Was ist DLP und wie funktioniert es?

Wie funktioniert DLP?

Um die Möglichkeiten einer DLP-Lösung in ihrer Gesamtheit zu verstehen, ist es wichtig, die Unterschiede zwischen Inhaltserkennung und Kontextanalyse zu verstehen. Zur Verdeutlichung des Unterschieds könnte man sagen: Wenn der Inhalt ein Brief ist, ist der Kontext der Umschlag. Während bei der Inhaltserkennung der Umschlag genommen und ein Blick hinein geworfen wird, um den Inhalt zu analysieren, umfasst der Kontext externe Faktoren wie An- und Absender, Größe, Format usw. – also alles, was nicht zum Inhalt des Briefes gehört. Die Idee hinter der Inhaltserkennung besteht darin, dass wir mithilfe des Kontexts mehr Informationen über den Inhalt erhalten. Gleichzeitig möchten wir uns nicht auf einen einzigen Kontext beschränken.

Nachdem der Umschlag geöffnet und der Inhalt analysiert wurde, gibt es verschiedene Inhaltsanalysetechniken, mit denen Richtlinienverstöße erkannt werden können, darunter:

1. Regelbasierte/reguläre Ausdrücke: Bei der am häufigsten eingesetzten DLP-Technik analysiert ein Modul Inhalte anhand bestimmter Regeln, um nach 16-stelligen Kreditkartennummern, 9-stelligen US-Sozialversicherungsnummern und anderen stark strukturierten Informationen zu suchen. Diese Technik ist ein hervorragender Filter für den ersten Schritt, da sich solche Regeln schnell konfigurieren und anwenden lassen. Ohne Prüfsummenvalidierung zur Identifizierung gültiger Muster können sie jedoch für hohe False-Positive-Raten anfällig sein.
2. Datenbank-Fingerprinting: Diese Technik, die auch als exakter Datenabgleich bezeichnet wird, sucht nach genauen Übereinstimmungen zwischen einem Datenbank-Dump oder einer Live-Datenbank. Dieser Ansatz eignet sich für strukturierte Daten aus Datenbanken. Allerdings können die Verbindungen mit Datenbank-Dumps bzw. Live-Datenbanken die Leistung beeinträchtigen.
3. Exakter Dateiabgleich: Die Dateiinhalte selbst werden nicht analysiert, stattdessen werden Hash-Werte von Dateien mit genauen Fingerabdrücken abgeglichen. Dieser Ansatz funktioniert nicht für Dateien mit mehreren ähnlichen, aber nicht identischen Versionen. Dafür liefert er jedoch nur wenige False-Positives.
4. Teilweiser Dokumentabgleich: Bei dieser Technik wird bei bestimmten Dateien nach vollständigen oder teilweisen Übereinstimmungen gesucht. Dieser Ansatz wird zum Beispiel zur Analyse von mehreren Formularversionen angewendet, die von verschiedenen Benutzern ausgefüllt wurden.
5. Konzeptionelle/Wörterbuch-basierte Analyse: Basierend auf einer Kombination verschiedener Wörterbücher, Regeln usw. werden bei völlig unstrukturierten Daten, die sich einer einfachen Kategorisierung entziehen, Warnungen ausgegeben. Diese Analysen müssen an die jeweilige DLP-Lösung angepasst werden.
6. Statistische Analyse: Verwendet Machine Learning oder andere statistische Methoden wie die Bayessche Statistik, um Richtlinienverstöße in sicheren Inhalten zu erkennen. Als Grundlage für diese Scans sind große Datenmengen erforderlich – je mehr Daten, desto besser, da andernfalls viele False-Positives und False-Negatives generiert werden können.
7. Vordefinierte Kategorien: Bei dieser Technik erfolgt die Analyse anhand vordefinierter Kategorien mit Regeln und Wörterbüchern für gängige Typen vertraulicher Daten wie Zahlungskartendaten, HIPAA-bezogene Daten usw.

