Eine eigene Cyber-Sicherheitskategorie zur Verhinderung von Datenverlust mag überflüssig erscheinen. Geht es bei der Cyber-Sicherheit nicht immer um den Schutz von Daten? Doch, aber um Ihre sensibelsten und wertvollsten Daten effektiv zu schützen, benötigen Sie einen gut durchdachten, strukturierten Ansatz. Genau damit befasst sich DLP. Data Loss Prevention zielt auf die Erkennung und Prävention von Datenverlusten mittels fachlichem Know-how, Prozessen und Technologien ab.
DLP überschneidet sich mit mehreren anderen Bereichen des IT-Betriebs, der Cyber-Sicherheit und der Compliance. Das Ziel der DLP ist immer dasselbe, unabhängig von der Komplexität der Infrastruktur: Sie soll den Verlust von Daten verhindern – sei es durch eine Sicherheitsverletzung, Ausschleusung oder die Verschlüsselung durch Angreifer.
Mitunter wird DLP einfach mit einem Produkt gleichgesetzt. Natürlich gibt es zahlreiche DLP-Lösungen – und die Anschaffung einer solchen Lösung ist ein wichtiger Bestandteil jeder erfolgreichen DLP-Strategie. Doch wie Gartner sehr treffend schrieb: „DLP-Technologie ist am effektivsten, wenn sie von den Geschäftsprozessen unterstützt und nicht nur auf eine Plattform reduziert wird, die man einrichtet und dann sich selbst überlässt.“
Ebenso muss berücksichtigt werden, dass Datenverlust nicht zwangsläufig die Folge eines Cyber-Angriffs ist. Einige sehr schwerwiegende Datenverluste wurden durch Unachtsamkeit verursacht, zum Beispiel durch nachlässige oder unzulänglich durchdachte Abläufe bei der Datenverwaltung. Das Ziel jedes Unternehmens sollte sein, sein Geschäft zu betreiben, ohne dass jemals Unternehmensdaten abhanden kommen oder offengelegt werden.
DLP umfasst mehrere Funktionsbereiche, darunter Datensicherheit und die damit verbundenen Maßnahmen (wie Verschlüsselung), Prozesse für die Datenresilienz (wie Backups) und Daten-Governance. Eine effektive DLP-Strategie hängt von vier zentralen Maßnahmen ab:
Daten identifizieren: Um Ihre Daten zu schützen, müssen Sie wissen, welche Daten Sie besitzen und wo diese sich befinden. Ihr Unternehmen verfügt über eine individuelle Datenlandschaft mit verschiedensten Formaten und Vertraulichkeitsgraden. Ein effektiver DLP-Ansatz setzt voraus, dass Sie wissen, welche Daten sensibel und wo sie gespeichert sind.
Daten schützen: DLP-spezifische Sicherheitsprozesse und Maßnahmen wie die Verschlüsselung von Daten und Zugriffskontrollen, zuverlässige Daten-Backups und Wiederherstellungsfunktionen sorgen dafür, dass Ihre Daten geschützt sind.
Versehentliche Datenverluste verhindern: Datenverluste können von Mitarbeitern verursacht werden – mitunter überraschend schnell und meist völlig unabsichtlich. Die Ursachen sind vielfältig: übermäßiges Teilen von Daten, Weitergeben von Passwörtern oder unbefugtes Speichern von Daten auf öffentlichen Cloud-Plattformen.
Daten konsistent und zuverlässig verwalten: Um Datenverluste zu verhindern, benötigen Sie Richtlinien für die Daten-Governance, die den gesamten Datenlebenszyklus umfassen (unter anderem Aufbewahrung und Speicherung), Regeln für die Speicherung sensibler Daten und ähnliche Maßnahmen.
Worin unterscheiden sich DLP und Datensicherheit? Obwohl sich diese beiden Bereiche überschneiden, sind sie nicht deckungsgleich. Datensicherheit sorgt mit Sicherheitskontrollen, -maßnahmen und -technologien dafür, dass niemand Daten entwendet oder unbefugt darauf zugreift. Allerdings sind diese Verfahren nicht so umfassend wie ein DLP-Ansatz. Beispielsweise fallen weder das Identifizieren und Klassifizieren von Daten noch das Verhindern versehentlicher Datenverluste in diesen Bereich.
DLP geht da weiter. Eine DLP-Lösung schützt sensible Daten vor Diebstahl, Offenlegung und unbefugtem Zugriff, indem sie einheitliche Richtliniendefinitionen und ein konsistentes Richtlinienmanagement ermöglicht. So kann die Steuerung von Datensicherheitsmaßnahmen über einen einzigen DLP-Richtliniensatz zentralisiert werden. Zudem überwacht eine DLP-Lösung oftmals das Benutzerverhalten in Bezug auf den Datenzugriff und generiert in potenziell verdächtigen Situationen Warnmeldungen, z. B. wenn ein Mitarbeiter übermäßig viele Dateien außerhalb des Unternehmens teilt. Das könnte ein Bedienfehler oder ein Anzeichen für einen Cyber-Angriff sein. In Situationen wie dieser kommt in der Regel die Integration mit den SOC-Teams und ‑Tools des Unternehmens zum Tragen, die in Kombination mit den meist hochgradig automatisierten Funktionen einer DLP-Lösung greifen.
