Feinsieb für Datenströme
Von Uli Ries
Obwohl Data Leakage Prevention in der Startphase meist eine eher langwierige und kostspielige Angelegenheit ist, kann der Schutz gegen ungewollten Informationsabfluss durchaus auch von kleineren oder mittelständischen Unternehmen umgesetzt werden. Werden z.B. nur Lizenzen und Hardware gekauft und alle notwendigen Anpassungen im Betrieb – das Verfeinern der Regeln und das Auswerten der Logdateien – intern erledigt, dann genügt unter Umständen ein Mitarbeiter. Dies spart um Vergleich zum dienstleisterbasierten Modell natürlich erheblich Geld.
Möglich sind solche Inhouse-Lösung aber nur, wenn es lediglich um den Schutz von Daten geht. Sobald rechtliche oder andere Compliance-Vorgaben zu befolgen sind, helfen nur entsprechend geschulte Berater.
Warum überhaupt DLP?
Damit Data Leakage Prevention überhaupt funktionieren kann, gilt es, zwei grundsätzliche Fragen zu klären: Welche Daten müssen geschützt werden? Und wo liegen diese Daten? Gerade die letzte Frage ist in der Praxis oft nur schwierig zu beantworten, denn in vielen Unternehmensnetzwerken herrscht ein über die Jahre schlimmer gewordener Wildwuchs.
Also müssen vor der Einführung einer DLP-Lösung erst einmal alle Server und vor allem auch Clients nach strukturierten (Datenbanken) und unstrukturierten (Office-Dokumente, PDFs etc.) Daten durchsucht werden. DLP-Scanner müssen sämtliche Daten erfassen können, damit man sie später schützen kann. Zwar können auch Datentransfers von unbekannten, jedoch (potenziell) relevanten Dateien blockiert werden, samt Alarm an die Verantwortlichen. Diese können mit dem Alert in der Regel aber nichts anfangen, da sie mangels Informationen über die Datei nicht wissen, ob das System zu Recht anschlägt oder ob es sich um einen Fehlalarm handelt.
Leichter zu beantworten ist die Frage nach den zu schützenden Daten. Die Verantwortlichen der einzelnen Unternehmensbereiche (Finanzen, Entwicklung, Marketing, Vertrieb etc.) müssen lediglich Beispiele für relevante Daten und Dateien heraussuchen und diese von der DLP-Lösung untersuchen lassen. Alle von nun an übertragenen Dateien, die den eingespeisten inhaltlich ähneln, werden von der DLP-Lösung dann genau überwacht.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Das Klassifizieren der Dateien lösen die DLP-Lösungs-Hersteller auf unterschiedliche Arten. So erkennen z.B. Produkte von McAfee, RSA und Symantec die Dateien und deren Inhalt auch dann, wenn sie nur in Teilen übertragen werden. Die Algorithmen zerlegen die Daten beim Klassifizieren in Häppchen und erstellen pro Datei mehrere Hashwerte. So erkennt der DLP-Scanner auch einzelne Datensätze aus einer Kundendatenbank. (Diese Technik kam bei den bekannt gewordenen Datenpannen im Gesundheits- und Bankenwesen offensichtlich nicht zum Einsatz.)
Agenten im Hintergrund
Die gängigen DLP-Lösungen bestehen aus drei beliebig kombinierbaren Modulen:
- Aufspüren der Daten auf File- und Datenbankservern,
- Überwachen der Datentransfers im Netzwerk (insbesondere am Web- und E-Mail-Gateway) und
- Blockieren von nicht erlaubtem Traffic.
Dazwischen tummeln sich noch Agenten, die auf den Clients installiert werden und die zum Beispiel das Drucken, das Kopieren auf USB-Sticks oder in die Zwischenablage sowie den Versand vertraulicher Daten per E-Mail blockieren.
Die Agenten sind historisch gesehen der älteste Teil von DLP und auch heute noch überaus beliebt, denn sie haben einen großen Vorteil: Die Agenten verhindern nicht regelkonforme Datentransfers auch dann, wenn das Notebook außerhalb des Firmen-Intranets online ist, z.B. an einem WLAN–Hot-Spot oder in den vier Wänden des Mitarbeiters. Besteht in solchen Situationen keine VPN-Verbindung mit dem Unternehmensnetz und der dort herrschenden DLP-Infrastruktur, muss lokal für Schutz der als sensibel klassifizierten Daten gesorgt werden.
