Data Leakage Prevention, Teil 1

Vor Verlust schützen Fallgitter

Von Uli Ries

Selbst der Präsident des Bundeskriminalamtes rührt – wohl ohne es zu wollen – die Werbetrommel für DLP-Lösungen (Data Leakage Prevention). Jörg Ziercke sagt: „Früher oder später wird jeder mit dem Internet verbundene PC mit Schadsoftware infiziert. Dagegen kann sich keiner schützen.“ Er sieht in Botnetzen die „Kriminalität der Zukunft“.

Wie viele PCs weltweit inzwischen als Zombies – als mit Botnetz-Trojanern infizierte und von den Cybergangstern ferngesteuerte Werkzeuge – fungieren, vermag kein Experte abzuschätzen. Mit Sicherheit sind es mehrere Millionen, eventuell sogar eine zweistellige Millionenzahl. Um diese Gefahr weiß laut Ziercke kaum ein Unternehmen heutzutage. Entsprechend gering sei die Verbreitung von geeigneten Schutzmaßnahmen.

„Schutz“ bedeutet in diesem Zusammenhang: Wenn denn schon die Infektion nicht zu verhindern ist, dann muss zumindest das Abfließen von Unternehmensdaten unterbunden werden.

Von innen nach außen

Beherrscht wird der Markt der DLP-Lösungen von Unternehmen wie McAfee, RSA, Symantec oder Websense. Dies geht zumindest aus dem Magic Quadrant der Marktforscher von Gartner hervor. Allen DLP-Produkten gemein ist das dahinter stehende Konzept: Wo Firewall und Virenscanner ausgetrickst werden, sich Schadsoftware im Unternehmensnetz breitmacht und droht, Daten nach außen zum Schöpfer der Malware zu schicken, soll DLP-Software dies erkennen und den Transfer unterbinden. Genauso soll sie verhindern, dass Mitarbeiter – absichtlich oder aus Unachtsamkeit – sensible Daten aus dem Unternehmen befördern, sei es auf USB-Sticks oder per E-Mail. Dieses Szenario der Angriffe von innen ist laut DLP-Experten nach wie vor eine der häufigsten Ursachen für Datenpannen.

So belegt das Gefahrenbarometer 2010 der Firma Corporate Trust, die hierfür über 5000 mittelständische Unternehmen befragte, dass beinahe 60 % aller deutschen Mittelständler die eigenen Mitarbeiter für das größte Risiko im Zusammenhang mit dem unerwünschten Abfluss von Daten halten. Dennoch sperren von den Befragten 60 % keine USB-Ports und erlauben beinahe uneingeschränkten Internet-Zugang. So können Mitarbeiter schnell zur Datenschleuder werden. Hackerangriffe halten knapp unter 50 % der Befragten für eine ernst zu nehmende Gefahr.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Katstrophen ohne Absicht

Warum werden die eigenen Mitarbeiter zur Bedrohung? – Weil sie sich nur allzu oft in einem Szenario wie diesem wiederfinden: Der Mitarbeiter hat keinen VPN-Zugang, will aber unbedingt noch am Wochenende oder im Urlaub auf seine Dateien zugreifen. Also kopiert er sie auf einen USB-Stick – der dann verloren geht. Oder er schickt sich die Daten an sein privates Freemail-Konto. Damit sind die vertraulichen Daten in der Obhut eines Webdienstes, der im Zweifel für keinerlei Schaden durch verlorene Daten haftbar gemacht werden kann.

Bösartigkeit ist den Mitarbeitern dabei nicht zu unterstellen, umsichtiges Handeln kann man das aber auch nicht nennen. Eine Studie der Marktforscher von Ponemon belegt die Schadenshöhe solcher Datenlecks: So müssen deutsche Unternehmen im Schnitt 2,4 Mio. Euro aufwenden, wenn sie eine Datenpanne erleiden. Neben dieser imposanten Zahl erläutert auch diese Studie einmal mehr, dass Mitarbeiter und externe Dienstleister, die in vielen Fällen ebenfalls Zugang zu vertraulichen Daten haben, für den Verlust der Daten verantwortlich sind.

Aufsetzen, feinregeln, zünden

Zwar unterscheiden sich die DLP-Lösungen der eingangs erwähnten Hersteller hinsichtlich ihrer technischen Ansätze. Allein gemeinsam ist den damit verwirklichten DLP-Projekten aber eines: Sie dauern lange an und ziehen sich manchmal bis zu 18 Monate hin. Entsprechend teuer ist die Einführung. Von daher erscheint die Technik für kleinere Unternehmen zunächst uninteressant.

Dabei geht die Installation der notwendigen Hard- und Software binnen weniger Tage über die Bühne. Auch das Erstellen des Regelwerks, nach dem später unerwünschte Aktionen erkannt und unterbunden werden, ist vergleichswese schnell erledigt. Erst danach beginnt das eigentlich Langwierige: Vertreter verschiedener DLP-Hersteller erzählen übereinstimmend, dass viele Kunden die Data-Loss-Prevention-Lösung etliche Monate quasi mit angezogener Handbremse fahren. Zwar ist sämtliche Technik prinzipiell voll funktionsfähig, man beschränkt sich aber vorerst darauf, alle Verstöße gegen die vom Kunden gewünschten und in der DLP-Lösung hinterlegten Regeln zu protokollieren. Aktiv verhindert wird der Datenabfluss aber jedoch vorerst nicht.

Serie: Data Leakage Prevention
Teil 1 stellt das Schutz­konzept vor und sagt, warum es in Wirk­lich­keit gar nicht so einfach ist. Teil 2 erläutert die Funk­tio­nen im De­tail und be­nennt die kriti­schen Stel­len im System. Teil 3 widmet sich der Haftungs­frage und weiteren guten Gründen für DLP.

Erst nachdem die Regeln anhand der Praxiserfahrungen feinjustiert wurden und eventuelle Verstöße mit den betreffenden Mitarbeitern diskutiert wurden, wird die DLP-Lösung scharf gemacht. Von nun an blockiert sie sämtliche gegen das Reglement verstoßende Datentransfers.

Kostspielige Großprojekte

Es gibt aber auch DLP-Kunden, die die zum Blockieren notwendige Hardware niemals anschaffen. Sie wollen lediglich Vorgaben wie Basel II, Sarbanes-Oxley oder lokalen Gesetzen genügen und können sich keine gravierenden Schäden durch Datenpannen vorstellen.

Insbesondere in Ländern wie Deutschland sind DLP-Einführungen durchaus langwierig. Denn hierzulande gilt es nicht nur die von der Unternehmensleitung als sensibel eingestuften Daten zu schützen. Gleichzeitig müssen sich laufend ändernde gesetzliche Vorgaben und der Datenschutz genauso beachtet werden wie unternehmensspezifische Firmenvereinbarungen und mit dem Betriebsrat getroffene Vereinbarungen. Solche Aufgaben lassen sich typischerweise nur durch externe Dienstleister abwickeln, was die Gesamtkosten des DLP-Projekts weiter anschwellen lässt.

Wie so oft im Zusammenhang mit IT-Projekten sind auch bei DLP-Lösungen die Kosten für Lizenzen und Hardware meist erheblich geringer als die Kosten für externe Berater. Ist die Lösung einmal eingeführt, gilt die Faustregel: Pro 30.000 Mitarbeiter muss sich ein Vollzeitadministrator um das DLP-System kümmern.

Wie es im Einzelnen funktioniert, erklärt Teil 2 dieser Serie. Teil 3 beschäftigt sich dann mit den Konsequenzen, die bei Datenlecks drohen.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links