Was bedeutet Cloud-DLP (Data Loss Prevention)?

Warum ist Cloud-DLP so wichtig?

Als sensible Daten noch auf Papier gedruckt wurden, reichte für ihren Schutz oftmals ein verschlossener Aktenschrank. Heute aber bewegen sich Daten zwischen Rechenzentren, Cloud-Anbietern und Endgeräten und sind unzähligen möglichen Sicherheitsrisiken ausgesetzt. Um sie vor unbefugtem Zugriff zu schützen, braucht es daher eine umfassende Strategie zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP).

Zur Erarbeitung einer geeigneten DLP-Strategie sollten die Leiter der Fachabteilungen und die IT-Verantwortlichen zusammenkommen, um gemeinsam unternehmensspezifische Kriterien für sensible Daten und den richtigen Umgang mit solchen Daten festzulegen sowie Datenschutzverstöße zu definieren. Basierend auf diesen Sicherheitsrichtlinien – einschließlich Datenklassifizierung, Informationen zu Datenschutz und Compliance sowie Verfahren zur Problembehebung – können dann DLP-Richtlinien erstellt werden.

Oft ergibt sich der unmittelbare Anreiz für den Einsatz von DLP aus der Notwendigkeit zur Einhaltung einschlägiger Vorschriften (DSGVO, HIPAA, PCI DSS usw.), um Bußgelder oder Einschränkungen des Geschäftsbetriebs zu vermeiden. Datenpannen bergen jedoch auch das Risiko, dass personenbezogene Daten von Endusern offengelegt werden. Damit drohen dem betroffenen Unternehmen der Verlust von Kunden, die Schädigung der Marke oder sogar rechtliche Konsequenzen. Mit einer gut definierten DLP-Richtlinie, die durch ordentlich verwaltete Begleittechnologien unterstützt wird, lassen sich diese Risiken maßgeblich reduzieren.

Vorteile der Cloud Data Loss Prevention

Eine cloudbasierte DLP bietet mehrere Vorteile:

• Einfache Skalierbarkeit, um wachsenden Datenmengen und sich verändernden Informations-Ökosystemen gerecht zu werden
• Geringere Infrastrukturkosten durch den Verzicht auf lokale Hardware und den damit verbundenen Wartungssaufwand
• Ortsunabhängiger Schutz für User und Zweigstellen ohne Backhauling zum Rechenzentrum
• Schnellere Bereitstellung und Konfiguration als bei On-Premise-DLP
• Automatische Updates aus der Cloud mit aktuellen Informationen und Funktionen ohne Ausfallzeit

Verfahren zur Verhinderung von Datenverlusten in der Cloud

Einfach ausgedrückt, identifiziert die cloudbasierte DLP-Technologie schutzbedürftige Daten und schützt diese dann angemessen. Je nach Konfiguration kann eine DLP-Lösung Daten im Einsatz, auf Übertragungswegen oder im Ruhezustand (oder in mehreren dieser Zustände) erkennen und entscheiden, ob sie als sensibel zu klassifizieren sind. Zu diesem Zweck können DLP-Agents verschiedene Techniken verwenden, darunter:

• Regelbasierter Abgleich bzw. „reguläre Ausdrücke“: Dies ist eine Technik zur Erkennung vertraulicher Daten auf der Grundlage vorformulierter Regeln (z. B. handelt es sich bei 16-stelligen Zahlen oft um Kreditkartennummern). Wegen der hohen Fehlalarmquote eignet sich der regelbasierte Abgleich am ehesten als erster Durchgang, dem eine gründlichere Überprüfung folgt.
• Exakter Datenabgleich (Datenbank-Fingerprinting): Bei dieser Technik werden Daten erkannt, bei denen eine exakte Übereinstimmung mit anderen vertraulichen Daten vorliegt, die bereits mit sogenannten Fingerabdrücken versehen wurden. In der Regel stammen diese Daten aus einer bereitgestellten Datenbank.
• Exakter Dateiabgleich: Im Unterschied zum exakten Datenabgleich werden bei dieser Technik übereinstimmende Datei-Hashes identifiziert, ohne dass der Inhalt der Datei analysiert wird.
• Teilweiser Dokumentenabgleich: Mit dieser Technik werden vertrauliche Daten durch Abgleich mit vorgegebenen Mustern oder Vorlagen erkannt (z. B. mit dem Format eines Standardformulars für Patienten in der Notaufnahme).
• Maschinelles Lernen, statistische Analyse usw.: Diese Techniken beruhen auf dem Einspeisen großer Datenmengen in ein Lernmodell. Dieses Modell wird dadurch „geschult“, potenziell sensible Datenfolgen zu erkennen. Diese Techniken haben sich insbesondere zur Erkennung unstrukturierter Daten bewährt.
• Benutzerdefinierte Regeln: Die konkreten Datentypen, die erkannt und geschützt werden müssen, unterscheiden sich von Organisation zu Organisation. Die Mehrzahl der heutigen DLP-Lösungen unterstützt daher die Konfiguration benutzerdefinierter Regeln, die neben den vorformulierten Regeln angewendet werden.

