Data Leakage Prevention betrifft jedes Unternehmen - InfoTrust AG

Tom Hager
dipl. El. Ing. HTL und
EMBA UZH, ist CEO der
InfoTrust AG.
tom.hager@infotrust.ch
Fokusthema
LeiTarTikeL: DaTa Leakage PrevenTion
Data Leakage Prevention
betrifft jedes Unternehmen
Die bisher getroffenen Schutzvorkehrungen reichen heute nicht mehr aus. Es wird immer
wichtiger, die Unternehmensdaten nicht nur gegen Zugriffe von aussen zu schützen,
sondern auch den Abfluss von kritischen Daten und Informationen einzudämmen. Tom Hager
In jedem Unternehmen gibt es sensitive Informationen, die geschützt
werden müssen. In den ersten Jahren dieses Jahrtausends
nahmen die Regulatorien aufgrund verschiedener Firmenskandale
im In- und Ausland massiv zu (z.B. OR – IKS, PCI DSS, SOX).
Die bisher getroffenen Schutzvorkehrungen, die den Zweck hatten,
ungebetene Besucher wie Hacker oder Viren fernzuhalten,
reichen nicht mehr aus. Es wird immer wichtiger, nicht nur zu
verhindern, dass von ausserhalb des Unternehmens unberechtigterweise
versucht wird, an Daten zu gelangen, sondern auch
Massnahmen umzusetzen, die den Abfluss von unternehmenskritischen
Daten und Informationen eindämmen. Zu definieren
sind auch die Einflussfaktoren und die Anforderungen, die zu berücksichtigen
sind, wie zum Beispiel das Datenschutzgesetz. Nur
so ist ersichtlich, wo Handlungsbedarf besteht.
Vorfälle
Bei DLP-Massnahmen (Data Leakage oder Loss Prevention) geht
es nicht um den Perimeterschutz, der vor allem darauf abzielt,
den Zutritt oder Zugriff durch ungebetene «Gäste» zu blockieren.
Vielmehr ist bei DLP die Absicht, direkt die betroffenen, sensitiven
Informationen zu schützen, damit keine Schäden entstehen,
weil beispielsweise Unberechtigte auf Informationen zugreifen
und missbräuchlich verwenden könnten.
© Netzmedien AG 8
Bildquelle: Fotolia

Fast täglich hört oder liest man in den Medien von Vorfällen, die
von Datenverlusten handeln. Die Ursachen davon können mannigfaltig
sein. Nachfolgend aufgelistet einige bekannt gewordene
Vorfälle aus dem Jahr 2008:
• Brite ersteigerte Notebook mit Bankkundendaten auf Ebay.
Auf dem PC lagen unverschlüsselt veraltete, aber auch aktuelle
Bankdaten von mehreren Millionen Bankkunden.
• Britisches Innenministerium verlor einen USB-Stick, worauf
die Namen und Geburtsdaten sämtlicher in England und Wales
inhaftierten Straftäter lagen.
• Hotelkette verlor Kundendaten von 8 Millionen Hotelgästen,
samt Namen, Privatadresse und Kreditkartendaten.
• Kreditkarten-Unternehmen verlor tausende von Datensätzen
mit sensitiven Kundeninformationen.
• Einem Telekomkonzern wurden 17 Millionen Kundendaten entwendet.
Diese enthielten auch Geheimnummern und Privatadressen
von Politikern, Wirtschaftsführern und Milliardären.
• Mehrere hundert manipulierte Kreditkartenlesegeräte übertrugen
via Mobilfunk Kreditkarteninformationen in unbekanntem
Umfang nach Fernost.
Nach Schätzungen einer Expertengruppe für Sicherheit im Internet
(Attrition.org) gingen 2007 weltweit vertrauliche Informationen
von zirka 162 Millionen Personen verloren. Letztlich ist
aber entscheidend, welche Auswirkungen (finanzielle Verluste
oder Imageschäden) solche Vorfälle zur Folge haben.
Data Leakage Prevention: Technische Massnahmenbereiche
– im Datacenter (Data at rest)
Die Basis für sicher gelagerte Daten ist die Umsetzung eines
adäquaten Zugriffschutzkonzepts mit entsprechend definierten
Rollen und Rechten. Um kritische Daten besser zu schützen,
können diese einerseits in verschlüsselter Form gespeichert
und andererseits der Zugriff darauf durch starke Authentisierungsvorkehrungen
erlaubt werden. Selbstverständlich ist auch
darauf zu achten, dass die Daten beziehungsweise deren Trägersysteme
physisch und logisch, durch bauliche Vorkehrungen
und mit Firewalls, unter Verschluss gehalten werden.
– im netzwerk (Data in Motion)
Sobald sich Daten in Bewegung befinden, ist ein rein physischer
Schutz der Datenträger nicht mehr ausreichend. Daher ist es unumgänglich
die Daten direkt zu schützen. Damit dieser Schutz
gewährleistet werden kann, bedingt es klaren Nutzungsreglementen
für die Anwender, in denen beispielsweise beschrieben
wird, welche Informationen für den Mailtransport zu verschlüsseln
sind oder gegebenenfalls gar nicht per Mail transportiert
werden dürfen. Eine andere Variante ist, diesen Entscheid durch
das System vornehmen zu lassen. Heute erhältliche Produkte
erlauben nach einer Definition der Klassifizierungsmerkmale die
automatische Überprüfung der Daten auf deren Sensitivität und
damit der selektiven Verschlüsselung. Die Erkennung sensitiver
Daten erfolgt dabei auf unterschiedliche Art und Weise. Einerseits
können Daten nach bestimmten Begriffen analysiert werden,
also «Content basiert». Andererseits können Daten aber
auch aufgrund von bestimmten Merkmalen, wie zum Beispiel
Fokusthema
LeiTarTikeL: DaTa Leakage PrevenTion
Auswirkungen
Mögliche Verstösse gegen geltendes Recht können sogar zu gerichtlichen
Konsequenzen führen. Dabei ist zu beachten, dass
Compliance-Anforderungen wie auch das zu bewältigende Datenvolumen
stark zugenommen haben. Betroffen sind nicht nur
Finanzinstitute, sondern grundsätzlich jedes Unternehmen.
Einer Studie von Forrester Research zufolge muss bei einem
Datenverlust mit direkten Kosten von 218 Dollar pro Datensatz
gerechnet werden. Die ganze Vorfallsbearbeitung, verlorene Mitarbeiterproduktivität,
Entschädigungen und Opportunitätskosten
sind in diesen Kosten eingeschlossen. Dazu kommen indirekte
Kosten in der Höhe von 140 Dollar, die sich aus Bussen,
Audit-Gebühren sowie strategischen und operativen Kosten zusammensetzen.
Das heisst, dass bei einem Vorfall mit Verlust
von 100 000 Datensätzen ein geschätzter potenzieller Schaden
von insgesamt 35,8 Millionen Dollar entsteht, gerechnet für einen
Zeitraum von fünf Jahren. Nicht inbegriffen in diesen Kosten
sind verlorene Marktanteile, Imageschäden etc.
Anforderungen
Welches Unternehmen will oder kann sich solche Vorfälle leisten?
Sensitive Informationen müssen folglich umfassend geschützt
werden. Bei den Informationen wird zwischen regulierten und
nicht regulierten Daten unterschieden. Regulierte Daten sind
beispielsweise personenbezogene Daten, die dem Datenschutz-
Kreditkartennummern oder Bankkonten, in diesem Fall also
«Context basiert» überprüft werden. Dadurch wird erreicht,
dass nur die wirklich kritischen Daten automatisch, ohne Interaktion
des Anwenders, verschlüsselt transportiert werden. Das
hat den erheblichen Vorteil, dass die für die Verschlüsselung
notwendigen Elemente, wie Verschlüsselungs-Keys, nur dort
wo nötig implementiert und gewartet werden müssen.
– am endpoint (Data in Use)
Am Endpoint ergibt sich eine Kombination der zwei vorher beschriebenen
Bereiche. Die lokal gespeicherten Daten sind, wie
jene im Datacenter, vor unberechtigtem Zugriff zu schützen. Dies
erfolgt ebenfalls durch entsprechende Zugriffschutzmechanismen
und Verschlüsselung, damit beispielsweise bei einem
Verlust des Geräts (Notebook, PDA, Datenträger allgemein) Informationen
nicht in unberechtigte Hände gelangen. Es muss
aber auch verhindert werden, dass seitens des berechtigten
Benutzers Informationen auf unerlaubte Weise manipuliert
werden. Ein Beispiel dafür ist, dass vertrauliche Informationen
nicht auf einen USB-Stick kopiert oder auf CD/DVD gebrannt
werden dürfen. Damit jedoch solche Massnahmen umgesetzt
werden können, sind Regelwerke notwendig, die definieren,
unter welchen Voraussetzungen ein Dokument als vertraulich
einzustufen ist. Erst dann ist es möglich, Informationen
zu prüfen und Verstösse zu verhindern. Was auch nicht vergessen
werden darf, ist die Aufstellung von entsprechenden
Nutzungsreglementen für Endgeräte, die durch die Anwender
einzuhalten sind.
© Netzmedien AG 9
4

4
gesetz unterstehen oder die Geschäftsbücher, die dem OR (insbesondere
Artikel 728a/b, 663b) unterstehen. Ein anderes Beispiel
sind Kreditkarteninformationen, die in vielen Unternehmen vornehmlich
im Handelsumfeld anfallen. Diese Unternehmen müssen
sich an die PCI-DSS-Vorschriften halten beziehungsweise zu
diesen «compliant» sein. Die Mehrzahl der Daten sind jedoch
keinen spezifischen Regulatorien oder Gesetzen unterstellt. Das
heisst jedoch nur, dass es keinen extern auferlegten Zwang gibt,
diese Daten zu schützen. Doch welches Unternehmen schützt
nicht aus Eigennutz und Wettbewerbsvorteil bestimmte Verfahren,
Methoden oder Spezialkenntnisse? Es ist daher für jedes Unternehmen
von grundlegender Bedeutung zu wissen, welche Arten
von Daten erstellt und bearbeitet werden. Erst nach einer
Datenklassifizierung ist ersichtlich, welchen Anforderungen (externe
Regulatorien oder betriebliche Vorschriften) die Daten beziehungsweise
deren Schutz zu genügen haben. Sinnvollerweise
erfolgt diese Klassifizierung dort, wo die Daten entstehen. Anschliessend
werden sie mit adäquaten Sicherheitsmassnahmen
geschützt. Bei jeder Änderung der Klassifizierung müssen auch
die damit verbundenen Schutzmassnahmen angepasst werden.
Es ist also wichtig, den gesamten Information Lifecycle, von der
Entstehung über die Nutzung bis zur Vernichtung, abzudecken.
Lösungsansätze
Ein erschwerender Einflussfaktor ist der Umstand, dass das Datenvolumen
jährlich massiv zunimmt. Dazu kommt die wachsende
Komplexität der System- und Applikationsarchitekturen.
Daten liegen oft aufgrund der hohen Mobilitätsanforderungen
redundant auf verschiedenen Systemen und Medien, beispielsweise
Offerten auf dem Notebook oder USB-Stick des Verkaufsmitarbeiters.
Hier versagen die klassischen Schutzvorkehrungen
wie physischer Schutz (Zutritt ins Datacenter) oder Perimeterschutz
mit Firewalls. Dies erschwert natürlich Kontrolle
und Schutz der Daten vor unberechtigtem Zugriff und Veränderung.
Dadurch entsteht auch ein gewisser Konflikt zwischen Daten,
die jederzeit und überall zur Verfügung stehen müssen und
der Durchsetzung eines geeigneten Sicherheitslevels. Der Aufbau
und die Aufrechterhaltung von notwendigen Schutzmassnahmen
werden dadurch erheblich gestört. Die bisher vor allem perimeterzentrierten
Sicherheitsvorkehrungen bieten keinen ausreichenden
Schutz und müssen mit neuen datenzentrierten Sicherheitsmassnahmen
ergänzt werden. Hinzu kommt, dass der
beste Schutz durch unsachgemässes oder sogar vorsätzlich widriges
Verhalten beeinträchtigt werden kann.
Technische und organisatorische Massnahmenbereiche
Die meisten Lösungsanbieter im Bereich DLP machen auf Basis
des datenzentrierten Ansatzes eine Aufteilung in drei Bereiche
(siehe Kasten) und bieten dort zielgerichtete Lösungen an. Wichtig
ist es bei der Umsetzung von Lösungen, dass nicht verschiedene
(isolierte) Einzellösungen gebaut werden, sondern auf eine
umfassende Sicherheitsstrategie geachtet wird. Wenn am Auto
nur derjenige Pneu gewechselt wird, der am stärksten abgefahren
ist, kann zwar die Sicherheit punktuell erhöht werden, aber insgesamt
ist die Wirkung nur sehr eingeschränkt.