Heutzutage sind unzählige Techniken auf dem Markt, die verschiedene Formen der Inhaltsprüfung unterstützen. Beachten Sie dabei, dass viele DLP-Anbieter eigene Module zur Inhaltsanalyse entwickelt haben, während andere Technologien von Drittanbietern verwenden, die nicht für DLP entwickelt wurden. Statt also einen Musterabgleich für Kreditkartennummern zu erstellen, könnte ein DLP-Anbieter zum Beispiel die Technologie eines Suchmaschinenanbieters lizenzieren, die einen Musterabgleich von Kreditkartennummern durchführt. Achten Sie bei der Evaluierung der Genauigkeit des Inhaltsanalysemoduls von DLP-Lösungen darauf, welche Mustertypen jeweils anhand eines realen Korpus vertraulicher Daten erkannt werden.

Best Practices für DLP zur Steigerung der Datensicherheit

Best Practices für DLP kombinieren Technologie, Prozesskontrollen, geschultes Personal und sensibilisierte Mitarbeiter. Beachten Sie bei der Entwicklung eines effektiven DLP-Programms diese Empfehlungen:

1. Implementieren Sie ein zentrales, einheitliches DLP-Programm. Viele Unternehmen setzen auf inkonsistente Ad-hoc-DLP-Prozesse und -Technologien, die von verschiedenen Abteilungen und Geschäftsbereichen implementiert wurden. Durch diese Inkonsistenz fehlt der vollständige Überblick über Datenressourcen, was die Datensicherheit beeinträchtigt. Außerdem neigen Mitarbeiter dazu, abteilungsspezifische DLP-Programme zu ignorieren, wenn diese im restlichen Unternehmen nicht unterstützt werden.
2. Evaluieren Sie Ihre internen Ressourcen. Um einen DLP-Plan erstellen und umsetzen zu können, benötigen Unternehmen Personal mit DLP-bezogenen Kompetenzen bei DLP-Risikoanalysen, der Behebung und Meldung von Datenkompromittierungen sowie bei Datenschutzgesetzen. Außerdem muss das Personal zu DLP geschult und sensibilisiert werden. Einige gesetzliche Vorschriften schreiben vor, dass Unternehmen entweder interne Mitarbeiter mit Datenschutzkenntnissen beschäftigen oder externe Berater vorhalten müssen. Zum Beispiel gelten die Bestimmungen der DSGVO für alle Unternehmen, die Waren oder Dienstleistungen an Verbraucher in der Europäischen Union (EU) verkaufen oder deren Verhalten überwachen. Die DSGVO schreibt einen Datenschutzbeauftragten oder Mitarbeiter vor, die die Aufgaben eines Datenschutzbeauftragten übernehmen können, darunter die Durchführung von Compliance-Audits, die Überwachung der DLP-Leistung, die Schulung von Mitarbeitern zu Compliance-Anforderungen und die Funktion als Bindeglied zwischen dem Unternehmen und den Aufsichtsbehörden.
3. Führen Sie eine Inventarisierung und Bewertung durch.  Die Evaluierung der Datentypen und deren Wert für das Unternehmen ist ein wichtiger Schritt, der in einer frühen Phase der Implementierung eines DLP-Programms durchgeführt werden sollte. Dabei werden alle relevanten Daten, deren Speicherorte und deren Vertraulichkeit identifiziert, damit Sie einen vollständigen Überblick über Ihr geistiges Eigentum, vertrauliche Informationen sowie regulierte Daten erhalten. Einige DLP-Produkte können Informationsressourcen schnell identifizieren, indem sie die Metadaten von Dateien scannen und die Ergebnisse katalogisieren. Bei Bedarf werden die Dateien auch geöffnet, um den Inhalt zu analysieren. Im nächsten Schritt wird das Risiko bewertet, das im Falle einer Offenlegung mit den einzelnen Datentypen verbunden ist. Außerdem müssen Datenaustrittspunkte und die Kosten berücksichtigt werden, die bei einem Verlust dieser Daten wahrscheinlich entstehen. Der Verlust von Informationen über Mitarbeitersozialleistungen birgt ein anderes Risiko als der Verlust von 1.000 Patientenakten oder 100.000 Bankkontonummern und Kennwörtern.