Teil 1 stellt das Schutzkonzept vor und sagt, warum es in Wirklichkeit gar nicht so einfach ist. Teil 2 erläutert die Funktionen im Detail und benennt die kritischen Stellen im System. Teil 3 widmet sich der Haftungsfrage und weiteren guten Gründen für DLP.
Hardware oder Software?
Das erklärte Ziel – den unerwünschten Abfluss von Daten zu verhindern – ist allen Herstellern von DLP-Lösungen gemeinsam. Unterschiedlich sind aber die Wege, wie dieses Ziel erreicht werden soll. Mancher Hersteller setzt auf dedizierte Appliances, deren Installation teilweise mehr Aufwand und Planung erfordert als das simple Anlegen von neuen Usern im Active Directory, wie es softwarebasierte Lösungen erfordern. Eine dedizierte DLP-Hardware-Appliance soll den Standardservern, die den Softwarelösungen als Unterlage dienen, aber in Sachen Performance überlegen sein.
Platzhirsch Symantec setzt stattdessen auf eine solche softwarebasierte Lösung. Es werden eigene User-Accounts im Intranet erzeugt, die File- und Datenbankserver durchkämmen und alle gefundenen Dateien in einer Datenbank protokollieren. Als Hardwarebasis sollen herkömmliche x86-Server ausreichen. Der Hauptspeicher sollte mindestens 6 GByte umfassen. Denn die Software erledigt alle Indizierungs- und Hashing-Prozesse im Speicher. Wird dieser knapp, muss auf die langsamen Festplatten ausgewichen werden, was die Gesamtperformance empfindlich senkt.
Laufende Verkehrskontrolle
Das eigentliche Überwachen der Datenströme im Intranet passiert über die Monitoring-Ports der Ethernet-Switches. Die DLP-Komponenten bekommen so sämtlichen Netzwerktraffic zu sehen, da Switches eine Kopie aller Datenpakete an diese Ports weiterreichen. Weil es lediglich Kopien sind, kann an dieser Stelle aber noch kein unerwünschter Datenverkehr blockiert werden. Bis die DLP-Lösung die Pakete analysiert hat, sind diese ja schon längst weiter gewandert.
Um das so wichtige Verhindern des nicht regelkonformen Traffics kümmert sich eine weitere DLP-Komponente, die vom Monitoring-Modul alarmiert wird. Diese Komponente empfängt die Daten, noch bevor sie an den E-Mail-MTA (Message Transfer Agent) oder den Web-Proxy gelangen. Die DLP-Komponenten der großen Hersteller arbeiten reibungslos zusammen mit gängigen Proxys und MTAs, damit sie ihre Blockadeaufgabe hieb- und stichfest erledigen können.
Einblick mit Generalschlüssel
Etwas mehr Aufwand wird nötig, wenn Daten oder Datenströme verschlüsselt übermittelt werden. Damit das Monitoring auch in diesen Fällen klappt, muss die zuständige DLP-Komponente mit einem entsprechenden Entschlüsselungssystem gekoppelt werden. So lässt sich z.B. per SSL codierter Datenverkehr entschlüsseln, und die DLP-Lösung findet wieder analysierbaren Klartext vor.
Im Fall von E-Mail- oder Dateiverschlüsselung (auf Dateisystemebene) gilt ein ähnliches Prinzip, wobei hier die DLP-Lösung mit den verwendeten Keys ausgestattet werden kann, so dass die Lösung das Dekodieren gleich selbst übernimmt. Treffen die DLP-Komponenten jedoch auf Transfers, die von einem bösartigen Mitarbeiter oder von Malware auf dem System auf unbekannte Weise verschlüsselt und Richtung Internet abgeschickt wurden, blockieren die gängigen DLP-Systeme den Transfer. Hierfür haben sie eine fertige Regel im Gepäck, die bei Bedarf nur per Mausklick aktiviert werden muss.
- Was für das Unternehmen auf dem Spiel steht, zeigt schließlich Teil 3 dieser Serie: Know-how, Reputation und bares Geld.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing