DLP-Technologien: Context Awareness und Content Filtering

Mehr Kontrolle und Effizienz bei der Data Loss Prevention

16.02.2010 | Autor / Redakteur: Sacha Chahrvin (DeviceLock) / Peter Schmitz

Kontext und Inhalt – notwendige Parameter für optimale DLP

Die Abhängigkeit der Analyse der Dateninhalte am Endpoint von der Vollständigkeit der Kontextkontrollen wird deutlich, wenn man die Komplexität der Endpoint-DLP-Architektur betrachtet. Die größten Schwachstellen für Datenlecks am Endpoint-Computer sind:

  • das Firmen-Netzwerk (LAN, WAN, W-LAN)
  • die Wechseldatenträger und Plug-and-Play-Geräte
  • die Datensynchronisation mit lokal angeschlossenen Smartphones/PDAs
  • die Druckeranbindung

Jeder Übertragungsweg ist eine Ansammlung von mehrschichtigen physikalischen und logischen Schnittstellen, anschließbaren Geräten, Anwendungen und Systemfunktionen, den verwendeten Dateiformaten und dem Informationsinhalt. Im Endpoint-DLP-Prozess wird zuerst das angeschlossene Gerät oder die Netzwerkverbindung genau definiert und auf Interface-Ebene genehmigt. Der DLP-Agent ordnet dann der Verbindung die jeweilige zuständige Anwendung oder den zuständigen Service zu, um die Art des Übertragungsweges zu bestimmen und, falls notwendig, kontrollierend einzugreifen. Anschließend werden Charakteristika der übertragenen Daten, etwa das Dateiformat, erfasst. Dies ist notwendig für die Analyse von Textinhalten. Wenn diese Konfigurationen getroffen sind, startet die Content-Filtering-Engine.

Jedes fehlende „Puzzleteil“ in der Endpoint-Kontextkontrolle reduziert die Wirksamkeit des Content Filtering im Netzwerk und wirkt sich letztendlich auch auf andere Bereiche aus. Der Grund: Durch die Diskrepanz entstehen gefährliche Inkonsistenzen in der gesamten Durchsetzung von DLP-Richtlinien. Das kann sogar dazu führen, dass bestimmte Datenlecks nicht erkannt werden.

Eine Schwachstelle von vielen Endpoint-DLP-Lösungen ist die unvollständige Kontextkontrolle beim Druckvorgang. Vielfach werden nur per USB angeschlossene Drucker am Endpoint-Computer erkannt. Wenn Unternehmen dann zum Beispiel die DLP-Richtlinie festlegen, dass als vertraulich oder geheim eingestufte Dokumente keinesfalls über lokale oder am Netzwerk angeschlossene Drucker ausgedruckt werden dürfen, verhindern sie Datenmissbrauch keineswegs. Alle per LPT oder FireWire sowie über das Netzwerk angeschlossene Drucker werden nicht als „druckbereite Geräte“ identifiziert.

Dementsprechend wendet die DLP-Lösung fälschlicherweise Zugangsrichtlinien für portbasierten Zugang an, die nichts mit dem eigentlich erforderlichen Umgang mit für den Druck bestimmten Daten zu tun haben. Auch das Dateiformat der Druckdaten wird nicht erkannt und kein Text zur Filterung des Inhalts entnommen. Anwender können ungehindert alle beliebigen Dokumente über die LPT- oder FireWire-Anschlüsse sowie über Netzwerkdrucker ausdrucken. Es sei denn, alle lokalen nicht-USB-Ports der Endpoint-Computer sind vollständig blockiert und die Netzwerkverbindung per Firewall abgeriegelt.

Unternehmen müssen sich der gegenseitigen Abhängigkeit von inhaltsbasierten DLP-Anwendungen und möglichst lückenlosen kontextbasierten DLP-Kontrollen bewusst werden, und zwar auf allen Ebenen und Übertragungswegen am Endpoint-Computer. Nur so können sie ihre Informationen optimal gegen Datenmissbrauch schützen.

Seite 4: Praxis-Tipps für Unternehmen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2043400 / Endpoint)