Data Loss Prevention

Marketingbegriff aus der Informationssicherheit; Schutz gegen den Abfluss von Daten

Data Loss Prevention (DLP) ist ein Marketingbegriff aus dem Bereich der Informationssicherheit. Auch Data Leak / Leakage Prevention genannt, ist DLP aus der „Exfiltration Prevention“-Technik hervorgegangen. Klassisch gesehen gehört DLP zu den Schutzmaßnahmen, die direkt den Schutz der Vertraulichkeit von Daten unterstützt und je nach Ausprägung direkt oder indirekt deren Integrität und Zuordenbarkeit.

„Data Loss Prevention“ und „Data Leakage Prevention“ werden meist synonym gebraucht, von einigen Spezialisten in der Fachdiskussion aber auch unterschieden: „Data Loss Prevention“ ist der Schutz gegen den unerwünschten Abfluss von Daten, der Schaden verursacht und daher auch bemerkt wird, während „Data Leakage Prevention“ für einen Schutz gegen ein vermutetes, aber nicht messbares und manchmal auch im Einzelfall gar nicht feststellbares Weitergeben von Informationen an unerwünschte Empfänger steht.

Historie und Entstehung

Bearbeiten
  • Es gab DLP-Produkte, lange bevor sich dieser Begriff als allgemeine Bezeichnung zu festigen begann (Avant la lettre).[1]

Hersteller von IT-Sicherheitslösungen meinen seit ca. 2007 mit DLP eine oder mehrere Funktionen ihrer Produkte, mit deren Hilfe Daten vor nicht autorisierten Zugriffen geschützt werden sollen. Weil inzwischen viele Hersteller meinen, ihre Produkte seien annähernd dazu in der Lage, DLP zu bieten, bezeichnet DLP ein umfangreiches Sammelsurium unterschiedlichster IT-Sicherheitstechniken und Maßnahmen. Je nach verwendeter Technik sind mehr oder weniger flankierende Maßnahmen erforderlich, um einen vollständigen Schutz der Vertraulichkeit herzustellen.

Beispiele: Eine sehr einfache DLP-Lösung protokolliert Dateinamen, die von und zu allen USB-Geräten geschrieben werden. Eine umfassendere DLP-Lösung erkennt jede Änderung an vertraulichen Daten, besonders auch mit Hilfe von Drittsoftware, und kann je nach Sicherheitsrichtlinie beliebige Aktionen durchführen, die auch mit administrativen Rechten des Anwenders nicht abzuwenden sind.

Die ersten DLP-Lösungen wurden beim Militär eingesetzt und boten eine Kombination aus Hardware- und Softwarekontrolle. Mit der Hardwarekontrolle kann z. B. ein USB-Stick durch eine individuelle Seriennummer nur einem bestimmten Benutzer zugeordnet werden, der ihn beschreiben darf. Der Stick wird natürlich verschlüsselt, am besten vollständig transparent für alle Mitarbeiter. Lesen können die Daten auf dem Stick die Kollegen aus der Abteilung und natürlich der Linienvorgesetzte.

Mit der SW-Kontrolle wird geregelt, welche Anwendungen ausgeführt werden dürfen. Und weil bei Behörden alles einheitlich ist, waren solche Lösungen auch problemlos einzusetzen. In der freien Wirtschaft dagegen – außer bei Banken und manchen Versicherungen – herrscht dagegen eine gewisse Vielfalt, die nicht ohne Weiteres mit einem positiven Sicherheitsansatz abbildbar ist.

Hintergrund

Bearbeiten

Die Industrie, insbesondere der innovative und technische führende Mittelstand, ist vom Datendiebstahl betroffen.[2]

In den meisten Fällen ist es sehr einfach, vertrauliche Daten aus dem Unternehmen herauszuschmuggeln und gewinnbringend zu veräußern. Neben dem Mangel oder den Mängeln an der IT-Sicherheit fehlt es oft an ausreichend sicheren physischen Zugangskontrollen. Die jährlichen Schäden durch Industriespionage in Westeuropa liegen schätzungsweise bei einem dreistelligen Milliardenbetrag.

