Was bedeutet Cloud-DLP (Data Loss Prevention)?

Warum Cloud DLP für zukunftsorientierte Unternehmen unverzichtbar ist

Als vertrauliche Daten noch in Papierform aufbewahrt wurden, reichte für ihren Schutz normalerweise ein verschlossener Aktenschrank. Heute sind Daten bei der Übertragung zwischen Rechenzentren, Cloud-Umgebungen und Endgeräten zahllosen potenziellen Sicherheitsrisiken ausgesetzt. Um Daten unter diesen veränderten Bedingungen angemessen zu schützen, ist eine ganzheitliche DLP-Strategie (Data Loss Prevention) erforderlich.

Zur Erarbeitung einer geeigneten DLP-Strategie sollten die Leiter der Fachabteilungen und die IT-Verantwortlichen zusammenkommen, um gemeinsam unternehmensspezifische Kriterien für sensible Daten und den richtigen Umgang mit solchen Daten festzulegen sowie Datenschutzverstöße zu definieren. Basierend auf diesen Sicherheitsrichtlinien – einschließlich Datenklassifizierung, Informationen zu Data Protection und Compliance sowie Verfahren zur Problembehebung – können dann DLP-Richtlinien erstellt werden.

Oft ergibt sich der unmittelbare Anreiz für den Einsatz von DLP aus der Notwendigkeit zur Einhaltung einschlägiger Vorschriften (DSGVO, HIPAA, PCI DSS usw.), um Bußgelder oder Einschränkungen des Geschäftsbetriebs zu vermeiden. Sicherheitsverletzungen bergen jedoch auch das Risiko, dass personenbezogene Daten von Endusern offengelegt werden. Damit drohen dem betroffenen Unternehmen der Verlust von Kunden, die Schädigung der Marke oder sogar rechtliche Konsequenzen. Mit einer gut definierten DLP-Richtlinie, die durch ordentlich verwaltete Begleittechnologien unterstützt wird, lassen sich diese Risiken maßgeblich reduzieren.

Alles Wissenswerte zu Risiken von Datenverlusten im Cloud-Zeitalter

Im Zuge der rapiden Umstellung auf Cloud-Umgebungen und hybride Arbeitskonzepte hat sich die Angriffsfläche der Unternehmen dramatisch vergrößert. Die heutige Bedrohungslage stellt einzigartige Herausforderungen dar, die mit herkömmlichen Sicherheitsansätzen nur schwer zu bewältigen sind. Unternehmen müssen daher die nachstehend beschriebenen kritischen Risiken verstehen und eindämmen:

• Schatten-IT und nicht genehmigte Cloud-Anwendungen: Vertrauliche Daten werden zunehmend in nicht genehmigten Cloud-Services freigegeben und gespeichert. Dadurch entstehen Transparenzlücken, da IT-Verantwortliche kritische Informationen, die außerhalb genehmigter Kanäle fließen, nicht überwachen oder schützen können.
• Raffinierte Ransomware und Angriffe auf die Lieferkette: Heutige Bedrohungsakteure nehmen Cloud-Infrastrukturen und Integrationen von Drittanbietern ins Visier, um Daten in großem Umfang zu verschlüsseln oder zu exfiltrieren. Dabei nutzen sie Vertrauensbeziehungen und API-Verbindungen aus, um den Schaden systemübergreifend zu maximieren.
• Schwachstellen bei Remote-Mitarbeitern: Da verteilte Teams über Privatgeräte und ungesicherte Netzwerke auf Unternehmensdaten zugreifen, sind Unternehmen einem erhöhten Risiko von Datenverlusten durch nicht verwaltete Endgeräte, öffentliches WLAN und kompromittierte Heimnetzwerke ausgesetzt.
• Fehlkonfigurationen und API-Sicherheitslücken in der Cloud: Komplexe Cloud-Umgebungen leiden häufig unter falsch konfigurierten Speicherbereichen, übermäßigen Berechtigungen und gefährdeten APIs, die unbeabsichtigt vertrauliche Daten für Unbefugte oder das öffentliche Internet zugänglich machen.