Es gibt im Grunde drei Arten von Data Loss Prevention:
Netzwerk-DLP: Netzwerk-DLP schützt Ihre Daten bei der Übertragung im Netzwerk. Böswillige Akteure könnten beispielsweise Netzwerkdatenverkehr abfangen und Daten von E-Mail-Servern oder aus Anwendungen stehlen. Lösungen für Netzwerk-DLP überwachen den Netzwerk-Traffic auf Anzeichen von Datenverlusten und melden verdächtige Datenübertragungen.
Speicher-/Cloud-DLP: Diese Art von DLP schützt Daten im Ruhezustand. Dabei geht es in erster Linie um das Klassifizieren und Schützen gespeicherter Daten, meist mittels Verschlüsselung. Speicher-/Cloud-DLP schützt Daten, die im Unternehmen selbst, in Public- und Private-Cloud-Umgebungen oder in hybriden Umgebungen (Multi-Cloud) aufbewahrt werden.
Endpunkt-DLP: Endpunkt-DLP sorgt für Datensicherheit auf Geräten (wie Smartphones, Laptops und Servern), die über das interne Netzwerk erreichbar sind. Endpunkt-DLP-Lösungen überwachen das Netzwerk auf der Clientseite auf Anzeichen von Datenverlusten und auf die Durchsetzung von Richtlinien (wie starke Passwörter, Zugriffskontrollen und Verschlüsselung).
Sie sind sich nicht sicher, ob eine DLP-Strategie wirklich notwendig ist? Die Antwort lautet: Ja, und zwar aus mehreren Gründen. Beispielsweise nimmt die Anzahl von Vorfällen mit Datenverlust Jahr um Jahr zu. So hat ein Anbieter von Background-Checks dieses Jahr einen schwerwiegenden Sicherheitsvorfall gemeldet, bei dem fast sämtliche US-amerikanischen Sozialversicherungsnummern gestohlen wurden. Führende Marken von Yahoo über Alibaba bis hin zu LinkedIn und Marriott waren ebenfalls betroffen. Diese Vorfälle schaden der Reputation und die Wiederherstellung der Daten kann extrem kostspielig werden. Zudem können Konsequenzen durch Aufsichtsbehörden drohen.
Zwar nennen Datensicherheits- und Datenschutzvorschriften meist nicht explizit den Begriff DLP, aber eine DLP-Strategie kann maßgeblich dazu beitragen, Compliance aufzubauen und zu erhalten. Verordnungen wie die DSGVO und der CCPA (California Consumer Protection Act) verlangen, dass Unternehmen den Verlust privater Verbraucherdaten mit entsprechenden Sicherheitskontrollen verhindern. Bei einer Verletzung dieser Schutzpflicht werden meist Bußgelder erhoben. Auch Datenpannen, die einen Verstoß gegen HIPAA (U.S. Health Insurance Portability and Accountability Act) darstellen und den Verlust oder die Offenlegung von Gesundheitsdaten zur Folge haben, werden entsprechend bestraft.
Fragen Sie sich, wie Sie Ihre DLP-Strategie erfolgreich umsetzen? DLP ist kein neues Konzept und IT- und Sicherheitsexperten haben Best Practices entwickelt, die bei der Einführung und Umsetzung von DLP helfen. Zusätzlich zu den branchenüblichen Best Practices für IT- bzw. Sicherheitsprojekte, wie das Dokumentieren von Prozessen und Verfahren und das Definieren von Anforderungen, haben sich unter anderem die folgenden Schritte als Teil einer DLP-Strategie bewährt:
Identifizieren und klassifizieren Sie sensible Daten: Ermitteln Sie, welche Ihrer Daten am dringendsten vor Verlust oder Offenlegung geschützt werden müssen. Berücksichtigen Sie dabei auch unstrukturierte Daten wie Dokumente und E-Mails. Eine gute DLP-Lösung bietet Funktionen zur Kennzeichnung der Daten, die mit höchster Priorität gesichert werden müssen.
Ermitteln und beheben Sie die Schwachstellen in Ihrer IT-Infrastruktur: Angreifer sind extrem versiert darin, Einfallstore in Netzwerken und Datenspeichern zu finden. Mitunter sind sogar Ihre Mitarbeiter der Bedrohungsvektor und ein wichtiges Instrument zum Schutz von Daten sind Zugriffskontrollen. Beschränken Sie also den Zugriff einzelner Personen oder Gruppen auf die Daten, die sie für die Erledigung ihrer Arbeit benötigen.
Sichern Sie Daten in der Cloud: Cloud-basierte Daten-Backups sollten Teil jeder DLP-Strategie sein. Die Cloud ermöglicht Backups an geografisch getrennten Standorten und bietet die Möglichkeit, Systeme nach einem Ausfall (oder einem Sicherheitsvorfall) schnell wiederherzustellen.