Produkte, die u. a. vor Industriespionage schützen sollen, werden nach dem Kauf der Liechtensteiner Kontendaten des BND mit dem Begriff „Data Loss Prevention“ versehen. Aber bei den meisten Produkten handelt es sich nur um ein kleines Fragment des Mosaiks, das den Schutz der Vertraulichkeit bildet. Beispielsweise können auf Grund technischer Limitationen der meisten Produkte nicht alle für die tägliche Arbeit notwendigen Übertragungswege abgesichert werden. Oder es werden nur sehr wenige Dateitypen unterstützt. Oft sind die Schutzmaßnahmen auch nicht granular genug, es gibt nur „Ein“ oder „Aus“, nicht aber „Gruppe A darf unter der Bedingung, dass …“. Viele DLP-Produkte greifen beispielsweise bereits dann nicht mehr, wenn man eine Datei umbenennt oder komprimiert.

Lässt man sich auf technisch unzureichende Lösungen ein, ist das ein Tropfen auf den heißen Stein – meint man es aber ernst, führen technische Einschränkungen unweigerlich zu Änderungen aller Arbeitsabläufe mit vertraulichen Daten im gesamten Unternehmen. Umfassend wird der Schutz der Vertraulichkeit von Informationen in einem Informationssicherheitsmanagementsystem beschrieben. So angegangen, betrifft Data Loss Prevention nahezu alle klassischen Sicherheitssysteme in einer Organisation und zielt weit eher auf die Vervollkommnung bereits lang eingeführter Sicherheitsmaßnahmen als auf die Einführung neuer, spezialisierter Produkte.[3] Die vorhandenen Systeme wie Identitätsmanagement, Verschlüsselung, Monitoring und Zugriffskontrolle müssen allerdings um den DLP-Ansatz ergänzt und um ein einheitliches Management ergänzt werden, das auf DLP-Zwecke ausgerichtet ist.[4] Bei diesen Überlegungen geht der Schutz von Informationen deutlich weiter, als wenn Daten betrachtet würden.

Sinnvoll ist es, die loyalen Mitarbeiter einer Organisation in die Maßnahmen zur Data Loss Prevention einzubeziehen und sie insbesondere mittels Schulungen gegen Spionageattacken zu wappnen. Dies gilt auch deshalb, weil die immer bessere Schutztechnik Spione vermehrt zur direkten Manipulation von Menschen mittels Social Engineering greifen lässt. Wirksame Schulungen müssen allerdings berücksichtigen, dass Social Engineering die Zielpersonen massiv unter Druck setzt, was den Opfern ein planvolles Vorgehen erschwert und das Erlernen spezieller Ausweichtechniken notwendig macht.[5]

Bei der Einführung und Umsetzung von Data Loss Prevention im Unternehmen muss eine sorgfältige Abstimmung und Abwägung mit Datenschutzvorschriften und den Persönlichkeitsrechten der Mitarbeiter erfolgen, um Verletzungen dieser Regeln und Rechte zu vermeiden. Wird bekannt, dass ein Unternehmen entsprechende Rechte missachtet, kann es erhebliche Reputationsverluste erleiden.[3]

Technische Details

Bearbeiten

Technisch gesehen lassen sich durch moderne DLP alle denkbaren Szenarien des Datendiebstahls absichern. Es wird das Lesen oder Schreiben auf alle Wechselmedien unterstützt, z. B. USB-Sticks und Brenner, sowie der Transfer von Daten über flüchtige Speicher, z. B. per E-Mail oder Datei-Uploads. Je nach Integration können sogar die Funktionen von Cut&Paste und Printscreen verhindert werden. Ebenso gibt es inzwischen Ansätze, Datenlecks proaktiv durch statische Code-Analyse zu ermitteln.[6] Einzig das Abfilmen oder Fotografieren des Bildschirms ist – wenn überhaupt – nur sehr aufwendig zu verhindern.

