mit der kleinsten Teilaufgabe zu beginnen. So erreicht man in kürzester Zeit Erfolge und senkt den Druck auf eine schnelle Umsetzung. Diese Vorgehensweise wird von den Mitarbeitern von CenterTools seit Jahren erfolgreich angewandt. In diesem Artikel werden die Teilprojekte „Endpoint Security“ und „Gateway Security“ näher beleuchtet.

Anforderungs- und Risikoanalyse

Basis eines jeden DLP-Projektes ist die Analyse und Bewertung sämtlicher Daten im Unternehmen auf deren Schutzbedürfnis, egal in welcher Form sie vorliegen. Das Ziel des DLP-Projekts ist es, Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität sicherzustellen.

Mittelständische Unternehmen sollten dafür ein bis zwei Tage veranschlagen und alle Fachabteilungen in die Analyse einbeziehen. Mit einem klassischen Fragenkatalog kann diese Aufgabe effizient und schnell bewältigt werden: Wie groß ist der mögliche Schaden, wenn vertrauliche Daten verloren gehen? Denken Sie hierbei nicht nur an die Kosten und verzögerten Abläufe, sondern auch an Geschäftsausfälle, Schäden bei Dritten, zerstörtes Image oder sogar Verstöße gegen geltendes Recht.

Weitere Fragen sind: Wie hoch sind die Wiederherstellungskosten, wenn alle elektronisch gespeicherten Daten verloren gehen? Wer hat generell Zugang zu Daten, deren Verlust ein hohes oder mittleres Risiko darstellen? Müssen sensible Daten das Unternehmen verlassen (z.B. Kooperationen, Wirtschaftsprüfer)? Haben Lieferanten oder andere Externe Zugriff?

Ein weiterer Komplex fragt nach den Grundlagen: Welche betriebsinternen Regelungen und Vorschriften gibt es zum Umgang mit wichtigen Daten? Welche rechtlichen Regelungen und Vorschriften gibt es (beispielsweise bei BDSG, Basel II, SOX)? Gibt es Vereinbarungen mit Kunden, wie deren Daten zu schützen sind (Konstruktionsdaten o.ä.)?

Inhalt

  • Seite 1: Anforderungs- und Risikoanalyse
  • Seite 2: Checkliste für Schwachstellen
  • Seite 3: Mögliche Probleme bei DLP-Projekten

Checkliste für Schwachstellen

Durchaus sinnvoll ist es auch, sich einen Überblick über mögliche Schwachstellen zu verschaffen: In den meisten Unternehmen finden sich neben Servern, PCs und Laptops auch mobile Datenträger wie beispielsweise USB-Sticks und CDs/DVDs.

Weitere Lücken können ebenso durch Devices wie das iPhone oder durch Bluetooth-Verbindungen entstehen wie durch Anwendungen generell. Ob es sich dabei um fachliche Software wie ERP oder um allgemeine wie das Internet handelt, ist dabei unwichtig.

Auch vermeintlich gesicherte Zugangsberechtigungen (Passwörter) bergen ein Sicherheitsrisiko; weiterhin das Netzwerk generell sowie die Gateways (siehe auch IS-Prüfplan auf www.bsi.de).

Das Lastenheft zur Auswahl der optimalen Gateway-Lösung sollte folgende Punkte beinhalten:

1. Hohe Erkennungsrate von Viren, Spam und Phishing (> 99%)

2. Schützt E-Mail und Web

3. Hoher Datendurchsatz und zentrales Management

4. Integriertes Alerting und Reporting

5. Rechtssichere Dokumentation

6. Aufwand für Implementierung (< 1 Tag)

Ein Lastenheft zur Auswahl der optimalen Endpoint-Lösung sollte folgende Aspekte beinhalten:

1. Strikte Umsetzung unternehmensweiter Richtlinien auf allen Endpoints

2. Monitoring und Kontrolle aller Datentransfers am Client

3. Monitoring und Kontrolle aller Schnittstellen (iPhone, Bluetooth etc.)

4. Alarmierung (bereits beim Versuch, die Richtlinien zu umgehen)

5. Sensibilisiert die Mitarbeiter (besonders wichtig in Europa)

6. Transparenz, Nachvollziehbarkeit und rechtssichere Dokumentation (wer hat wann was getan?)

7. Benutzer wird nicht beeinträchtigt

8. Flexibilität in Notfällen

9. Keine zusätzliche Hardware oder Software erforderlich

10. Vollständig in die Microsoft-Umgebung wie Active Directory integriert

11. Sichert auch Thin Clients (zukunftssicher)

12. Verschlüsselung (Full Disk Encryption und mobile Datenträger wie USB-Sticks)

13. Unerwünschte Software verhindern (Applikationskontrolle)

14. Aufwand für Implementierung (< 1 Tag)

15. Geringer Betriebsaufwand (< 1 Tag je Quartal)

Inhalt

  • Seite 1: Anforderungs- und Risikoanalyse
  • Seite 2: Checkliste für Schwachstellen
  • Seite 3: Mögliche Probleme bei DLP-Projekten

Mögliche Probleme bei DLP-Projekten

Allerdings gilt es auch, bei einigen Themen Vorsicht walten zu lassen. So raten die Spezialisten von CenterTools beispielsweise dringend von einem integrierten Agenten auf den Endpoints für Antivirus und DLP ab. Die Gründe sind vielschichtig: Ein aufgeblähter Agent verbraucht Unmengen an Speicher und verursacht so eine hohe Netzwerkbelastung. Dadurch ergeben sich im ungünstigsten Fall sogar neue Netzwerkengpässe.

Neben der Ressourcen-Problematik hält man bei CenterTools auch mögliche Sicherheitslücken für bedenklich. Denn, sollte es einmal ein Problem mit dem Antivirus-Agenten geben, so dürfen dadurch auf keinen Fall DLP-Regeln umgangen werden. Man stelle sich nur die Auswirkungen vor, wenn ein Anwender den Antivirus-Agenten deaktiviert oder deinstalliert. Mit zwei Agenten können jedoch auch in diesem Fall die DLP-Richtlinien umgesetzt werden.

Weiterhin gilt: Starke Antivirus-Produkte haben einen schwachen DLP-Agenten. Unternehmen sollten diesen Umstand nicht länger als Einschränkung ihrer Security akzeptieren; ebenso wie strukturelle Probleme. Denn gerade bei größeren Organisationen werden Antivirus und DLP von unterschiedlichen Abteilungen verantwortet.

Der Erfolg steht und fällt mit dem Konzept. Ein DLP-Projekt darf den Benutzer nicht beeinträchtigen, der Implementierungsaufwand für die Teilprojekte sollte vertraglich auf einen sehr kurzen Zeitraum begrenzt werden und die Erfolge müssen kommuniziert werden.

Projektverantwortliche sollten deshalb Referenzen besonders hinsichtlich des Aufwands für die Implementierung und den Betriebsaufwand prüfen. Umso wichtiger wird es, sich vor der Entscheidung dezidiert mit dem Markt und vor allem den angebotenen Lösungsansätzen auseinanderzusetzen. Ist dies geschehen, ergibt sich auch der Weg zum richtigen Produkt.

Dieser Artikel stammt aus dem Kompendium zu Data Loss Prevention & Compliance. Wenn Sie Artikel wie diesen als Print-Version im handlichen DIN-A5-Format geliefert bekommen möchten,https://www.Security-Insider.de/index.cfm?pid=4080&beforeregistrieren Sie sich einfach bei Security-Insider.de]]$. Fortan erhalten Sie die künftigen Ausgaben wie unser aktuelleshttp://www.Security-Insider.de/whitepaper/downloads/15501/Kompendium zu Managed Security Services]]$ frei Haus.

Rainer Witzgall ist Vice President Sales & Marketing bei der CenterTools Software GmbH.

Inhalt

  • Seite 1: Anforderungs- und Risikoanalyse
  • Seite 2: Checkliste für Schwachstellen
  • Seite 3: Mögliche Probleme bei DLP-Projekten

(ID:2048850)