Nebst all den technischen Vorkehrungen dürfen organisatorische
Massnahmen nicht fehlen. Diese umfassen die bereits er-
Fokusthema
LeiTarTikeL: DaTa Leakage PrevenTion
wähnten Nutzungsreglemente und Handlungsanweisungen, die
durch die Mitarbeiter einzuhalten sind. Darin sollten auch Sanktionen
enthalten sein, die bei Regelverstoss zur Anwendung gelangen.
Aber nicht nur Gebote und Verbote sind zu verwenden, sondern
ganz wichtig sind auch Sensibilisierungsmassnahmen. Damit
soll dem Anwender auf nachvollziehbare Art aufgezeigt werden,
was bei unsachgemässem Verhalten passieren kann. Sinnvollerweise
enthalten solche Awareness-Massnahmen aber auch Anleitungen,
um unerwünschte Ereignisse zu verhindern oder zu vermeiden.
Die periodische Durchführung solcher Kampagnen führt
dazu, dass die Mitarbeiter entsprechend sensibilisiert sind, Fehler
vermieden und folglich Kosten gesenkt werden können.
Vorgehen und Umsetzung DLP
Zentraler Aspekt einer erfolgreichen Umsetzung von DLP ist die
Klassifizierung der betrieblichen Informationen. Das heisst, dass
vor dem Aufbau der Schutzmassnahmen definiert werden muss,
welche Informationen überhaupt kritisch oder sensitiv sind. Voraussetzung
dazu ist die Berücksichtigung der für das Unternehmen
geltenden Governance- und Compliance-Anforderungen.
Mit den heutigen DLP-Lösungen ist es in der Regel möglich zu
beschreiben (Content- und Context-basierend), wann ein Dokument,
welche Klassifizierung zu erhalten hat. Es muss also nicht
jedes einzelne Dokument von Hand geprüft und klassifiziert werden.
Eine weitere Voraussetzung ist die Definition einer Sicherheitsrichtlinie,
die beschreibt, wie die sensiblen Informationen
aufgrund ihrer Klassifikation geschützt werden sollen. Dabei
muss berücksichtigt werden, wo und in welcher Form die Daten
vorliegen. Jetzt ist zu prüfen, ob die bereits umgesetzten Massnahmen
ausreichend sind oder noch Handlungsbedarf besteht.
Bei der Umsetzung der Massnahmen sollte ein risikobasierter Ansatz
gewählt werden. Auch sollte darauf geachtet werden, den Anwender
in seiner Arbeit nicht zu behindern, sondern soweit sinnvoll
und machbar zu unterstützen. Ergänzend zu den technischen
Massnahmen sind die Anwender mit gezielten Awareness-Massnahmen
zu sensibilisieren. Im täglichen Betrieb ist sicherzustellen,
dass die getroffenen Massnahmen wirksam sind. Durch ein
entsprechendes Monitoring kann überwacht werden, ob die Sicherheitsrichtlinie
eingehalten wird. Mögliche Gefahren können
dank des Monitorings rechtzeitig detektiert werden. Damit kann
auch der Nachweis der Compliance-Erfüllung erbracht werden.
Empfehlenswert ist die periodische Überprüfung durch interne
oder externe Audits. Damit wird sichergestellt, dass Schwachstellen
entdeckt und beim nächsten Durchlaufen des Prozesses behoben
werden können.
Fazit: DLP-Massnahmen lohnen sich
Oft können mit relativ geringem Aufwand Schwachstellen und
Sicherheitslücken eliminiert und folglich das Sicherheitsniveau
erhöht werden. Wichtig sind sowohl die Identifizierung der sensitiven
Informationen im Unternehmen, der Aufbau von adäquaten
Schutzmassnahmen als auch die Definition von organisatorischen
Massnahmen. Denn nur wenn sich die betroffenen
Personen auch risikokonform verhalten, kann der grösstmögliche
Nutzen aus den definierten und umgesetzten Massnahmen
gezogen werden, beziehungsweise treten weniger Fälle ein, die
dem Unternehmen schaden.
© Netzmedien AG 10