DLP Kanäle

Bearbeiten

Man unterscheidet unterschiedliche Kanäle, in denen der Datenabfluss überprüft wird. Die drei klassischen Kanäle sind wie folgt definiert[7]:

  • Data in Use (DiU): Daten, welche aktuell vom Benutzer verwendet werden. Typischerweise findet diese Überprüfung auf dem Client-Rechner des Benutzer statt mithilfe einer Software, welche die Handlungen des Benutzers überwacht, mit diesem interagiert und DLP Vorfälle an das zentrale DLP System meldet.
  • Data in Motion (DiM): In diesem Kanal werden Daten überprüft, welche über ein Netzwerk übertragen werden. Typische Anwendungsbeispiele sind die Überwachung von E-Mails oder auch von Uploads von Daten auf Internetseiten.
  • Data at Rest (DaR): In diesem Fall werden Daten, welche auf einem Datenträger gespeichert sind, überprüft. Werden beispielsweise vertrauliche Dokumente in einem öffentlichen Ordner gefunden, wird ein DLP Vorfall generiert.

Microsoft fasst die beiden ersten Kanäle, DiU und DiM zusammen und spricht dabei von Data in Transition.

Hardware und Software

Bearbeiten

Bei DLP-Produkten handelt es sich entweder um Software oder Module aus Software und Hardware.

Module gibt es für das Netz und auch als Erweiterungen bestehender Sicherheitstechniken. Sie arbeiten als Proxy oder Sniffer, für bestehende Proxys oder Mailfilter. Diese Module haben zurzeit die geringste Erkennungsrate, unterstützen am wenigsten Dateiformate und lassen sich am einfachsten umgehen. Und da jeder weiß, dass jede einzelne E-Mail protokolliert wird, werden Spione garantiert keine unverschlüsselten Inhalte per E-Mail versenden.

Weil mit den meisten Verschlüsselungslösungen der Anwender das Recht hat, die Daten mit Hilfe eines Kennworts zu entschlüsseln, obliegt es der freiwilligen Mitarbeit jedes Einzelnen, ob der Schutz erhalten bleibt.

Eine wirksame DLP-Lösung kann nur agentenbasiert sein. Im Prinzip handelt es sich um eine intelligent gesteuerte Verschlüsselung. Als Erstes muss die Software selbst sicher sein, darf also bisher nicht gehackt worden sein und einen Computer als Funktionseinheit betrachten. Neben der Verschlüsselung müssen zusätzliche Funktionen zur Verfügung stehen, die den Umgang bestimmter Anwender mit bestimmten Daten regulieren können. Benötigte Funktionen einer DLP-Lösung sind

  • Dokumentieren, was wurde mit bestimmten Daten gemacht,
  • Anwenderinformation, Sensibilisierung im Umgang mit vertraulichen Daten, z. B. durch ein Pop-up,
  • Bestätigung des Anwenders einholen, z. B. durch ein Eingabefeld im Pop-up,
  • Blocken sämtlicher Aktionen, die mit Daten möglich sind,
  • Alarmieren.

DLP-Agenten auf Arbeitsplatzrechnern und Servern mit schützenswerten Daten werden immer zentral verwaltet. Auf dem Verwaltungscomputer werden für Benutzergruppen oder einzelne Benutzer bestimmte Rechte erteilt. Diese Rechte können aber bei den meisten Produkten nicht sehr fein justiert werden. Daher muss immer geprüft werden, ob ein Produkt den Anforderungen überhaupt entspricht. Anderenfalls müsste das Unternehmen an die Beschränkungen einer DLP-Lösung angepasst werden, z. B. dass bestimmte Dateitypen nicht mehr verwendet werden dürfen.

Scan Methoden

Bearbeiten

Die meisten DLP System unterstützen zahlreiche unterschiedliche Scanmethoden[7]. In den folgenden Abschnitten sind einige der wichtigsten kurz beschrieben. Oftmals lassen sich verschiedene Methoden kombinieren und sind in der Regel auch auf alle Kanäle anwendbar.

Eine einfache aber durchaus effektive Methode ist der Vergleich der Daten in einem Dokument oder Datenstrom mit vordefinierten Listen. Solche Listen können sowohl als Black- als auch als Whitelists verwendet werden.

