Data Loss Prevention

Data Loss Prevention (DLP) ist ein Marketingbegriff aus dem Bereich der Informationssicherheit. Auch Data Leak / Leakage Prevention genannt, ist DLP aus der „Extrusion Prevention“ Technik hervorgegangen. Klassisch gesehen gehört DLP zu den Schutzmaßnahmen, die direkt den Schutz der Vertraulichkeit von Daten unterstützt und je nach Ausprägung direkt oder indirekt deren Integrität und Zuordenbarkeit.

„Data Loss Prevention“ und „Data Leakage Prevention“ werden meist synonym gebraucht, von einigen Spezialisten in der Fachdiskussion aber auch unterschieden: „Data Loss Prevention“ ist der Schutz gegen den unerwünschten Abfluss von Daten, der Schaden verursacht und auch bemerkt wird, während „Data Leakage Prevention“ für einen Schutz gegen ein vermutetes, aber nicht messbares und manchmal auch im Einzelfall gar nicht feststellbares Weitergeben von Informationen an unerwünschte Empfänger steht.

Historie und Entstehung

• Es gab DLP-Produkte lange bevor sich dieser Begriff als allgemeine Bezeichnung zu festigen begann (Avant la lettre).^[1]

Die Neutralität dieses Artikels oder Abschnitts ist umstritten. Eine Begründung steht auf der Diskussionsseite. Weitere Informationen erhältst du hier.

Hersteller von IT-Sicherheitslösungen meinen seit ca. 2007 mit DLP eine oder mehrere Funktionen ihrer Produkte, mit deren Hilfe Daten vor nicht autorisierten Zugriffen geschützt werden sollen. Weil inzwischen viele Hersteller meinen, ihre Produkte seien annähernd dazu in der Lage, DLP zu bieten, bezeichnet DLP ein umfangreiches Sammelsurium unterschiedlichster IT-Sicherheitstechniken und Maßnahmen. Je nach verwendeter Technik sind mehr oder weniger flankierende Maßnahmen erforderlich, um einen vollständigen Schutz der Vertraulichkeit herzustellen.

Beispiele: Eine sehr einfache DLP-Lösung protokolliert Dateinamen, die von und zu allen USB-Geräten geschrieben werden. Eine umfassendere DLP-Lösung erkennt jede Änderung an vertraulichen Daten, besonders auch mit Hilfe von Drittsoftware, und kann je nach Sicherheitsrichtlinie beliebige Aktionen durchführen, die auch mit administrativen Rechten des Anwenders nicht abzuwenden sind.

Die ersten DLP-Lösungen wurden beim Militär eingesetzt und boten eine Kombination aus Hardware- und Softwarekontrolle. Mit der Hardwarekontrolle kann z. B. ein USB-Stick durch eine individuelle Seriennummer nur einem bestimmten Benutzer zugeordnet werden, der ihn beschreiben darf. Der Stick wird natürlich verschlüsselt, am besten vollständig transparent für alle Mitarbeiter. Lesen können die Daten auf dem Stick die Kollegen aus der Abteilung und natürlich der Linienvorgesetzte.

Mit der SW-Kontrolle wird geregelt, welche Anwendungen ausgeführt werden dürfen. Und weil bei Behörden alles einheitlich ist, waren solche Lösungen auch problemlos einzusetzen. In der freien Wirtschaft dagegen – außer bei Banken und manchen Versicherungen – herrscht dagegen eine gewisse Vielfalt, die nicht ohne Weiteres mit einem positiven Sicherheitsansatz abbildbar ist.

Hintergrund

Die Industrie, insbesondere der innovative und technische führende Mittelstand, ist vom Datendiebstahl betroffen.^[2]

In den meisten Fällen ist es sehr einfach, vertrauliche Daten aus dem Unternehmen heraus zu schmuggeln und gewinnbringend zu veräußern. Neben dem Mangel oder Mängeln an der IT-Sicherheit fehlt es oft an ausreichend sicheren physischen Zugangskontrollen. Die jährlichen Schäden durch Industriespionage in Westeuropa liegen schätzungsweise bei einem dreistelligen Milliardenbetrag.

