Data Leakage Prevention betrifft jedes Unternehmen - InfoTrust AG
Data Leakage Prevention betrifft jedes Unternehmen - InfoTrust AG
Data Leakage Prevention betrifft jedes Unternehmen - InfoTrust AG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Tom Hager<br />
dipl. El. Ing. HTL und<br />
EMBA UZH, ist CEO der<br />
<strong>InfoTrust</strong> <strong>AG</strong>.<br />
tom.hager@infotrust.ch<br />
Fokusthema<br />
LeiTarTikeL: DaTa <strong>Leakage</strong> PrevenTion<br />
<strong>Data</strong> <strong>Leakage</strong> <strong>Prevention</strong><br />
<strong>betrifft</strong> <strong>jedes</strong> <strong>Unternehmen</strong><br />
Die bisher getroffenen Schutzvorkehrungen reichen heute nicht mehr aus. Es wird immer<br />
wichtiger, die <strong>Unternehmen</strong>sdaten nicht nur gegen Zugriffe von aussen zu schützen,<br />
sondern auch den Abfluss von kritischen Daten und Informationen einzudämmen. Tom Hager<br />
In jedem <strong>Unternehmen</strong> gibt es sensitive Informationen, die geschützt<br />
werden müssen. In den ersten Jahren dieses Jahrtausends<br />
nahmen die Regulatorien aufgrund verschiedener Firmenskandale<br />
im In- und Ausland massiv zu (z.B. OR – IKS, PCI DSS, SOX).<br />
Die bisher getroffenen Schutzvorkehrungen, die den Zweck hatten,<br />
ungebetene Besucher wie Hacker oder Viren fernzuhalten,<br />
reichen nicht mehr aus. Es wird immer wichtiger, nicht nur zu<br />
verhindern, dass von ausserhalb des <strong>Unternehmen</strong>s unberechtigterweise<br />
versucht wird, an Daten zu gelangen, sondern auch<br />
Massnahmen umzusetzen, die den Abfluss von unternehmenskritischen<br />
Daten und Informationen eindämmen. Zu definieren<br />
sind auch die Einflussfaktoren und die Anforderungen, die zu berücksichtigen<br />
sind, wie zum Beispiel das Datenschutzgesetz. Nur<br />
so ist ersichtlich, wo Handlungsbedarf besteht.<br />
Vorfälle<br />
Bei DLP-Massnahmen (<strong>Data</strong> <strong>Leakage</strong> oder Loss <strong>Prevention</strong>) geht<br />
es nicht um den Perimeterschutz, der vor allem darauf abzielt,<br />
den Zutritt oder Zugriff durch ungebetene «Gäste» zu blockieren.<br />
Vielmehr ist bei DLP die Absicht, direkt die betroffenen, sensitiven<br />
Informationen zu schützen, damit keine Schäden entstehen,<br />
weil beispielsweise Unberechtigte auf Informationen zugreifen<br />
und missbräuchlich verwenden könnten.<br />
© Netzmedien <strong>AG</strong> 8<br />
Bildquelle: Fotolia
Fast täglich hört oder liest man in den Medien von Vorfällen, die<br />
von Datenverlusten handeln. Die Ursachen davon können mannigfaltig<br />
sein. Nachfolgend aufgelistet einige bekannt gewordene<br />
Vorfälle aus dem Jahr 2008:<br />
• Brite ersteigerte Notebook mit Bankkundendaten auf Ebay.<br />
Auf dem PC lagen unverschlüsselt veraltete, aber auch aktuelle<br />
Bankdaten von mehreren Millionen Bankkunden.<br />
• Britisches Innenministerium verlor einen USB-Stick, worauf<br />
die Namen und Geburtsdaten sämtlicher in England und Wales<br />
inhaftierten Straftäter lagen.<br />
• Hotelkette verlor Kundendaten von 8 Millionen Hotelgästen,<br />
samt Namen, Privatadresse und Kreditkartendaten.<br />
• Kreditkarten-<strong>Unternehmen</strong> verlor tausende von Datensätzen<br />
mit sensitiven Kundeninformationen.<br />
• Einem Telekomkonzern wurden 17 Millionen Kundendaten entwendet.<br />
Diese enthielten auch Geheimnummern und Privatadressen<br />
von Politikern, Wirtschaftsführern und Milliardären.<br />
• Mehrere hundert manipulierte Kreditkartenlesegeräte übertrugen<br />
via Mobilfunk Kreditkarteninformationen in unbekanntem<br />
Umfang nach Fernost.<br />
Nach Schätzungen einer Expertengruppe für Sicherheit im Internet<br />
(Attrition.org) gingen 2007 weltweit vertrauliche Informationen<br />
von zirka 162 Millionen Personen verloren. Letztlich ist<br />
aber entscheidend, welche Auswirkungen (finanzielle Verluste<br />
oder Imageschäden) solche Vorfälle zur Folge haben.<br />
<strong>Data</strong> <strong>Leakage</strong> <strong>Prevention</strong>: Technische Massnahmenbereiche<br />
– im <strong>Data</strong>center (<strong>Data</strong> at rest)<br />
Die Basis für sicher gelagerte Daten ist die Umsetzung eines<br />
adäquaten Zugriffschutzkonzepts mit entsprechend definierten<br />
Rollen und Rechten. Um kritische Daten besser zu schützen,<br />
können diese einerseits in verschlüsselter Form gespeichert<br />
und andererseits der Zugriff darauf durch starke Authentisierungsvorkehrungen<br />
erlaubt werden. Selbstverständlich ist auch<br />
darauf zu achten, dass die Daten beziehungsweise deren Trägersysteme<br />
physisch und logisch, durch bauliche Vorkehrungen<br />
und mit Firewalls, unter Verschluss gehalten werden.<br />
– im netzwerk (<strong>Data</strong> in Motion)<br />
Sobald sich Daten in Bewegung befinden, ist ein rein physischer<br />
Schutz der Datenträger nicht mehr ausreichend. Daher ist es unumgänglich<br />
die Daten direkt zu schützen. Damit dieser Schutz<br />
gewährleistet werden kann, bedingt es klaren Nutzungsreglementen<br />
für die Anwender, in denen beispielsweise beschrieben<br />
wird, welche Informationen für den Mailtransport zu verschlüsseln<br />
sind oder gegebenenfalls gar nicht per Mail transportiert<br />
werden dürfen. Eine andere Variante ist, diesen Entscheid durch<br />
das System vornehmen zu lassen. Heute erhältliche Produkte<br />
erlauben nach einer Definition der Klassifizierungsmerkmale die<br />
automatische Überprüfung der Daten auf deren Sensitivität und<br />
damit der selektiven Verschlüsselung. Die Erkennung sensitiver<br />
Daten erfolgt dabei auf unterschiedliche Art und Weise. Einerseits<br />
können Daten nach bestimmten Begriffen analysiert werden,<br />
also «Content basiert». Andererseits können Daten aber<br />
auch aufgrund von bestimmten Merkmalen, wie zum Beispiel<br />
Fokusthema<br />
LeiTarTikeL: DaTa <strong>Leakage</strong> PrevenTion<br />
Auswirkungen<br />
Mögliche Verstösse gegen geltendes Recht können sogar zu gerichtlichen<br />
Konsequenzen führen. Dabei ist zu beachten, dass<br />
Compliance-Anforderungen wie auch das zu bewältigende Datenvolumen<br />
stark zugenommen haben. Betroffen sind nicht nur<br />
Finanzinstitute, sondern grundsätzlich <strong>jedes</strong> <strong>Unternehmen</strong>.<br />
Einer Studie von Forrester Research zufolge muss bei einem<br />
Datenverlust mit direkten Kosten von 218 Dollar pro Datensatz<br />
gerechnet werden. Die ganze Vorfallsbearbeitung, verlorene Mitarbeiterproduktivität,<br />
Entschädigungen und Opportunitätskosten<br />
sind in diesen Kosten eingeschlossen. Dazu kommen indirekte<br />