Reguläre Ausdrücke

Bearbeiten

Um zu verhindern, dass Daten, die einem Muster folgen wie etwa Kreditkarten-Nummern, abfließen, eignen sich reguläre Ausdrücke sehr gut.

Exact Data Matching (EDM)

Bearbeiten

Mit EDM lassen sich komplexe Suchmuster definieren. Müssen beispielsweise Daten nach Namen, Vornamen, Geburtsort einer Person durchsucht werden, eignen sich reguläre Ausdrücke nicht, da gerade in unstrukturierten Daten oft nicht definiert ist, ob beispielsweise zuerst der Vorname oder der Nachname der Person geschrieben wird. In EDM werden die einzelnen Attribute des Suchbegriffs zu einem Index zusammengefasst. Werden alle Attribute innerhalb eines definierten Radius in einem Dokument gefunden, wird ein DLP Vorfall erzeugt.

Diese Methode kann beispielsweise verwendet werden, um sicherzustellen, dass Kundeninformationen nicht versehentlich aus einem Unternehmen abfließen.

Maschinelles Lernen

Bearbeiten

Anhand von „guten“ und von „schlechten“ Beispielen wird der Scanner trainiert, so dass er selbstständig Dokumenttypen identifizieren kann. Diese Methode kommt beispielsweise zur Anwendung, wenn verhindert werden soll, dass Quellcode aus einem Unternehmen wegkopiert wird.

Formulare

Bearbeiten

Dokumente mit einer vorgegebenen Struktur, etwa Formulare, Protokolle, Lohnausweise etc. können als Muster vordefiniert werden. Erkennt der DLP Scanner ein solches Muster, wird das Dokument, unabhängig von dessen Inhalt, einen DLP Vorfall verursachen.

Weitere Methoden

Bearbeiten

Moderne DLP Systeme unterstützen zumeist weitere Methoden zum Erkennen von Daten. Dazu gehört Texterkennung in Bildern, so dass auch Texte, welche als Grafikdateien verschickt werden, überprüft werden können.

Die meisten DLP Systeme können zudem auf die Klassifizierung von Dokumenten zugreifen. Anhand der Klassifizierung entscheidet der DLP Scanner, ob eine Aktion mit dem überprüften Dokument erlaubt ist oder ob ein DLP Vorfall generiert werden muss.

Rechtliche Grenzen

Bearbeiten

Die Einführung von DLP in einem Unternehmen wirft erhebliche Datenschutzbedenken auf. Insbesondere der Arbeitnehmerdatenschutz ist zu berücksichtigen.[8]

Einzelnachweise und Anmerkungen

Bearbeiten
  1. Vontu, gegründet 12/2001
  2. Datenklau: Mittelstand besonders gefährdet. In: Deutsche Handwerkszeitung, 28. August 2007
  3. a b Johannes Wiele: Data Loss Prevention: Vom Leck zum Ventil. In: Lanline 3/2009
  4. Axel Mario Tietz: Data Leakage Prevention. In: Patrick Horster, Peter Schartner (Hrsg.): D.A.CH Security 2009 – Bestandsaufnahme, Konzepte, Anwendungen, Perspektiven. ISBN 978-3-00-027488-6, S. 42–48 (zugleich Tagungsband der D.A.CH Security Konferenz 2009, Bochum)
  5. Bettina Weßelmann: Interne Spionageabwehr. In: kes 1/2011, S. 66–69. kes online unter „Kes aktuell/Aktuelles Heft/Mitarbeiter vs. Spionage“
  6. Detecting Data Leaks in SAP - The Next Level of Static Code Analysis. (Memento vom 24. Oktober 2014 im Internet Archive) (PDF; 2,1 MB) Konferenz: IT Defense, 31. Januar 2013
  7. a b Cyril Marti: DLP Basiswissen. Books on Demand, Norderstedt 2021, ISBN 978-3-7526-3887-5, S. 136.
  8. datenschutzzentrum.de (Memento vom 5. März 2016 im Internet Archive)