Schulen Sie Ihre Mitarbeiter, Vertragspartner und andere Nutzer Ihrer Daten: Angesichts des hohen Risikos, dass Benutzer Daten versehentlich löschen oder offenlegen, muss ein effektiver DLP-Ansatz die Einweisung aller Beteiligten beinhalten.
Implementieren Sie Prozesse für eine konsistente Cyber-Hygiene: Die Absicherung von Netzwerken und Systemen ist ein wichtiger Bestandteil eines wirkungsvollen DLP-Ansatzes, selbst wenn dieser Aspekt nicht explizit im DLP-Programm festgelegt ist. Maßnahmen wie Patch-Management, Passwortrotation und Multi-Faktor-Authentifizierung (MFA) helfen, Ihre Daten vor Angreifern zu schützen.
Legen Sie Erfolgskennzahlen fest: Wenn Sie die Fortschritte bei Ihren DLP-Maßnahmen mit messbaren Kennzahlen verknüpfen, können Sie Führungskräften und anderen Stakeholdern gegenüber die Effektivität Ihrer DLP-Strategie belegen. Sie können beispielsweise aufzeigen, wie viele Vorfälle mit Datenverlust in einem bestimmten Zeitraum aufgetreten sind und wie lange die Behebung und Wiederherstellung gedauert hat. Im Idealfall verbessern sich diese Zahlen durch das DLP-Programm.
Darüber hinaus sollten die Rollen und Verantwortlichkeiten klar verteilt sein. Die Verantwortung für DLP-Maßnahmen sollte von einer Person übernommen werden, die sich über die damit verbundenen Anforderungen und Aufgaben im Klaren sein muss. In Bezug auf Kontrollen kann sich eine Aufgaben- oder Funktionstrennung anbieten, um zu verhindern, dass Benutzer – versehentlich oder mutwillig – Daten offenlegen.
Manche Verantwortliche fragen sich, ob sie separate Lösungen für EDR (Endpoint Detection and Response) und DLP benötigen. Dahinter steckt die Annahme, dass eine effektive EDR-Lösung Hacker aus dem Netzwerk fernhalten und Angriffe erkennen und stoppen kann – oder dass sie zumindest das Sicherheitsteam über einen Sicherheitsvorfall benachrichtigt, der ein Eingreifen erfordert.
Eine EDR-Lösung verfolgt jedoch einen anderen Zweck als eine DLP-Strategie und Unternehmen benötigen beide. Im Rahmen des DLP-Programms werden Daten kategorisiert und es werden Prioritäten für die Absicherung festgelegt. Mit einer DLP-Lösung werden einheitliche Richtlinien für alle Endpunkte, Speicherorte, Cloud-Umgebungen und das Netzwerk festgelegt. Zur Durchsetzung dieser Richtlinien müssen die EDR- und die DLP-Lösung möglicherweise gemeinsam genutzt werden.
Eine effektive DLP-Strategie umfasst drei Schritte:
Identifizieren der sensiblen Daten: Um die sensiblen Daten in Ihrem Unternehmen zu ermitteln, können Sie eine DLP-Plattform nutzen, aber auch andere Tools für die Datenklassifizierung – wie die von Rubrik – können diesen Schritt unterstützen.
Schutz der Daten: Dieser Schritt umfasst das Definieren und Einrichten von Sicherheitskontrollen, um Daten zu verschlüsseln und unbefugten Zugriff zu verhindern.
Überwachen und Reagieren: Dieser Schritt – mit kontinuierlichem Monitoring und einer schnellen Reaktion auf erkannte Bedrohungen – rundet Ihr DLP-Programm ab.
Es gibt eine ganze Reihe guter DLP-Lösungen auf dem Markt, die Ihnen helfen, Datenpannen und unbefugten Zugriff auf Unternehmensdaten zu verhindern. Wir empfehlen jedoch, dass Sie vor dem Kauf einer DLP-Plattform ermitteln, welche Tools und Mittel Sie bereits besitzen, die Ihr DLP-Programm zu einem Erfolg machen können.
Unter Umständen können Sie mit vorhandenen Kontrollfunktionen in Anwendungen, Datenbanken und Netzwerken einige derselben Richtlinien einrichten und durchsetzen wie mit einer DLP-Lösung. Auch Backup- und Wiederherstellungslösungen können DLP-Funktionen übernehmen, indem sie dafür sorgen, dass Daten nach einer Datenpanne oder einem Ransomware-Angriff wieder verfügbar sind.
Zusätzlich benötigt jedes Unternehmen jedoch seine eigene, individuelle DLP-Strategie. Wie diese aussieht, hängt unter anderem von der Größe des Unternehmens und der Branche, in der es tätig ist, ab. Ein kleiner Gesundheitsdienstleister hat beispielsweise andere DLP-Anforderungen als ein global tätiger Industriekonzern. Auch die Prioritäten beim Schutz von Daten unterscheiden sich von Organisation zu Organisation. So hat in einem Pharmaunternehmen der Schutz des geistigen Eigentums höchste Priorität, während ein Anbieter im Finanzsektor in erster Linie Transaktionsdaten schützen muss.