Data Loss Prevention soll helfen und nicht behindern
Data Loss Prevention – der Schutz der Vertraulichkeit von Daten – ist kein neues Konzept, aber es gewinnt in der IT-Welt immer mehr an Relevanz, da Unternehmen und Organisationen erkennen, dass der Abfluss von Daten durch verärgerte Mitarbeiter oder das Eindringen von feindlich gesinnten externen Gruppen eine Gefährdung des Betriebes darstellt. Zumindest wird von DLP-Herstellern in Verkaufsgesprächen so argumentiert.
Aber in den meisten Fällen, gibt Rich Mogull, Analyst und Geschäftsführer bei Securosis, zu bedenken, stellten Unternehmen, die DLP im Einsatz haben, fest, dass der Abfluss von Daten häufig durch Störungen oder ungenügende Unternehmensrichtlinien verursacht wird und nicht aus böswilliger Absicht geschieht. Wie Mogull in einem Interview mit der Redaktion erläutert, kommt bei der Analyse der Ursachen von Datenabflüssen immer wieder der »Ups«-Faktor zum Vorschein. Ein Mitarbeiter in den USA überträgt unverschlüsselt medizinische Daten und verstößt damit gegen die HIPAA-Verordnung (Health Insurance Portability and Accountability Act) oder eine Datei, die Kreditkartennummern enthält, wird in einem ungeschützten Bereich abgespeichert. Derartige Vorkommnisse können sich, sollten sie während einer Betriebsprüfung ans Tageslicht kommen, als Karriere-Killer entpuppen; sollte der Vorfall an die Presse gelangen, kann er den Ruf des Unternehmens an sich beschädigen.
Dies soll natürlich nicht heißen, dass Firmen, die keinen gesetzlichen Regelungen unterliegen, wie zum Beispiel HIPAA und Sarbanes-Oxley in den USA oder dem Bundesdatenschutzgesetz, einfach auf DLP verzichten können. Wie Mogull erklärt, ist das Risiko des Abflusses von Daten nicht immer klar erkennbar: Wenn Daten gestohlen oder schlicht unsachgemäß gehandhabt werden, »steht Ihnen nicht einmal ein grundlegendes Überwachungssystem zur Verfügung, das Sie über dieses Problem informieren könnte«.
Effektiver Schutz vor Datendiebstahl
Wie kann ein Unternehmen DLP effektiv in den Betrieb einführen, wenn das Risiko für Datenabflüsse oder -diebstahl so allgegenwärtig ist? Sprechen wir erst einmal über DLP als Konzept, bevor wir uns mit den Einzelheiten befassen.
Man kann sich DLP gedanklich annähern, indem man annimmt, dass Daten sich in einem oder mehreren Zuständen befinden: Daten in Bewegung, ruhende Daten und in Verwendung befindliche Daten. Aber es besteht die Gefahr, dass man sich nur auf einen dieser Aspekte konzentriert, da diejenigen Methoden, die außerordentlich gut beispielsweise im Netzwerk funktionieren (d.h. Daten in Bewegung), kaum angewendet werden können bzw. keinen Erfolg zeigen bei Bedrohungen, die darauf abzielen, Daten zu erlangen, die an einem Endpunkt verarbeitet werden. Eine vernünftige DLP-Strategie wird alle drei Bereiche hinsichtlich der Bedürfnisse des Unternehmens prüfen, unabhängig davon, ob diese nun gesetzlicher, betrieblicher oder kultureller Art sind. Die Schwierigkeit sowohl für IT-Manager als auch Sicherheitsspezialisten besteht nun darin, dass es kein Produkt gibt, das alle drei Kategorien abdeckt.
Oder wenn man DLP von einer anderen Perspektive aus betrachten möchte, bietet sich der Aspekt der Bedrohungsvektoren an. Unter diesem Gesichtspunkt heißen die drei Säulen E-Mail, Web und Endpunkt. Es ist wohlbekannt, wie man sich im Zusammenhang mit den ersten beiden Säulen schützt und die Implementierung entsprechender Schutzvorkehrungen ist simpel. Der dritte Bereich ist etwas komplexer. Portable Medien können blockiert oder gescannt werden, aber die Allgegenwart von Handykameras macht es möglich, dass Daten, die auf dem Bildschirm dargestellt werden, abfotografiert oder abgefilmt werden können, obwohl dies plump und äußerst offensichtlich ist.
Der erste Schritt bei der Implementierung einer DLP-Strategie ist die Identifizierung von Daten. Obwohl es einfach sein mag, allgemein zu definieren, welche Daten geschützt werden sollen, wie zum Beispiel finanzielle Unterlagen, Kundendaten oder Produktpläne, ist es nicht immer so einfach, einem Dokument einen bestimmten Risikowert zuzuordnen. Mogull weist in diesem Zusammenhang darauf hin, dass man »wissen muss, was schützenswert ist«.
Kontext + Inhalt
Vielleicht ist es am besten, wenn man den Datenkontext und die Inhalte als zwei Seiten einer Medaille ansieht. Der Kontext kann in Form von Metadaten einer Datei, E-Mail-Headern oder einer Anwendung, die die Daten verarbeitet, vorliegen. Bei komplexeren Varianten der Kontextanalyse untersucht ein DLP-Prozess die Datenformate oder die Netzwerkprotokolle oder greift auf die Netzwerkinformationen des DHCP-Servers und eines Directory-Dienstes zurück, um festzustellen, wer die Daten abruft. Diese Palette kann um spezifische Webdienste oder Zieladressen im Netzwerk erweitert werden oder es können auch einzelne Speichergeräte wie zum Beispiel USB-Sticks einbezogen werden.