Produkte, die u. a. vor Industriespionage schützen sollen, werden nach dem Kauf der Liechtensteiner Kontendaten des BND mit dem Begriff „Data Loss Prevention“ versehen. Aber bei den meisten Produkten handelt es sich nur um ein kleines Fragment des Mosaiks, das den Schutz der Vertraulichkeit bildet. Beispielsweise können auf Grund technischer Limitationen der meisten Produkte nicht alle für die tägliche Arbeit notwendigen Übertragungswege abgesichert werden. Oder es werden nur sehr wenige Dateitypen unterstützt. Oft sind die Schutzmaßnahmen auch nicht granular genug, es gibt nur „Ein“ oder „Aus“, nicht aber „Gruppe A darf unter der Bedingung, dass …“. Viele DLP-Produkte greifen beispielsweise bereits dann nicht mehr, wenn man eine Datei umbenennt oder komprimiert.

Lässt man sich auf technisch unzureichende Lösungen ein, ist das ein Tropfen auf den heißen Stein – meint man es aber ernst, führen technische Einschränkungen unweigerlich zu Änderungen aller Arbeitsabläufe mit vertraulichen Daten im gesamten Unternehmen. Umfassend wird der Schutz der Vertraulichkeit von Informationen in einem ISMS beschrieben. So angegangen, betrifft Data Loss Prevention nahezu alle klassischen Sicherheitssysteme in einer Organisation und zielt weit eher auf die Vervollkommnung bereits lang eingeführter Sicherheitsmaßnahmen als auf die Einführung neuer, spezialisierter Produkte.^[3] Die vorhandenen Systeme wie Identitätsmanagement, Verschlüsselung, Monitoring und Zugriffskontrolle müssen allerdings um den DLP-Ansatz ergänzt und um ein einheitliches Management ergänzt werden, das auf DLP-Zwecke ausgerichtet ist.^[4] Bei diesen Überlegungen geht der Schutz von Informationen deutlich weiter, als wenn Daten betrachtet würden.

Sinnvoll ist es, die loyalen Mitarbeiter einer Organisation in die Maßnahmen zur Data Loss Prevention einzubeziehen und sie insbesondere mittels Schulungen gegen Spionageattacken zu wappnen. Dies gilt auch deshalb, weil die immer bessere Schutztechnik Spione vermehrt zur direkten Manipulation von Menschen mittels Social Engineering greifen lässt. Wirksame Schulungen müssen allerdings berücksichtigen, dass Social Engineering die Zielpersonen massiv unter Druck setzt, was den Opfern ein planvolles Vorgehen erschwert und das Erlernen spezieller Ausweichtechniken notwendig macht.^[5]

Bei der Einführung und Umsetzung von Data Loss Prevention im Unternehmen muss eine sorgfältige Abstimmung und Abwägung mit Datenschutzvorschriften und den Persönlichkeitsrechten der Mitarbeiter erfolgen, um Verletzungen dieser Regeln und Rechte zu vermeiden. Wird bekannt, dass ein Unternehmen entsprechende Rechte missachtet, kann es erhebliche Reputationsverluste erleiden.^[3]

Technische Details

Technisch gesehen lassen sich durch moderne DLP alle denkbaren Szenarien des Datendiebstahls absichern. Es wird das Lesen oder Schreiben auf alle Wechselmedien unterstützt, z. B. USB-Sticks und Brenner, sowie der Transfer von Daten über flüchtige Speicher, z. B. per E-Mail oder Datei-Uploads. Je nach Integration können sogar die Funktionen von Cut&Paste und Printscreen verhindert werden. Ebenso gibt es inzwischen Ansätze, Datenlecks proaktiv durch Statische Code Analyse zu ermitteln. ^[6] Einzig das Abfilmen oder Fotografieren des Bildschirms ist – wenn überhaupt – nur sehr aufwendig zu verhindern.

