Im Zeitalter der Digitalisierung und technischer Entwicklungen wie der Industrie 4.0 werden Unternehmen mit immer größer werdenden Datenmengen konfrontiert, die anfallen und ausgewertet werden müssen. Daten spielen als Ressource eine immer bedeutendere Rolle, bringen aber auch einige Herausforderungen mit sich.
So wird es für Hacker immer lukrativer Daten abzugreifen, um sie für einen Wettbewerbsvorteil zu verwenden oder sogar, um die erlangten Datensätze zu verkaufen. Für Unternehmen, deren Daten entwendet werden, bedeutet dies schlichtweg, dass sie Geld verlieren. Um dem entgegenzuwirken kommt der Datensicherheit, also dem Schutz von Daten vor dem Zugriff Unbefugter, eine zentrale Bedeutung zu. Ziel dabei ist es, jegliche Form von Daten gegen Manipulation, Kenntnisnahme, Verlust und andere Formen von Bedrohungen zu schützen.
Im Folgenden werden zwei Datensicherheits-Strategien vorgestellt: Data Loss Prevention und Data Leakage Prevention. Um diese zu verstehen, werden zunächst die Begriffe Data Loss und Data Leakage selbst kurz erläutert.
Data Loss
Data Loss (Deutsch: Datenverlust) meint einen Prozess oder ein Ereignis, das dazu führt, dass Daten von einem Benutzer und/oder einer Software oder Anwendung beschädigt, gelöscht, oder unlesbar gemacht werden. Data Loss tritt auf, wenn der Daten-Inhaber der Datei diese nicht mehr aufrufen oder wenn auf die Datei nicht mehr von zugehörigen Programmen zugegriffen werden kann.
Beispiel:
- Einer der berühmtesten Fälle im Bereich Data Loss ist die WannaCry Angriffswelle aus 2017. Befallene Computer wurden verschlüsselt und bei Nichtbezahlen eines bestimmten Geldbetrags komplett gelöscht. Betroffen waren unter anderem Renault-Nissan, die Deutsche Bahn und weitere globale Unternehmen.
- Im März 2022 trat Data Loss bei dem Anbieter für Datenschutz-, Replikations- und Wiederherstellungslösungen für Unternehmen, Arcserve, auf. Hier wurden Kundendaten bei der Migration auf ein neues Speichersystem auf Grund von internem menschlichem Versagen gelöscht.
Data Leakage
Um ein Data Leakage (Deutsch: Datenleck) handelt es sich, wenn Daten aus einer Organisation an unbefugte Dritte übertragen werden. Data Leakage umfasst hier sowohl die physische als auch die elektronische Übertragung.
Beispiele:
- Die im Automobilhandel tätige Emil Frey Gruppe wurde in der zweiten Januar Woche Ziel eines Angriffs, bei dem einige personenbezogene Daten gestohlen wurden.
- Ende März wurde Microsoft Opfer eines Hacks der Gruppe „Lapsus$“. Infolge dessen wurden Quellcodeausschnitte der Programme Cortana und Bing veröffentlicht.
Trotz der Gemeinsamkeiten sind Data Loss und Data Leakage klar zu separieren. Es besteht keine implizite Beziehung, denn beide können völlig unabhängig voneinander auftreten. Data Leakage sagt nur aus, dass die Vertraulichkeit der Daten beeinträchtigt wurde – Data Loss hingegen, dass die Daten nicht mehr auffindbar sind.
Data Loss Prevention
Um den Verlust eines Unternehmens durch Data Loss zu minimieren, können verschiedene Gegenmaßnahmen ergriffen werden. Bei deren Umsetzung ist es wichtig zu wissen, welchen Wert die jeweiligen Daten für das Unternehmen generieren. Daten, die im Falle eines Verlusts zu hohen (finanziellen) Einbußen führen, sind in der Umsetzung von Data Loss Prevention am höchsten zu priorisieren.
- Backups: Die wertvollste Methode, um Data Loss entgegenzuwirken sind Backups. Diese verhindern nicht direkt den Data Loss Vorgang, aber wenn Daten verloren gehen, können diese zumindest wiederhergestellt werden. Löscht ein Mitarbeiter zum Beispiel eine Datei, handelt es sich um Data Loss. Kann man diese mithilfe eines Backups wiederherstellen, entsteht für das Unternehmen kein Verlust. Außerdem bekämpft das Erstellen von Backups auch die einfache Datenkorruption durch technische Fehler. Wichtig ist es, dass die Backups regelmäßig und vollständig durchgeführt werden. Außerdem müssen sie regelmäßig auf die Wiederherstellungsfähigkeit und auf mögliche Malware überprüft werden.