Geeignete Maßnahmen zum Schutz der als sensibel identifizierten Daten werden in der DLP-Richtlinie des Unternehmens festgelegt. Wie diese Maßnahmen im Einzelnen aussehen, hängt wiederum stark davon ab, warum die betreffenden Daten geschützt werden sollen.

Die wichtigsten Anwendungsfälle für Cloud DLP

Organisationen müssen die Sicherheit vertraulicher Daten nicht zuletzt deshalb gewährleisten, um sich vor Verlusten anderer Art zu schützen – beispielsweise der Abwanderung von Kunden, entgangenen Umsätzen und Reputationsschäden – und sicherzustellen, dass alle geltenden branchenspezifischen bzw. gesetzlichen Vorschriften eingehalten werden. Der Schutz vertraulicher Daten setzt selbstverständlich voraus, dass die Organisation einen genauen Überblick darüber hat, welche Daten betroffen sind und wo sie sich befinden. Entsprechend ergibt sich ein weiterer wichtiger Anwendungsfall für DLP: Gewährleistung von Transparenz.

Hier noch einmal die wesentlichen Anwendungsfälle im Überblick:

• Schutz von sensiblen Daten während der Übertragung und im Ruhezustand: DLP schützt vertrauliche Informationen, die zwischen mehreren Endgeräten, Netzwerken und Clouds übertragen oder dort gespeichert werden, mittels Verschlüsselung, Zugriffskontrollen und Überprüfung auf verdächtige Aktivitäten.
• Wahrung der Konformität mit geltenden Vorschriften: Mithilfe von DLP-Richtlinien und ‑Technologien können Organisationen Zugriffskontrollen anwenden, die Anwendungsnutzung überwachen und Audits durchführen, um die Übereinstimmung ihrer Verfahren mit gesetzlichen Datenschutzbestimmungen wie DSGVO, HIPAA und PCI DSS sicherzustellen.
• Gewährleistung umfassender Datentransparenz: DLP gewährt Organisationen wertvolle Einblicke in ihre Daten, einschließlich Informationen darüber, wo sich vertrauliche Informationen befinden und wohin sie übertragen werden, wer Zugriff darauf hat und wie sie verwendet werden. Auf dieser Grundlage lassen sich Schwachstellen und riskante Aktivitäten identifizieren und Datenpannen dadurch beheben oder verhindern.

5 Lösungen für Cloud-DLP

Da kein Verfahren alle Anwendungsfälle und Datenverluste allein abdecken kann, beinhalten effektive Datenschutzangebote mehrere Funktionen. Hier einige der gängigsten Cloud-DLP-Technologien.