Kosten in der Höhe von 140 Dollar, die sich aus Bussen,<br />
Audit-Gebühren sowie strategischen und operativen Kosten zusammensetzen.<br />
Das heisst, dass bei einem Vorfall mit Verlust<br />
von 100 000 Datensätzen ein geschätzter potenzieller Schaden<br />
von insgesamt 35,8 Millionen Dollar entsteht, gerechnet für einen<br />
Zeitraum von fünf Jahren. Nicht inbegriffen in diesen Kosten<br />
sind verlorene Marktanteile, Imageschäden etc.<br />
Anforderungen<br />
Welches <strong>Unternehmen</strong> will oder kann sich solche Vorfälle leisten?<br />
Sensitive Informationen müssen folglich umfassend geschützt<br />
werden. Bei den Informationen wird zwischen regulierten und<br />
nicht regulierten Daten unterschieden. Regulierte Daten sind<br />
beispielsweise personenbezogene Daten, die dem Datenschutz-<br />
Kreditkartennummern oder Bankkonten, in diesem Fall also<br />
«Context basiert» überprüft werden. Dadurch wird erreicht,<br />
dass nur die wirklich kritischen Daten automatisch, ohne Interaktion<br />
des Anwenders, verschlüsselt transportiert werden. Das<br />
hat den erheblichen Vorteil, dass die für die Verschlüsselung<br />
notwendigen Elemente, wie Verschlüsselungs-Keys, nur dort<br />
wo nötig implementiert und gewartet werden müssen.<br />
– am endpoint (<strong>Data</strong> in Use)<br />
Am Endpoint ergibt sich eine Kombination der zwei vorher beschriebenen<br />
Bereiche. Die lokal gespeicherten Daten sind, wie<br />
jene im <strong>Data</strong>center, vor unberechtigtem Zugriff zu schützen. Dies<br />
erfolgt ebenfalls durch entsprechende Zugriffschutzmechanismen<br />
und Verschlüsselung, damit beispielsweise bei einem<br />
Verlust des Geräts (Notebook, PDA, Datenträger allgemein) Informationen<br />
nicht in unberechtigte Hände gelangen. Es muss<br />
aber auch verhindert werden, dass seitens des berechtigten<br />
Benutzers Informationen auf unerlaubte Weise manipuliert<br />
werden. Ein Beispiel dafür ist, dass vertrauliche Informationen<br />
nicht auf einen USB-Stick kopiert oder auf CD/DVD gebrannt<br />
werden dürfen. Damit jedoch solche Massnahmen umgesetzt<br />
werden können, sind Regelwerke notwendig, die definieren,<br />
unter welchen Voraussetzungen ein Dokument als vertraulich<br />
einzustufen ist. Erst dann ist es möglich, Informationen<br />
zu prüfen und Verstösse zu verhindern. Was auch nicht vergessen<br />
werden darf, ist die Aufstellung von entsprechenden<br />
Nutzungsreglementen für Endgeräte, die durch die Anwender<br />
einzuhalten sind.<br />
© Netzmedien <strong>AG</strong> 9<br />
4
4<br />
gesetz unterstehen oder die Geschäftsbücher, die dem OR (insbesondere<br />
Artikel 728a/b, 663b) unterstehen. Ein anderes Beispiel<br />
sind Kreditkarteninformationen, die in vielen <strong>Unternehmen</strong> vornehmlich<br />
im Handelsumfeld anfallen. Diese <strong>Unternehmen</strong> müssen<br />
sich an die PCI-DSS-Vorschriften halten beziehungsweise zu<br />
diesen «compliant» sein. Die Mehrzahl der Daten sind jedoch<br />
keinen spezifischen Regulatorien oder Gesetzen unterstellt. Das<br />
heisst jedoch nur, dass es keinen extern auferlegten Zwang gibt,<br />
diese Daten zu schützen. Doch welches <strong>Unternehmen</strong> schützt<br />
nicht aus Eigennutz und Wettbewerbsvorteil bestimmte Verfahren,<br />