- Berechtigung von Beschränkungen: Eine weitere Technik zur Begrenzung des versehentlichen Data Loss durch Mitarbeiter ist es Berechtigungen zu beschränken. Diese sollten stets nach dem „Principle of least privilege“ vergeben werden. In der Informationssicherheit, der Informatik und anderen Bereichen verlangt dieses sogenannte Prinzip der geringsten Rechte, auch bekannt als das Prinzip der minimalen Rechte oder das Prinzip der geringsten Befugnisse, dass in einer bestimmten Abstraktionsschicht einer Computerumgebung jedes Modul (je nach Thema ein Prozess, ein Benutzer oder ein Programm) nur auf die Informationen und Ressourcen zugreifen kann, die für seinen rechtmäßigen Zweck erforderlich sind. Ein Mitarbeitender, der nicht die Berechtigung zum Löschen einer Datei hat, kann diese auch nicht löschen.
- Schulungen und Antivirenprogramme: Zum Schutz vor Viren müssen mehrere Maßnahmen ergriffen werden. Zunächst sollten die Mitarbeitenden geschult werden, damit ein Virus keine Chance hat in das System eingeladen zu werden. Da hier aber trotzdem Fehler passieren können, müssen auf jedem Rechner, jedem Server und jeder Kommunikationsschnittstelle Netzwerk Anti-Virenprogramme installiert sein. Sinnvoll ist es hier nicht nur auf einen Anbieter zu setzen, um mehrere Viren abfangen zu können.
Data Leakage Prevention
Analog zu Data Loss Prevention müssen Daten inventarisiert und kategorisiert werden. So kann festgestellt werden, ob das Dokument weitergegeben werden darf oder nicht.
- E-Mail Scanning: Um das unbefugte interne Versenden vertraulicher Dokumente zu verhindern, können Unternehmen ausgehende E-Mails mit Anhang verhindern. Da das im Alltag jedoch praktisch nicht umsetzbar ist, ist es sinnvoll ausgehende E-Mails zu scannen und nur dann zuzustellen, wenn zuvor aufgestellte Regeln zum Versand eingehalten wurden.
- Genehmigung, Protokollierung und Sicherheitszonen: Um die Daten-Exfiltration zu verhindern, können verschieden Techniken angewandt werden. Angeschlossene Datenträger können nur nach Genehmigung und mit einer aktiven Protokollierung verwendet werden. Desweiteren kann jeder Kopiervorgang auf dem Netzwerk ein mögliches Datenleck sein, deshalb müssen diese protokolliert und abgespeichert werden. Die häufigsten Formen von Daten-Exfiltration sind das Abfotografieren beziehungsweise das Ausdrucken von Dokumenten. Letzteres kann durch eine Beschränkung und Protokollierung der unternehmensinternen Drucker verhindert werden. Das Abfotografieren von Dokumenten zu verhindern ist sehr schwer. Hierbei muss darauf geachtet werden, dass eine Verhältnismäßigkeit gegeben ist. Eine Möglichkeit ist es, eine Sicherheitszone zu errichten, in der entsprechende Dokumente gesichtet werden dürfen. Dies ist dann durch Zugangskontrolle zu schützen und nur ohne technische Geräte wie ein Smartphone oder eine Kamera betretbar.
- Schulungen und Antivirenprogramme: Zuletzt kann auch die eingehende elektronische Kommunikation überprüft werden. Hier soll gewährleistet werden, dass sich kein Trojaner oder andere Form von Schadsoftware im Unternehmensnetz einnisten kann. Möglichkeiten hierzu bieten vor allem eingehende Dokumente. Hier müssen Anti-Virenprogramme verwendet werden, um zu verhindern, dass ein Virus geladen werden kann. Außerdem bedarf es Schulungen der Mitarbeiter, um betrügerischen E-Mails keine Chance zu geben.
Fazit
Data Loss Prevention und Data Leakage Prevention sind zwei in der Literatur oftmals gleich dargestellte Strategien der Datensicherheit. Diese unterscheiden sich aber deutlich in der Umsetzung. Unternehmen, die sensitive und kritische Daten, wie personenbezogene Daten, speichern, sollten einen größeren Fokus auf Data Leakage Prevention legen. Betreiber von hochverfügbaren Assets, also z. B. Unternehmen mit einem Fokus auf Produktionsanlagen, sollten hingegen Data Loss Prevention als Schwerpunkt betrachten.