1. Cloud Access Security Brokers (CASBs) überwachen und kontrollieren Useraktivitäten und Datenübertragungen zwischen Endgeräten und Cloud-Anwendungen. Dabei werden Sicherheitsrichtlinien durchgesetzt, um unautorisierten Zugriff, Datenlecks und Compliance-Verstöße zu verhindern. CASB bietet Einblicke in das Userverhalten, die Anwendungsnutzung und die Datenspeicherung in Cloud-Umgebungen.
2. DLP-Software bietet Schutz vor Datenlecks bei Endgeräten, E‑Mail-Verkehr, Cloud-Services und anderen Kanälen. Durch Echtzeit-Monitoring und ‑Durchsetzung von Richtlinien werden dabei potenzielle Sicherheitsrisiken erkannt und behoben.
3. User and Entity Behavior Analytics (UEBA) umfasst die Überwachung, Analyse und Korrelation von Aktivitäten wie Userverhalten, Zugriffsmustern und Systemereignissen mit dem Ziel, Anomalien und Bedrohungen wie Insider-Angriffe, kompromittierte Konten und laterale Bewegung zu erkennen.
4. SaaS Security Posture Management (SSPM) unterstützt Organisationen bei der Bewertung und Verwaltung von Sicherheitskonfigurationen, Berechtigungen und Sicherheitsrisiken in verschiedenen SaaS-Anwendungen, damit diese exponierte Daten und unautorisierte Zugriffe aufdecken und geeignete Gegenmaßnahmen ergreifen können.
5. Browser-Isolierung dient der Ausführung von Webinhalten in einer sicheren Umgebung, um potenziell schädliche Inhalte und Aktivitäten (z. B. Drive-by-Downloads, Malware, Phishing) vom Endgerät, Netzwerk oder von vertraulichen Daten des Users fernzuhalten.

Cloud-DLP und Datentransparenz

Eine DLP-Lösung ist nur wirksam, wenn sie den Traffic überwachen kann. An Relevanz gewinnt diese Erkenntnis gerade angesichts der zunehmenden Verlagerung von Unternehmensdaten in die Cloud und der damit einhergehenden Herausforderungen. In diesem Kontext haben sich insbesondere drei Hürden herauskristallisiert, die eine zuverlässige Überprüfung des Traffics durch Netzwerk-DLP-Lösungen verhindern:

• Remote-User: Der Grad der Transparenz und das Schutzniveau, das eine Netzwerk-DLP-Lösung gewährleisten kann, hängt vom Standort der User ab. Diese können die Überprüfung leicht umgehen, wenn sie sich außerhalb des Netzwerks direkt mit Cloud-Anwendungen verbinden. Um die Wirksamkeit von DLP- und Sicherheitsrichtlinien zu gewährleisten, ist daher eine standort- und geräteunabhängige Durchsetzung erforderlich.
• Verschlüsselung: Der Anteil des TLS/SSL-verschlüsselten Traffics hat enorm zugenommen. Netzwerk-basierte DLP-Lösungen sind nicht in der Lage, diesen Traffic zur Überprüfung zu entschlüsseln. Dadurch entstehen beträchtliche Transparenzlücken.
• Begrenzte Kapazitäten: Appliance-basierte DLP-Lösungen verfügen nur über begrenzte Ressourcen und lassen sich daher nicht effektiv skalieren, um das ständig wachsende Volumen an Internet-Traffic inline zu überprüfen.

Cloud-DLP für eine Cloud- und mobilzentrierte Welt

Um die mit der digitalen Transformation einhergehenden Herausforderungen in Sachen Datenschutz zu meistern und die Mängel herkömmlicher Enterprise-DLP-Lösungen zu überwinden, ist sowohl ein Mentalitätswandel als auch die Umstellung auf neue Technologien erforderlich. Die Neukonfiguration herkömmlicher Hardware-Stacks für die Cloud ist weder effizient noch gewährleistet sie das gleiche Schutzniveau und den Funktionsumfang einer cloudbasierten Lösung. Diese zeichnet sich unter anderem durch folgende Vorteile aus:

• Identisches Schutzniveau für alle User innerhalb oder außerhalb des Netzwerks, damit Daten überall gleichermaßen sicher sind – unabhängig davon, ob User in der Unternehmenszentrale, einer Zweigstelle oder Flughafen-Lounge oder auch im Homeoffice arbeiten.
• Native Überprüfung von TLS/SSL-verschlüsseltem Datenverkehr, um lückenlose Transparenz über den Traffic zu gewährleisten, in dem sich heute über 85 % der Bedrohungen verbergen.
• Skalierbare Inline-Überprüfung zur Verhinderung von Datenverlusten, indem der gesamte Traffic inline überprüft und verdächtige bzw. unbekannte Dateien in Quarantäne verschoben werden – im Gegensatz zur nachträglichen Schadensbegrenzung, wenn Daten bereits kompromittiert wurden.