Methoden oder Spezialkenntnisse? Es ist daher für <strong>jedes</strong> <strong>Unternehmen</strong><br />
von grundlegender Bedeutung zu wissen, welche Arten<br />
von Daten erstellt und bearbeitet werden. Erst nach einer<br />
Datenklassifizierung ist ersichtlich, welchen Anforderungen (externe<br />
Regulatorien oder betriebliche Vorschriften) die Daten beziehungsweise<br />
deren Schutz zu genügen haben. Sinnvollerweise<br />
erfolgt diese Klassifizierung dort, wo die Daten entstehen. Anschliessend<br />
werden sie mit adäquaten Sicherheitsmassnahmen<br />
geschützt. Bei jeder Änderung der Klassifizierung müssen auch<br />
die damit verbundenen Schutzmassnahmen angepasst werden.<br />
Es ist also wichtig, den gesamten Information Lifecycle, von der<br />
Entstehung über die Nutzung bis zur Vernichtung, abzudecken.<br />
Lösungsansätze<br />
Ein erschwerender Einflussfaktor ist der Umstand, dass das Datenvolumen<br />
jährlich massiv zunimmt. Dazu kommt die wachsende<br />
Komplexität der System- und Applikationsarchitekturen.<br />
Daten liegen oft aufgrund der hohen Mobilitätsanforderungen<br />
redundant auf verschiedenen Systemen und Medien, beispielsweise<br />
Offerten auf dem Notebook oder USB-Stick des Verkaufsmitarbeiters.<br />
Hier versagen die klassischen Schutzvorkehrungen<br />
wie physischer Schutz (Zutritt ins <strong>Data</strong>center) oder Perimeterschutz<br />
mit Firewalls. Dies erschwert natürlich Kontrolle<br />
und Schutz der Daten vor unberechtigtem Zugriff und Veränderung.<br />
Dadurch entsteht auch ein gewisser Konflikt zwischen Daten,<br />
die jederzeit und überall zur Verfügung stehen müssen und<br />
der Durchsetzung eines geeigneten Sicherheitslevels. Der Aufbau<br />
und die Aufrechterhaltung von notwendigen Schutzmassnahmen<br />
werden dadurch erheblich gestört. Die bisher vor allem perimeterzentrierten<br />
Sicherheitsvorkehrungen bieten keinen ausreichenden<br />
Schutz und müssen mit neuen datenzentrierten Sicherheitsmassnahmen<br />
ergänzt werden. Hinzu kommt, dass der<br />
beste Schutz durch unsachgemässes oder sogar vorsätzlich widriges<br />
Verhalten beeinträchtigt werden kann.<br />
Technische und organisatorische Massnahmenbereiche<br />
Die meisten Lösungsanbieter im Bereich DLP machen auf Basis<br />
des datenzentrierten Ansatzes eine Aufteilung in drei Bereiche<br />
(siehe Kasten) und bieten dort zielgerichtete Lösungen an. Wichtig<br />
ist es bei der Umsetzung von Lösungen, dass nicht verschiedene<br />
(isolierte) Einzellösungen gebaut werden, sondern auf eine<br />
umfassende Sicherheitsstrategie geachtet wird. Wenn am Auto<br />
nur derjenige Pneu gewechselt wird, der am stärksten abgefahren<br />
ist, kann zwar die Sicherheit punktuell erhöht werden, aber insgesamt<br />
ist die Wirkung nur sehr eingeschränkt.<br />
Nebst all den technischen Vorkehrungen dürfen organisatorische<br />
Massnahmen nicht fehlen. Diese umfassen die bereits er-<br />
Fokusthema<br />
LeiTarTikeL: DaTa <strong>Leakage</strong> PrevenTion<br />
wähnten Nutzungsreglemente und Handlungsanweisungen, die<br />
durch die Mitarbeiter einzuhalten sind. Darin sollten auch Sanktionen<br />
enthalten sein, die bei Regelverstoss zur Anwendung gelangen.<br />
Aber nicht nur Gebote und Verbote sind zu verwenden, sondern<br />
ganz wichtig sind auch Sensibilisierungsmassnahmen. Damit<br />