Hardware und Software

Bei DLP-Produkten handelt es sich entweder um Software oder Module aus Software und Hardware.

Module gibt es für das Netz und auch als Erweiterungen bestehender Sicherheitstechniken. Sie arbeiten als Proxy oder Sniffer, für bestehende Proxys oder Mailfilter. Diese Module haben zurzeit die geringste Erkennungsrate, unterstützen am wenigsten Dateiformate und lassen sich am einfachsten umgehen. Und da jeder weiß, dass jede einzelne E-Mail protokolliert wird, werden Spione garantiert keine unverschlüsselten Inhalte per E-Mail versenden.

Weil mit den meisten Verschlüsselungslösungen der Anwender das Recht hat, die Daten mit Hilfe eines Kennworts zu entschlüsseln, obliegt es der freiwilligen Mitarbeit jedes Einzelnen, ob der Schutz erhalten bleibt.

Eine wirksame DLP-Lösung kann nur agentenbasiert sein. Im Prinzip handelt es sich um eine intelligent gesteuerte Verschlüsselung. Als Erstes muss die Software selbst sicher sein, darf also bisher nicht gehackt worden sein und einen Computer als Funktionseinheit betrachten. Neben der Verschlüsselung müssen zusätzliche Funktionen zur Verfügung stehen, die den Umgang bestimmter Anwender mit bestimmten Daten regulieren können. Benötigte Funktionen einer DLP-Lösung sind:

• Dokumentieren, was wurde mit bestimmten Daten gemacht,
• Anwenderinformation, Sensibilisierung im Umgang mit vertraulichen Daten, z. B. durch ein Popup
• Bestätigung des Anwenders einholen, z. B. durch ein Eingabefeld im Popup
• Blocken sämtlicher Aktionen, die mit Daten möglich sind
• Alarmieren

DLP-Agenten auf Arbeitsplatzrechnern und Servern mit schützenswerten Daten werden immer zentral verwaltet. Auf dem Verwaltungscomputer werden für Benutzergruppen oder einzelne Benutzer bestimmte Rechte erteilt. Diese Rechte können aber bei den meisten Produkten nicht sehr fein justiert werden. Daher muss immer geprüft werden, ob ein Produkt den Anforderungen überhaupt entspricht. Anderenfalls müsste das Unternehmen an die Beschränkungen einer DLP-Lösung angepasst werden, z. B. dass bestimmte Dateitypen nicht mehr verwendet werden dürfen.

Rechtliche Grenzen

Die Einführung von DLP in einem Unternehmen wirft erhebliche Datenschutzbedenken auf. Insbesondere der Arbeitnehmerdatenschutz ist zu berücksichtigen.^[7]

Einzelnachweise und Anmerkungen

1. ↑ Vontu, gegründet 12/2001
2. ↑ Datenklau: Mittelstand besonders gefährdet. In: Deutsche Handwerkszeitung, 28. August 2007
3. ↑ ^{a b} Johannes Wiele: Data Loss Prevention: Vom Leck zum Ventil. In: Lanline 3/2009
4. ↑ Axel Mario Tietz: Data Leakage Prevention. In: Patrick Horster, Peter Schartner (Hrsg.): D.A.CH Security 2009 – Bestandsaufnahme, Konzepte, Anwendungen, Perspektiven. ISBN 978-3-00-027488-6, S. 42–48 (zugleich Tagungsband der D.A.CH Security Konferenz 2009, Bochum)
5. ↑ Bettina Weßelmann: Interne Spionageabwehr. In: kes 1/2011, S. 66–69. kes online unter „Kes aktuell/Aktuelles Heft/Mitarbeiter vs. Spionage“
6. ↑ Detecting Data Leaks in SAP - The Next Level of Static Code Analysis. (PDF; 2,1 MB) Konferenz: IT Defense, 31. Januar 2013
7. ↑ datenschutzzentrum.de