Exact Data Match für Cloud-DLP

Bislang arbeiten DLP-Lösungen mit einem sogenannten Musterabgleich, um kritische Inhalte wie Kreditkarten- und Sozialversicherungsnummern zu identifizieren. Leider ist diese Technik ungenau, weshalb die Sicherheitsteams in vielen Fällen mit Fehlalarmen bombardiert werden. Oft wird unbedenklicher Traffic nämlich blockiert, weil er ein Muster enthält, das als schützenswert identifiziert wurde.

Exact Data Match (EDM) ist eine leistungsstarke neue DLP-Technologie zur Verbesserung der Erkennungsgenauigkeit und Vermeidung von Fehlalarmen. Statt Muster abzugleichen, werden mit EDM sozusagen Fingerabdrücke von vertraulichen Daten erstellt. Anhand dieser Fingerabdrücke kann die IT-Umgebung auf Versuche überwacht werden, die jeweiligen Daten zu verschieben, und ihre unzulässige Weitergabe oder Übertragung so verhindern.

Best Practices für Cloud-DLP

Welche DLP-Strategie für Sie die richtige ist, hängt von den spezifischen Daten und Anforderungen Ihrer Organisation ab. Empfehlungen für Best Practices sind daher höchst individuell und eine ausführliche Erläuterung würde an dieser Stelle den Rahmen sprengen. Stattdessen soll die folgende Auswahl universeller Best Practices für verschiedenste DLP-Anwendungsfälle einen ersten allgemeinen Überblick geben:

• Nutzen Sie in der Anfangsphase der Bereitstellung den Überwachungsmodus („Monitor only“), um einen besseren Eindruck des Datenflusses in der gesamten Organisation zu gewinnen und auf dieser Grundlage geeignete Richtlinien zu formulieren.
• Halten Sie Mitarbeiter durch User-Benachrichtigungen auf dem Laufenden, damit Richtlinien nicht ohne ihr Wissen ausgeführt werden – denn dies kann zu Störungen der Arbeitsabläufe und damit zu Frustration führen.
• Bieten Sie Usern die Option, Feedback zu den Benachrichtigungen zu geben (um eigene Aktionen zu rechtfertigen oder fehlerhafte Richtlinien zu melden). Anhand dieser Rückmeldungen können dann die Richtlinien optimiert werden.
• Nutzen Sie erweiterte Klassifizierungstechniken wie Exact Data Match (EDM), um die Fehlalarmquote zu reduzieren.
• Setzen Sie auf eine Lösung, die über die Fähigkeit zur Entschlüsselung von TLS/SSL-Traffic verfügt, da die überwiegende Mehrheit des Internet-Traffics heute verschlüsselt ist.

Entscheiden Sie sich für Zscaler Cloud Data Loss Prevention

Angesichts steigender Risiken und Verschärfungen der Datenschutzvorschriften sind Unternehmen unbedingt gefordert, die durch Cloud und Mobilität verursachten Sicherheitslücken zu schließen – unabhängig davon, ob diese auf Schwachstellen oder Fehlkonfigurationen zurückzuführen sind.

Früher hätte man dazu einen bereits komplexen Security-Stack um weitere Appliances ergänzen müssen. Mit Zscaler Cloud Data Loss Prevention (DLP), Bestandteil der umfassenden Zscaler Data Protection Suite, gibt es heute eine zu 100 % cloudbasierte Alternative, um Datenschutzlücken zuverlässig zu schließen – und zwar unabhängig davon, wo User sich verbinden und Anwendungen gehostet werden. Gleichzeitig werden die IT-Kosten und die Komplexität reduziert.

Zscaler DLP bietet:

• Identische Schutzmaßnahmen für alle User und Daten unabhängig vom Stand- bzw. Speicherort
• Sicherheit für alle Internetverbindungen, Endgeräte, E-Mails, SaaS-Umgebungen, interne Anwendungen und Cloud-Bereitstellungen
• Skalierbare TLS/SSL-Überprüfung mit der weltweit größten Inline-Security-Cloud
• Optimierte Workflows und Betriebsabläufe durch innovative ML-gestützte Datenerkennung