4. Führen Sie die Implementierung in Phasen durch.  DLP ist ein langfristiger Prozess, der am besten in Phasen umgesetzt wird. Am effektivsten ist ein Ansatz, bei dem besonders relevante Datentypen und Kommunikationskanäle priorisiert werden. Es kann sinnvoll sein, die Komponenten oder Module einer DLP-Software nicht alle auf einmal, sondern nach Bedarf zu implementieren. Berücksichtigen Sie dabei die Prioritäten Ihres Unternehmens, die sich bei der Risikoanalyse und durch das Dateninventar ergeben haben.
5. Erstellen Sie ein Klassifizierungssystem.  Bevor ein Unternehmen DLP-Richtlinien erstellen und anwenden kann, benötigt es ein Datenklassifizierungs-Framework bzw. eine Taxonomie für unstrukturierte und strukturierte Daten. Typische Datensicherheitskategorien sind vertrauliche Daten, interne Daten, öffentliche Daten, personenbezogene Daten, Finanzdaten, regulierte Daten, geistiges Eigentum usw. DLP-Produkte können Daten mithilfe einer vorkonfigurierten Taxonomie scannen, die das Unternehmen später bei Bedarf anpassen kann, um die wichtigsten Datenkategorien zu identifizieren. Auch wenn DLP-Software die Klassifizierung automatisieren und beschleunigen kann, sollte die Auswahl und Anpassung der Kategorien durch Menschen erfolgen. Bei einigen Inhaltstypen, die nicht mit einfachen Stichwörtern oder Wortfolgen identifiziert werden können, kann die Bewertung auch visuell vom Inhaltseigentümer durchgeführt werden.
6. Legen Sie Richtlinien für die Datenverarbeitung und die Behebung fest. Nachdem das Klassifizierungs-Framework erstellt wurde, müssen Sie im nächsten Schritt Richtlinien für die Verarbeitung verschiedener Datenkategorien erstellen (bzw. aktualisieren). Die DLP-Richtlinien für den Umgang mit vertraulichen Daten hängen von den geltenden gesetzlichen Anforderungen ab. DLP-Lösungen wenden in der Regel vorkonfigurierte Regeln oder Richtlinien an, die auf verschiedenen Vorschriften wie HIPAA oder DSGVO basieren und von DLP-Mitarbeitern an die Anforderungen des Unternehmens angepasst werden. DLP-Erzwingungsprodukte überwachen ausgehende Kanäle (wie E-Mails und Web-Chat), wenden die Richtlinien an und bieten Optionen für den Umgang mit potenziellen Sicherheitsverletzungen. Wenn ein Mitarbeiter zum Beispiel versucht, eine E-Mail mit einem vertraulichen Anhang zu versenden, kann er mit einer Pop-Up-Meldung dazu aufgefordert werden, die Nachricht zu verschlüsseln. Alternativ kann das System die Nachricht vollständig blockieren oder an einen Manager umleiten. Die Reaktion basiert auf Regeln, die vom jeweiligen Unternehmen erstellt werden.
7. Schulen Sie Ihre Mitarbeiter.  Damit DLP erfolgreich angewendet wird, ist es wichtig, dass die Mitarbeiter mit den Sicherheitsrichtlinien und -prozessen vertraut sind und diese umsetzen. Aus- und Weiterbildungsmaßnahmen wie Kurse, Online-Schulungen, regelmäßige E-Mails, Videos und Erinnerungen können das Verständnis der Mitarbeiter für die Bedeutung der Datensicherheit verbessern und dafür sorgen, dass sie die empfohlenen Best Practices für DLP befolgen. Zur Verbesserung der Compliance kann es auch sinnvoll sein, Strafen für Datensicherheitsverstöße vorzusehen. Diese sollten jedoch eindeutig definiert sein. Das SANS Institute bietet eine Vielzahl von Ressourcen für Schulungen und Sensibilisierungsmaßnahmen zum Thema Datensicherheit an.