soll dem Anwender auf nachvollziehbare Art aufgezeigt werden,<br />
was bei unsachgemässem Verhalten passieren kann. Sinnvollerweise<br />
enthalten solche Awareness-Massnahmen aber auch Anleitungen,<br />
um unerwünschte Ereignisse zu verhindern oder zu vermeiden.<br />
Die periodische Durchführung solcher Kampagnen führt<br />
dazu, dass die Mitarbeiter entsprechend sensibilisiert sind, Fehler<br />
vermieden und folglich Kosten gesenkt werden können.<br />
Vorgehen und Umsetzung DLP<br />
Zentraler Aspekt einer erfolgreichen Umsetzung von DLP ist die<br />
Klassifizierung der betrieblichen Informationen. Das heisst, dass<br />
vor dem Aufbau der Schutzmassnahmen definiert werden muss,<br />
welche Informationen überhaupt kritisch oder sensitiv sind. Voraussetzung<br />
dazu ist die Berücksichtigung der für das <strong>Unternehmen</strong><br />
geltenden Governance- und Compliance-Anforderungen.<br />
Mit den heutigen DLP-Lösungen ist es in der Regel möglich zu<br />
beschreiben (Content- und Context-basierend), wann ein Dokument,<br />
welche Klassifizierung zu erhalten hat. Es muss also nicht<br />
<strong>jedes</strong> einzelne Dokument von Hand geprüft und klassifiziert werden.<br />
Eine weitere Voraussetzung ist die Definition einer Sicherheitsrichtlinie,<br />
die beschreibt, wie die sensiblen Informationen<br />
aufgrund ihrer Klassifikation geschützt werden sollen. Dabei<br />
muss berücksichtigt werden, wo und in welcher Form die Daten<br />
vorliegen. Jetzt ist zu prüfen, ob die bereits umgesetzten Massnahmen<br />
ausreichend sind oder noch Handlungsbedarf besteht.<br />
Bei der Umsetzung der Massnahmen sollte ein risikobasierter Ansatz<br />
gewählt werden. Auch sollte darauf geachtet werden, den Anwender<br />
in seiner Arbeit nicht zu behindern, sondern soweit sinnvoll<br />
und machbar zu unterstützen. Ergänzend zu den technischen<br />
Massnahmen sind die Anwender mit gezielten Awareness-Massnahmen<br />
zu sensibilisieren. Im täglichen Betrieb ist sicherzustellen,<br />
dass die getroffenen Massnahmen wirksam sind. Durch ein<br />
entsprechendes Monitoring kann überwacht werden, ob die Sicherheitsrichtlinie<br />
eingehalten wird. Mögliche Gefahren können<br />
dank des Monitorings rechtzeitig detektiert werden. Damit kann<br />
auch der Nachweis der Compliance-Erfüllung erbracht werden.<br />
Empfehlenswert ist die periodische Überprüfung durch interne<br />
oder externe Audits. Damit wird sichergestellt, dass Schwachstellen<br />
entdeckt und beim nächsten Durchlaufen des Prozesses behoben<br />
werden können.<br />
Fazit: DLP-Massnahmen lohnen sich<br />
Oft können mit relativ geringem Aufwand Schwachstellen und<br />
Sicherheitslücken eliminiert und folglich das Sicherheitsniveau<br />
erhöht werden. Wichtig sind sowohl die Identifizierung der sensitiven<br />
Informationen im <strong>Unternehmen</strong>, der Aufbau von adäquaten<br />
Schutzmassnahmen als auch die Definition von organisatorischen<br />
Massnahmen. Denn nur wenn sich die betroffenen<br />
Personen auch risikokonform verhalten, kann der grösstmögliche<br />
Nutzen aus den definierten und umgesetzten Massnahmen<br />
gezogen werden, beziehungsweise treten weniger Fälle ein, die<br />
dem <strong>Unternehmen</strong> schaden.<br />
© Netzmedien <strong>AG</strong> 10