Was ist DLP?

Was ist DLP?

Data Loss Prevention (DLP) umfasst eine Reihe von Technologien und Verfahren zur Überwachung und Untersuchung von Daten im Unternehmensnetzwerk. Insbesondere soll durch Einsatz einer DLP-Lösung die Exfiltration geschäftskritischer Daten infolge von Phishing- und anderen Cyberangriffen bzw. Insider-Bedrohungen verhindert werden.

Im Zuge der fortschreitenden Digitalisierung produzieren und verarbeiten Unternehmen und andere Organisationen in massivem Umfang vertrauliche Finanzdaten wie z. B. Kreditkartennummern, urheberrechtliche geschützte Inhalte und sensible Daten im Sinne des Datenschutzrechts. Dazu zählen bestimmte Arten von personenbezogenen Daten zu Kunden und Mitarbeitern ebenso wie Gesundheitsdaten. Die Organisationen stehen in der Verantwortung, robuste Strategien zum Schutz dieser Daten zu implementieren, die ihr Lebenselixier sind.

Früher wurden diese sensiblen Informationen in Papierform sicher in einem abgeschlossenen Aktenschrank aufbewahrt. Heute werden sie als digitale Daten zwischen Rechenzentren, Cloud-Speichern und Endgeräten der User hin und her übertragen und sind dadurch so anfällig wie nie zuvor. Zum Schutz dieser Daten müssen Unternehmen umfassende DLP-Strategien implementieren (Data Loss Prevention).

Die Implementierung einer DLP-Lösung sollte immer im Rahmen einer unternehmensweiten Datenschutzinitiative erfolgen. Dazu müssen die Leiter der Fachabteilungen und die IT-Verantwortlichen gemeinsam unternehmensspezifische Kriterien für sensible Daten und den richtigen Umgang mit solchen Daten festlegen sowie Datenschutzverstöße definieren. Basierend auf diesen Sicherheitsrichtlinien – einschließlich Datenklassifizierung, Informationen zu Datenschutz und Compliance sowie Verfahren zur Problembehebung – können dann DLP-Richtlinien erstellt werden.

Oft ergibt sich der unmittelbare Anreiz für den Einsatz von DLP aus der Notwendigkeit zur Einhaltung einschlägiger Vorschriften (DSGVO, HIPAA, PCI DSS usw.), um Bußgelder oder Einschränkungen des Geschäftsbetriebs zu vermeiden. Datenpannen bergen jedoch auch das Risiko, dass personenbezogene Daten von Endusern offengelegt werden. Damit drohen dem betroffenen Unternehmen der Verlust von Kunden, die Schädigung der Marke oder sogar rechtliche Konsequenzen. Mit einer gut definierten DLP-Richtlinie, die durch ordentlich verwaltete Begleittechnologien unterstützt wird, lassen sich diese Risiken maßgeblich reduzieren.

 

Wie funktioniert DLP?

Vereinfacht ausgedrückt funktioniert DLP-Technologie so, dass schutzbedürftige sensible Daten erkannt und dann angemessen geschützt werden. Daten befinden sich grundsätzlich immer in einem von drei Zuständen: im Einsatz, auf Übertragungswegen oder im Ruhezustand. Je nach Konfiguration kann eine DLP-Lösung Daten in allen oder mehreren dieser Zustände erkennen. Zur Erkennung sensibler Daten wenden DLP-Agent-Programme unterschiedliche Techniken an:

  • Regelbasierter Abgleich bzw. „reguläre Ausdrücke“: Dies ist eine gängige Technik zur Erkennung sensibler Daten auf der Grundlage vorformulierter Regeln (z. B. handelt es sich bei 16-stelligen Zahlen oft um Kreditkartennummern). Wegen der hohen Fehlalarmquote eignet sich der regelbasierte Abgleich am ehesten als erster Durchgang, dem eine gründlichere Überprüfung folgt.
  • Exakter Datenabgleich (Datenbank-Fingerprinting): Bei dieser Technik werden Daten erkannt, die genau mit anderen sensiblen Daten übereinstimmen, die der Agent mit sogenannten Fingerabdrücken versehen hat. In der Regel stammen diese Daten aus einer bereitgestellten Datenbank.
  • Exakter Dateiabgleich: Im Unterschied zum exakten Datenabgleich werden bei dieser Technik übereinstimmende Datei-Hashes identifiziert, ohne dass der Inhalt der Datei analysiert wird.
  • Teilweiser Dokumentenabgleich: Mit dieser Technik werden sensible Daten durch Abgleich mit vorgegebenen Mustern oder Vorlagen erkannt (z. B. mit dem Format eines Formulars, das von jedem Patienten in einer Notaufnahme ausgefüllt wird).
  • Maschinelles Lernen, statistische Analyse usw.: Diese Techniken beruhen auf Einspeisen großer Datenmengen in ein Lernmodell. Dieses Modell wird dadurch „geschult“, potenziell sensible Datenfolgen zu erkennen. Diese Techniken haben sich insbesondere zur Erkennung unstrukturierter Daten bewährt.
  • Benutzerdefinierte Regeln: Die konkreten Datentypen, die erkannt und geschützt werden müssen, unterscheiden sich von Organisation zu Organisation. Die Mehrzahl der heutigen DLP-Lösungen unterstützt daher die Konfiguration benutzerdefinierter Regeln, die neben den vorformulierten Regeln angewendet werden.

Geeignete Maßnahmen zum Schutz der als sensibel identifizierten Daten werden in der DLP-Richtlinie des Unternehmens festgelegt. Wie diese Maßnahmen im Einzelnen aussehen, hängt wiederum stark davon ab, warum die Daten geschützt werden sollen.

 

Wichtigste Anwendungsfälle für DLP

Wie der Begriff „Data Loss Prevention“ schon sagt, ergibt sich der hauptsächliche Anwendungsfall für DLP aus der Notwendigkeit, das Unternehmen vor Datenverlusten zu schützen. Freilich ist hier zwischen verschiedenen Arten von Datenverlusten zu unterscheiden – im Wesentlichen zwischen versehentlichen und absichtlichen bzw. bösartigen. Die schützenswerten Daten fallen ihrerseits in mehrere unterschiedliche Kategorien, u. a. urheberrechtlich geschütztes geistiges Eigentum und regulierte/personenbezogene Daten (z. B. personenbezogene und medizinische Daten, Bankverbindungen bzw. Kreditkartennummern und Sozialversicherungsnummern von Mitarbeitern und Kunden usw.). Organisationen müssen die Sicherheit dieser Daten nicht zuletzt deshalb gewährleisten, weil es gilt, sich vor Verlusten anderer Art zu schützen – z  B. dem Verlust von Kunden, Umsätzen und Reputation – und sicherzustellen, dass alle geltenden branchenspezifischen bzw. gesetzlichen Vorschriften eingehalten werden. Der Schutz sensibler Daten setzt selbstverständlich voraus, dass die Organisation einen genauen Überblick darüber hat, welche Daten betroffen sind und wo sie sich befinden. Entsprechend ergibt sich ein weiterer wichtiger Anwendungsfall für DLP: Gewährleistung von Transparenz.

Hier noch einmal die wesentlichen Anwendungsfälle im Überblick:

  • Schutz von geistigem Eigentum und sensiblen/regulierten Daten
  • Konformität mit Datenschutzvorschriften
  • Datentransparenz

 

Integrierte DLP und Enterprise-DLP

Der Markt für DLP-Lösungen hat mittlerweile einen hohen Reifegrad erreicht. Da jedoch kaum Unterschiede zwischen den einzelnen Enterprise-DLP-Lösungen bestehen, hat die Analystenfirma Gartner die Veröffentlichung ihres Magic Quadrant für Enterprise-DLP eingestellt. Ersetzt wird der jährliche Report durch einen Marktleitfaden, der die Bedeutung einer ganzheitlichen Datenschutzstrategie hervorhebt und über die Verwendung integrierter DLP-Lösungen informiert. 2017 prognostizierte Gartner, dass 90 % der Unternehmen bis 2021 eine Form von integrierter DLP einsetzen werden. 

Herkömmliche Enterprise-DLP-Lösungen stellen zumeist mehrere Produkte und Funktionen zur Absicherung der verschiedenen Kanäle (Endgeräte, Speicher, Übertragung) bereit, die entweder zur Speicherung oder zum Transfer von Daten genutzt werden und daher potenziell anfällig für Datenverluste sind. Für jeden Kanal sind eigene Tools oder Techniken zur Verhinderung von Datenverlusten erforderlich.

Im Zuge der digitalen Transformation haben sich jedoch sowohl die Verhaltensweisen der User als auch die Datenverkehrsmuster verändert. Damit gewinnt der Schutz von Daten, die zwischen Endgeräten, Cloud-Anwendungen und Speichern übertragen werden, mit einer entsprechend ausgelegten DLP-Lösung zunehmend an Bedeutung. Ein derartiger Schutz kann nativ mit Technologien wie Secure Web Gateway, Content-Management-Lösungen oder Cloud Access Security Broker (CASB) bereitgestellt werden. Diese Variante wird als integrierte DLP bezeichnet.

Enterprise-DLP-Lösungen sind notorisch aufwändig und kostspielig. Organisationen, die Enterprise-DLP erwerben, nutzen oft nur einen kleinen Teil des Funktionsumfangs für elementare Anwendungsfälle. Diese ließen sich mit einer integrierten DLP-Lösung schneller und kosteneffektiver bewältigen.

Eine DLP-Lösung, die keinen Einblick in den Traffic hat, kann Datenverluste nicht verhindern

Im Zuge der Migration zahlreicher Unternehmen in die Cloud haben sich drei Hürden herauskristallisiert, die eine zuverlässige Überprüfung des Traffics durch Netzwerk-DLP-Lösungen verhindern:

  • Remote-User: Der Grad der Transparenz und das Schutzniveau, das eine Netzwerk-DLP-Lösung gewährleisten kann, hängt vom Standort der User ab. Diese können die Überprüfung leicht umgehen, wenn sie sich außerhalb des Netzwerks direkt mit Cloud-Anwendungen verbinden. Um die Wirksamkeit von DLP- und Sicherheitsrichtlinien zu gewährleisten, ist daher eine standort- und geräteunabhängige Durchsetzung erforderlich.
  • Verschlüsselung: Der Anteil des TLS/SSL-verschlüsselten Traffics hat enorm zugenommen. Netzwerk-basierte DLP-Lösungen sind nicht in der Lage, diesen Traffic zur Überprüfung zu entschlüsseln. Dadurch entstehen beträchtliche Transparenzlücken.
  • Begrenzte Kapazitäten: Herkömmliche Netzwerk-DLP-Appliances verfügen nur über begrenzte Ressourcen und lassen sich nicht skalieren, um das ständig wachsende Volumen an Internet-Traffic inline zu überprüfen.

 

In einer Cloud- und Mobil-orientierten Geschäftswelt erfordert DLP eine neue Mentalität und neue Technologie

Um die mit der digitalen Transformation einhergehenden Herausforderungen zu meistern und die Mängel herkömmlicher Enterprise-DLP-Lösungen zu überwinden, reicht es nicht aus, herkömmliche Hardware-Stacks für die Cloud neu zu konfigurieren. Dies ist weder effizient, noch kann das gleiche Schutzniveau und der Funktionsumfang einer Cloud-basierten Lösung gewährleistet werden. Jede Cloud-basierte DLP-Lösung sollte drei Elemente gewährleisten:

  • Identisches Schutzniveau für alle User innerhalb oder außerhalb des Netzwerks, damit Daten überall gleichermaßen sicher sind – unabhängig davon, ob User in der Unternehmenszentrale, einer Zweigstellen oder Flughafen-Lounge oder auch im Homeoffice arbeiten.
  • Native Überprüfung von TLS/SSL-verschlüsseltem Datenverkehr – der inzwischen über 80 % des gesamten Internet-Traffics ausmacht –, um lückenlose Transparenz zu gewährleisten und zu verhindern, dass Bedrohungen unerkannt ins Netzwerk gelangen.
  • Skalierbare Inline-Überprüfung zur Verhinderung von Datenverlusten, indem der gesamte Traffic inline überprüft und verdächtige bzw. unbekannte Dateien in Quarantäne verschoben werden – im Gegensatz zur nachträglichen Schadensbegrenzung, wenn Daten bereits kompromittiert wurden.

 

Laut dem von IBM und dem Ponemon Institute veröffentlichten Report „Cost of a Data Breach“ beliefen sich 2021 die Kosten einer Datenpanne im weltweiten Durchschnitt auf 4,24 Mio. USD (3,84 Mio. EUR), wobei über ein Drittel (38 %) auf entgangene Geschäfte entfiel. Im US-Durchschnitt lagen die Kosten mit 9,05 Mio. USD (8,20 Mio. EUR) sogar mehr als doppelt so hoch.

Weiter ergab die Studie, dass Organisationen mit einem ausgereiften Zero-Trust-Ansatz sehr viel glimpflicher davonkamen. Im Durchschnitt sparten sie pro Sicherheitsverletzung 1,76 Mio. USD (1,59 Mio. EUR) gegenüber Mitbewerbern ohne ausgereiften Zero-Trust-Ansatz.

Umfassende Cloud-Sicherheit mit Zscaler Data Protection

Lösungsübersicht von SANS herunterladen

Was passierte mit dem Gartner DLP Magic Quadrant?

Zum Blogbeitrag
was ist dlp blog-symbol

Der Verlust nicht reglementierter Daten ist teurer als man denkt

Zum Blogbeitrag
was ist dlp blog-symbol

Data Loss Prevention und digitale Transformation

Whitepaper lesen
whitepaper was ist dlp

Zuverlässige Datensicherung in einer „Work-From-Anywhere“-Welt

E-Book herunterladen
whitepaper was ist dlp

Dialoge zum Datenschutz: DLP in einer „Work from Anywhere“-Welt

Video ansehen
whitepaper was ist dlp

Exact Data Match für DLP 

Bislang arbeiten DLP-Lösungen zur Identifizierung der zu schützenden Datentypen mit einem sogenannten Musterabgleich. Zu diesen Mustern gehören u. a. Kreditkarten-, Konto- und Sozialversicherungsnummern. Leider ist dieser Ansatz ungenau und führt leicht dazu, dass die Sicherheitsteams mit Fehlalarmen bombardiert werden. Oft wird unbedenklicher Traffic nämlich blockiert, weil er ein Muster enthält, das als schützenswert identifiziert wurde.

Exact Data Match (EDM) ist eine leistungsstarke neue DLP-Technologie zur Verbesserung der Erkennungsgenauigkeit und Vermeidung von Fehlalarmen. Statt Muster abzugleichen, werden mit EDM sozusagen Fingerabdrücke von sensiblen Daten erstellt. Anhand dieser Fingerabdrücke kann die IT-Umgebung auf Versuche überwacht werden, die jeweiligen Daten zu verschieben, und ihre unzulässige Weitergabe oder Übertragung so verhindern.
 

Best-Practice-Empfehlungen für den Einsatz von DLP

Welche Techniken sich am besten zur Feinabstimmung der DLP-Lösung eignen, hängt jeweils von den speziellen Datenschutzanforderungen der einzelnen Organisation ab. Bestimmte Handlungsempfehlungen gelten jedoch in allen Fällen. Eine ausführliche Behandlung dieses Themas würde den Rahmen dieses Beitrags sprengen. Daher sollen hier nur die wichtigsten Handlungsempfehlungen im Überblick vorgestellt werden:

  • Für die Anfangsphase empfiehlt sich die Bereitstellung im Überwachungsmodus („Monitor only“), um einen besseren Eindruck des Datenflusses in der gesamten Organisation zu gewinnen. Auf dieser Grundlage können dann geeignete Richtlinien formuliert werden.
  • Die Mitarbeiter sollten durch User-Benachrichtigungen auf dem Laufenden gehalten werden, damit Richtlinien nicht ohne ihr Wissen ausgeführt werden – denn dies kann zu Störungen der Arbeitsabläufe und damit zu Frustration führen.
  • Die ausgewählte Lösung sollte Usern die Option bieten, Feedback zu den Benachrichtigungen zu geben (um eigene Aktionen zu rechtfertigen oder fehlerhafte Richtlinien zu melden). Anhand dieser Rückmeldungen können dann die Richtlinien optimiert werden.
  • Durch exakten Datenabgleich (EDM) und andere erweiterte Klassifizierungstechniken lässt sich die Fehlalarmquote reduzieren.
  • Die überwiegende Mehrheit des Internet-Traffics wird heute verschlüsselt, daher sollte die ausgewählte Lösung unbedingt über die Fähigkeit zur Entschlüsselung von TLS/SSL-Traffic verfügen.
     

Wo Unternehmen bei Data Loss Prevention ansetzen sollten

Angesichts steigender Risiken und Verschärfungen der Datenschutzvorschriften sind Unternehmen unbedingt gefordert, die durch Cloud und Mobilität verursachten Sicherheitslücken zu schließen. Diese Erkenntnis ist keineswegs neu: Laut einer 2019 veröffentlichten Studie von Cybersecurity Insiders rangierte die Verhinderung von Datenverlusten bereits damals an zweiter Stelle unter den Prioritäten von IT-Verantwortlichen.

Früher hätte man dazu einen bereits komplexen Security-Stack um weitere Appliances ergänzen müssen. Heute bietet sich eine bessere Alternative an: Mit einer Cloud-DLP-Lösung wie Zscaler Cloud Data Loss Prevention (DLP) als Bestandteil einer umfassenderen Secure Access Service Edge (SASE)-Plattform lassen sich Datenschutzlücken zuverlässig schließen – und zwar unabhängig davon, wo User sich verbinden bzw. Anwendungen gehostet werden. Gleichzeitig werden IT-Kosten und Komplexität reduziert.

 

Weitere Ressourcen