Die wichtigsten Vorteile der cloudbasierten Data Loss Prevention (DLP)

Eine cloudbasierte DLP bietet mehrere Vorteile:

• Einfache Skalierbarkeit, um wachsenden Datenmengen und sich verändernden Informations-Ökosystemen gerecht zu werden
• Geringere Infrastrukturkosten durch den Verzicht auf lokale Hardware und den damit verbundenen Wartungssaufwand
• Ortsunabhängiger Schutz für User und Zweigstellen ohne Backhauling zum Rechenzentrum
• Schnellere Bereitstellung und Konfiguration als bei On-Premise-DLP
• Automatische Updates aus der Cloud mit aktuellen Informationen und Funktionen ohne Ausfallzeit

So funktioniert Cloud DLP: Wichtige Techniken und Strategien

Einfach ausgedrückt, erkennt cloudbasierte DLP-Technologie schutzbedürftige Daten und schützt diese dann angemessen. Je nach Konfiguration kann eine DLP-Lösung Daten im Einsatz, auf Übertragungswegen oder im Ruhezustand (oder in mehreren dieser Zustände) erkennen und entscheiden, ob sie als sensibel zu klassifizieren sind. Zu diesem Zweck wenden DLP-Agents unterschiedliche Techniken an:

• Regelbasierter Abgleich bzw. „reguläre Ausdrücke“: Dies ist eine Technik zur Erkennung vertraulicher Daten auf der Grundlage vorformulierter Regeln (z. B. handelt es sich bei 16-stelligen Zahlen oft um Kreditkartennummern). Wegen der hohen Fehlalarmquote eignet sich der regelbasierte Abgleich am ehesten als erster Durchgang, dem eine gründlichere Überprüfung folgt.
• Exact Data Matching (Datenbank-Fingerprinting): Diese Technik identifiziert Daten, die exakt mit anderen vertraulichen Daten übereinstimmen, für die bereits ein Fingerprinting durchgeführt wurde, normalerweise aus einer bereitgestellten Datenbank.
• Exakter Dateiabgleich: Im Unterschied zum exakten Datenabgleich werden bei dieser Technik übereinstimmende Datei-Hashes identifiziert, ohne dass der Inhalt der Datei analysiert wird.
• Teilweiser Dokumentenabgleich: Mit dieser Technik werden vertrauliche Daten durch Abgleich mit vorgegebenen Mustern oder Vorlagen erkannt (z. B. mit dem Format eines Standardformulars für Patienten in der Notaufnahme).
• Maschinelles Lernen, statistische Analyse usw.: Diese Techniken beruhen auf dem Einspeisen großer Datenmengen in ein Lernmodell. Dieses Modell wird dadurch „geschult“, potenziell sensible Datenfolgen zu erkennen. Diese Techniken haben sich insbesondere zur Erkennung unstrukturierter Daten bewährt.
• Benutzerdefinierte Regeln: Die konkreten Datentypen, die erkannt und geschützt werden müssen, unterscheiden sich von Organisation zu Organisation. Die Mehrzahl der heutigen DLP-Lösungen unterstützt daher die Konfiguration benutzerdefinierter Regeln, die neben den vorformulierten Regeln angewendet werden.

Geeignete Maßnahmen zum Schutz der als vertraulich identifizierten Daten werden in der DLP-Richtlinie des Unternehmens festgelegt. Wie diese Maßnahmen im Einzelnen aussehen, hängt wiederum stark davon ab, warum die betreffenden Daten geschützt werden sollen.

Unterschiede zwischen Cloud-DLP, On-Premises-DLP und herkömmlicher DLP

Bei der Bewertung von DLP-Lösungen müssen Unternehmen die grundlegenden Unterschiede zwischen den Bereitstellungsmodellen verstehen, um fundierte Entscheidungen treffen zu können. Jeder Ansatz bietet unterschiedliche Vorteile und Einschränkungen, die sich direkt auf die Sicherheitswirksamkeit, die Betriebseffizienz und die Gesamtbetriebskosten auswirken.

Die wichtigsten Anwendungsfälle für Cloud DLP

Organisationen müssen die Sicherheit vertraulicher Daten nicht zuletzt deshalb gewährleisten, um sich vor Verlusten anderer Art zu schützen – beispielsweise der Abwanderung von Kunden, entgangenen Umsätzen und Reputationsschäden – und sicherzustellen, dass alle geltenden branchenspezifischen bzw. gesetzlichen Vorschriften eingehalten werden. Der Schutz vertraulicher Daten setzt selbstverständlich voraus, dass die Organisation einen genauen Überblick darüber hat, welche Daten betroffen sind und wo sie sich befinden. Entsprechend ergibt sich ein weiterer wichtiger Anwendungsfall für DLP: Gewährleistung von Transparenz.

Hier noch einmal die wesentlichen Anwendungsfälle im Überblick:

• Schutz vertraulicher Daten bei der Übertragung und im Ruhezustand: Cloud-DLP schützt vertrauliche Daten auf Verbindungspfaden zwischen Endgeräten, Netzwerken und Clouds sowie an Speicherorten. Dazu kommen Verschlüsselung, Zugriffskontrollen und die Überwachung verdächtiger Aktivitäten zum Einsatz.
• Einhaltung von Vorschriften: DLP-Richtlinien und -Technologien helfen Ihnen, Zugriffskontrollen durchzusetzen, die Nutzung zu überwachen und Audits durchzuführen, um sicherzustellen, dass Sie vertrauliche Daten im Einklang mit Vorschriften wie DSGVO, HIPAA und PCI DSS verarbeiten.
• Transparente Einblicke: Cloud-DLP sorgt für Datentransparenz – also Erkenntnisse darüber, wo vertrauliche Daten gespeichert und übertragen werden, wer Zugriff darauf hat und wie sie verwendet werden. Das hilft Unternehmen dabei, Schwachstellen und riskante Vorgänge zu erkennen, um Datenschutzverletzungen zu unterbinden.
• Schutz von Remote-Arbeitsumgebungen und Privatgeräten: Angesichts der zunehmenden Anzahl von Remote-Mitarbeitern und BYOD-Richtlinien (Bring Your Own Device) trägt DLP dazu bei, Sicherheitsrichtlinien für eine Vielzahl von Geräten und Standorten durchzusetzen und so das Risiko von Datenverlusten außerhalb der herkömmlichen Netzwerkperimeter zu verringern.

5 Lösungen für Cloud-DLP

Da kein Verfahren alle Anwendungsfälle und Datenverluste allein abdecken kann, beinhalten effektive Angebote für die Data Protection mehrere Funktionen. Im Folgenden werden einige der gängigsten Cloud-DLP-Technologien vorgestellt.

• Cloud Access Security Broker (CASBs) überwachen und kontrollieren Useraktivitäten und Datenübertragungen zwischen Endgeräten und Cloud-Anwendungen und setzen Sicherheitsrichtlinien durch, um unbefugte Zugriffe, Datenverluste und Compliance-Verstöße zu verhindern. CASB bietet Einblicke in das Userverhalten, die Anwendungsnutzung und die Datenspeicherung in Cloud-Umgebungen.
• DLP-Software bietet Schutz vor Datenlecks bei Endgeräten, E‑Mail-Verkehr, Cloud-Services und anderen Kanälen. Durch Echtzeit-Monitoring und ‑Durchsetzung von Richtlinien werden dabei potenzielle Sicherheitsrisiken erkannt und behoben.
• User and Entity Behavior Analytics (UEBA) überwacht, analysiert und korreliert Userverhalten, Zugriffsmuster, Systemereignisse und weitere Faktoren, um Anomalien und potenzielle Bedrohungen wie etwa Insider-Bedrohungen, kompromittierte Konten und laterale Bewegungenzu erkennen.
• Mit SaaS Security Posture Management (SSPM) können Unternehmen Sicherheitskonfigurationen, Berechtigungen und Schwachstellen in verschiedenen SaaS-Apps bewerten und verwalten, um Sicherheitslücken zu schließen und Risiken im Zusammenhang mit der Offenlegung von Daten und unbefugten Zugriffen zu mindern.
• Durch die Browserisolierung werden Webinhalte in einer sicheren Umgebung ausgeführt. Dadurch wird verhindert, dass potenziell schädliche Webinhalte (z. B. Drive-by-Downloads, Malware, Phishing) direkt auf Endgeräte, Netzwerke oder vertrauliche User-Daten zugreifen oder diese beeinträchtigen.

Datentransparenz: Die Grundlage für effektive Cloud-DLP

Eine DLP-Lösung ist nur wirksam, wenn sie den Traffic überwachen kann. An Relevanz gewinnt diese Erkenntnis gerade angesichts der zunehmenden Verlagerung von Unternehmensdaten in die Cloud und der damit einhergehenden Herausforderungen. In diesem Kontext haben sich insbesondere drei Hürden herauskristallisiert, die eine zuverlässige Überprüfung des Traffics durch Netzwerk-DLP-Lösungen verhindern:

• Remote-User: Der Grad der Transparenz und das Schutzniveau, das eine Netzwerk-DLP-Lösung gewährleisten kann, hängt vom Standort der User ab. Diese können die Überprüfung leicht umgehen, wenn sie sich außerhalb des Netzwerks direkt mit Cloud-Anwendungen verbinden. Um die Wirksamkeit von DLP- und Sicherheitsrichtlinien zu gewährleisten, ist daher eine standort- und geräteunabhängige Durchsetzung erforderlich.
• Verschlüsselung: Die enorme Zunahme von TLS/SSL-verschlüsseltem Traffic hat erhebliche Transparenzlücken für netzwerkbasierte DLP geschaffen, da er nicht in der Lage ist, ihn zur Überprüfung zu entschlüsseln.
• Begrenzte Kapazitäten: Appliance-basierte DLP-Lösungen verfügen nur über begrenzte Ressourcen und lassen sich daher nicht effektiv skalieren, um das ständig wachsende Volumen an Internet-Traffic inline zu überprüfen.