Der Bereich Inhalte, könnte man meinen, ist relativ einleuchtend. Wenn man Kenntnis besitzt über die Inhalte von Daten, enthält diese Information bereits häufig schon den ersten Hinweis darauf, was für Schutzvorkehrungen getroffen werden müssen. Die Analyse der Inhalte ist oft der schwierige Teil, da man mit dem Datenkontext anfangen muss und dann die Inhalte untersuchen muss. Dazu ist unter Umständen ein regelbasiertes Verfahren notwendig, bei dem reguläre Ausdrücke, die Überprüfung auf Übereinstimmung bei Dateien, Datenbank-Fingerprinting oder statistische Analysen zum Einsatz kommen. Dieses »Gewahrsein des Inhalts«, wie Rich Mogull es beschreibt, ist, was echte DLP ausmacht.
Will man die DLP-Implementierung weiter vorantreiben, kann es unter Umständen richtig komplex werden. So scheint es relativ einfach, DLP bei E-Mails zu implementieren, einfach aufgrund der Charakteristiken dieses Kommunikationsmediums. In vielen Sicherheitsprodukten, die auch Schutz vor anderen Bedrohungen durch E-Mail bieten, sind bereits einige DLP-Funktionen integriert – Mogull bezeichnet diese Art der Integration als »DLP Light« – und wenn sich ein Unternehmen dafür entscheidet, mittels eines dedizierten Systems einen weiteren Mail-Transfer-Agenten zu implementieren, der eine DLP-Schicht einbezieht, werden die Nutzer dies wahrscheinlich kaum bemerken. Der Nachteil einer solchen Lösung ist, dass damit der externe E-Mail-Traffic gut abgedeckt ist, interne E-Mails jedoch nicht geschützt sind.
Ähnlich stellt sich die Situation bei netzwerkbasierter DLP dar. DLP-Produkte bedienen sich oft der integrierten Reverse-Proxy-Funktionen eines Internet-Gateways, um so den mit SSL verschlüsselten Datenstrom zu prüfen. Laut einem kürzlich veröffentlichten Fachartikel von Palo Alto Networks wurde bei einer Stichprobe bei US-Unternehmen festgestellt, dass SSL auf Port 443 oder anderen Ports 20,7 Prozent der Bandbreite einnimmt. Dieselbe Traffic-Analyse zeigt, dass bei 15 Prozent der untersuchten Netzwerke weltweit eine oder mehrere Instanzen eines Tor Onion-Servers aktiv sind. Das Äußerste, was eine DLP-Lösung bei derartigem Traffic leisten kann, ist, Alarm zu schlagen oder ihn komplett zu blockieren, ohne überhaupt Kenntnis darüber zu besitzen, welche Inhalte dabei transportiert werden.
Im Bereich Datenspeicherung ist laut Mogull und Securosis der Anteil an »DLP Light«-Lösungen geringer, dafür herrscht ein höherer Grad an Integration. Dies ist teilweise darauf zurückzuführen, dass diese Systeme auf Datenbanken und Dokumentenmanagementlösungen zurückgreifen können. Aufgrund der inhärenten Charakteristiken dieser Systeme ist Echtzeit-DLP beschränkt auf Filtertechniken, wie zum Beispiel Kategorien, Muster und Regeln, denn tiefergehende Analysemethoden können sich negativ auf die Systemleistung auswirken.
Hilfe oder Hindernis?
Egal für welche Komponenten einer DLP-Strategie ein Unternehmen sich entscheidet – es ist wichtig, dass die DLP-Lösung über eine aufgeräumte Benutzeroberfläche sowie über solide Tools zum Erstellen von Berichten verfügt. Obwohl diese Kriterien offensichtlich erscheinen mögen, hat Mogull festgestellt, dass DLP-Tools oft so sehr von den Entwicklern beeinflusst sind, dass die Designer darüber vergessen, dass die Nutzer dieser Tools, die manchmal keine IT-Fachleute sind, sich auf einfache und effiziente Weise mit potenziellen Problemen auseinandersetzen müssen. Schließlich gibt es Anlässe, bei denen es auf eine schnelle Reaktion ankommt, und eine Benutzeroberfläche sollte dann eher eine Hilfe als ein Hindernis sein.
Was soll man tun, wenn Daten gestohlen oder ohne Genehmigung weitergegeben worden sind? Dies ist ein Aspekt von DLP, über den nicht so oft gesprochen wird. Oft ähneln die ergriffenen Maßnahmen, die naturgemäß nur reaktiv getroffen werden können, einer Hexenjagd. Dadurch wird oft mehr Schaden angerichtet als durch den eigentlichen Datendiebstahl, denn sie vergiften das Betriebsklima und schaden den Beziehungen zu Kunden und Partnern. Daher ist es wichtig, Mogulls Argument bezüglich des Vorsatzes im Hinterkopf zu bewahren, oder, um eine verbreitete Redensart zu umschreiben: »Geh’ nicht von einem bösartigen Vorsatz aus, wenn schlichte Unachtsamkeit es auch tut.«
Laut Mogull gibt es jedoch etwas, das den Unternehmen, die DLP implementiert haben, Grund zur Hoffnung geben sollte, nämlich die Tatsache, dass der Markt anfängt, an Reife zu gewinnen, obwohl die technische Entwicklung der Marktdurchdringung noch vorauseilt. Die größte Schwierigkeit für IT- und Sicherheitsmanager wird wohl darin bestehen, das nötige Budget aufzutreiben für Tools, die für das Unternehmen passend sind, unabhängig davon, ob man dies aus der Bedrohungsperspektive oder anhand der Expertise, die im Haus vorhanden ist, beurteilt. Dies ist natürlich ein Problem, das fast immer besteht. Außer, wenn es schon zu spät ist.