Warum Cloud DLP für Cloud- und Mobil-orientierte Unternehmen unverzichtbar ist

Um die mit der digitalen Transformation einhergehenden Herausforderungen in Sachen Data Protection zu meistern und die Mängel herkömmlicher Enterprise-DLP-Lösungen zu überwinden, ist sowohl ein Mentalitätswandel als auch die Umstellung auf neue Technologien erforderlich. Die Neukonfiguration herkömmlicher Hardware-Stacks für die Cloud ist weder effizient noch gewährleistet sie das gleiche Schutzniveau und den Funktionsumfang einer cloudbasierten Lösung. Diese zeichnet sich unter anderem durch folgende Vorteile aus:

• Identisches Schutzniveau für alle User innerhalb oder außerhalb des Netzwerks, damit Daten überall gleichermaßen sicher sind – unabhängig davon, ob User in der Unternehmenszentrale, einer Zweigstelle oder Flughafen-Lounge oder auch im Homeoffice arbeiten.
• Native Überprüfung von TLS/SSL-verschlüsseltem Traffic, in dem sich heute über 85 % der Angriffe verbergen.
• Flexible Skalierbarkeit für die Inline-Prüfung, die Datenverluste durch Prüfung des gesamten eingehenden Traffics und Quarantäne verhindert.

Best Practices für Cloud-DLP

Welche DLP-Strategie für Sie die richtige ist, hängt von den spezifischen Daten und Anforderungen Ihrer Organisation ab. Empfehlungen für Best Practices sind daher höchst individuell und eine ausführliche Erläuterung würde an dieser Stelle den Rahmen sprengen. Stattdessen soll die folgende Auswahl universeller Best Practices für verschiedenste DLP-Anwendungsfälle einen ersten allgemeinen Überblick geben:

• Nutzen Sie in der Anfangsphase der Bereitstellung den Überwachungsmodus („Monitor only“), um einen besseren Eindruck des Datenflusses in der gesamten Organisation zu gewinnen und auf dieser Grundlage geeignete Richtlinien zu formulieren.
• Halten Sie Mitarbeiter durch User-Benachrichtigungen auf dem Laufenden, damit Richtlinien nicht ohne ihr Wissen ausgeführt werden – denn dies kann zu Störungen der Arbeitsabläufe und damit zu Frustration führen.
• Bieten Sie Usern die Option, Feedback zu den Benachrichtigungen zu geben (um eigene Aktionen zu rechtfertigen oder fehlerhafte Richtlinien zu melden). Anhand dieser Rückmeldungen können dann die Richtlinien optimiert werden.
• Nutzen Sie erweiterte Klassifizierungstechniken wie Exact Data Match (EDM), um die Fehlalarmquote zu reduzieren.

Entscheiden Sie sich für Zscaler Cloud Data Loss Prevention

100 % in der Cloud bereitgestellte Zscaler Data Loss Prevention, Komponente von Zscaler Data Security. Zscaler DLP unterstützt Sie durch Schließen von Lücken bei der Data Protection – und zwar unabhängig davon, wo User sich verbinden und Anwendungen gehostet werden. Gleichzeitig werden die IT-Kosten und die Komplexität reduziert.

Zscaler DLP bietet:

• Identische Schutzmaßnahmen für alle User und Daten unabhängig vom Stand- bzw. Speicherort
• Sicherheit für alle Internetverbindungen, Endgeräte, E-Mails, SaaS-Umgebungen, interne Anwendungen und Cloud-Bereitstellungen
• Skalierbare TLS/SSL-Überprüfung mit der weltweit größten Inline-Security-Cloud
• Optimierte Workflows und Betriebsabläufe durch innovative ML-gestützte Datenerkennung

Möchten Sie sich selbst davon überzeugen, wie Zscaler DLP Ihr Unternehmen schützen kann? Fordern Sie eine Demo an.