Jede Organisation hat sensible Daten. Ihrem Missbrauch oder Verlust systematisch vorzubeugen, ist das Ziel von Data Loss Prevention (DLP). Welche Maßnahmen und Lösungen sich dahinter verbergen, erläutert Anton Kreuzer, CEO bei DriveLock SE, im Interview.
Schön, dass Sie sich Zeit nehmen, Herr Kreuzer. Starten wir mit einer einfachen Frage: Wozu benötigt man Data Loss Prevention?
Anton Kreuzer: Von der Unachtsamkeit eines Kollegen oder einer Kollegin über die kriminelle Hackerindustrie bis hin zu Aspekten der nationalen Sicherheit: Datenverlust verursacht auf verschiedene Arten Schäden. Der Verlust geschäftskritischer Daten oder geistigen Eigentums kann einen hart erarbeiteten Wettbewerbsvorteil zunichtemachen. Verstöße gegen Gesetze wie die DSGVO oder branchenspezifische Richtlinien ziehenStrafen und Reputationsschäden nach sich. Auch Personen können Schaden erleiden, wenn personenbezogene Daten verloren gehen oder missbraucht werden.
Welche Daten müssen besonders geschützt werden?
Anton Kreuzer: Inhaltlich können das verschiedenste Daten sein, zum Beispiel sensible Kundendaten, Patientenakten, geschäftskritische Unternehmensdaten, Daten, die der Privatsphäre unterliegen aber auch politisch oder militärisch sensible Daten.
Wo fangen Unternehmen am besten an, Datenverlust vorzubeugen?
Anton Kreuzer: Am Anfang steht die Discovery-Phase mit Inventarisierung und Klassifizierung. Das heißt, es gilt herauszufinden, welche Daten in einem Unternehmen überhaupt vorliegen und welche sensibel sind. Wichtig ist zudem, so früh wie möglich den Datenverkehr zu überwachen, um Transparenz herzustellen. Jeder Datenverlust, der präventiv vermieden wird, muss später nicht aufgedeckt und bekämpft werden. Durch mehr „Prevention“ ist weniger „Detection“ nötig.
Wo können sich sensible Daten befinden?
Anton Kreuzer: Aus operativer Sicht unterscheiden wir zwischen drei „Aggregatzuständen“, in denen sich Daten befinden können:
- „Data at Rest“ sind Daten im Ruhezustand, die etwa auf einem Speichermedium oder einem Server liegen.
- „Data in Motion“ sind Daten in Bewegung, die zum Beispiel gerade von einem Wechseldatenträger auf ein Gerät oder von einem Server zu einem Client unterwegs sind.
- Als „Data in Use“ werden Daten bezeichnet, die gerade live genutzt werden.
…und in allen Aggregatzuständen müssen die Daten geschützt werden.
Anton Kreuzer: Richtig. DLP beschreibt hier ein Regelwerk, das alle Tools, Prozesse und Lösungen zum Schutz von sensiblen Daten vereint. Das umfasst alles, was vor unautorisiertem Zugriff, Datenverlust und -missbrauch schützt. Dabei spielt es keine Rolle, ob Daten irgendwo ungenutzt liegen oder in Bewegung oder Nutzung sind.
Was gehört neben dem konkreten Schutz von Daten zu DLP?
Anton Kreuzer: Wie eingangs erwähnt gehört zu DLP auch die Einhaltung von Gesetzen und Compliance Richtlinien, zum Beispiel ISO 27001, DSGVO, oder branchenspezifische Standards wie PCI im Retail-Sektor oder HIPAA im Healthcare-Sektor Eine zentrale Anforderung ist hier die Nachweispflicht beziehungsweise Auditierung: Es muss überwacht werden, wer wann und wie auf welche Daten zugegriffen hat.
Also werden auch aktiv Lücken aufgedeckt und behoben.
Anton Kreuzer: Ja, das ist eminent wichtig. DLP sorgt dafür, dass Daten unter Umständen überhaupt erst sichtbar gemacht werden. Das heißt, dass ein Unternehmen einen Überblick bekommt, wo welche Daten liegen. Daraus lässt sich dann ableiten, wer Zugriff hat und ob dadurch potenzielle Schwachstellen entstehen. Cyber-Bedrohungen nehmen seit Jahren zu. Oft lässt sich durch das Sichtbar machen von Daten und Zugriffsrechten sehr einfach eine unbeabsichtigte Datenexponierung aufzeigen und beseitigen. Kurz gesagt: Zuerst heißt es „Gain Insight“, dann erst „Take Action“.
Welche Rolle spielt der Trend hin zur Cloud?
Anton Kreuzer: Die Nutzung von Kollaborationslösungen und virtuellen Datenspeichern wie AWS, Azure oder Google Cloud ist praktisch und ermöglicht produktives hybrides Arbeiten. Das bringt hinsichtlich Datensicherheit aber Herausforderungen mit sich. Sofern ein Unternehmen keine klaren Vorgaben und Lösungen bietet, werden häufig auf eigene Faust Workflows vereinfacht, Shortcuts genommen oder sogar Daten auf private Accounts synchronisiert. Es ist möglich, Lösungen anzubieten, die die Reibungspunkte während des Arbeitens verringern. Zu DLP zählt also auch die Vermeidung von Schatten-IT, also IT, die eingerichtet wurde unter unwissentlicher oder sogar wissentlicher Umgehung der IT-Abteilung.
Was bedeutet DLP vor dem Hintergrund dieser neuen Normalität hybriden Arbeitens?
Anton Kreuzer: Wir sind mit DriveLock seit 20 Jahren als deutsches Unternehmen im Markt tätig. Wir haben die Entwicklung unserer Kunden hin zur Cloud von Anfang an begleitet und wissen daher sehr genau, was für DLP bei Cloud-Lösungen notwendig ist. Auch hier lautet der erste Schritt: Überblick verschaffen und Datenverkehr überwachen. Bei Data in Motion und Data in Use muss gewährleistet werden, dass nur die entsprechenden Nutzer Zugriff haben. Dieser Zugriff muss sicher sein, egal, von wo aus sie arbeiten. Die Cloud-basierte Endpoint Protection von DriveLock ermöglicht das und kann schnell eingerichtet werden, ganz gleich, ob ein großes Unternehmen 100.000 Endpoints hat oder ein mittelständisches Unternehmen nur einige wenige Clients.
Welche Rolle spielt das Thema Verschlüsselung?
Anton Kreuzer: Verschlüsselung ist natürlich ein zentraler Bestandteil von DLP. Cloud-DLP-Lösungen verschlüsseln Daten entweder vor der Übertragung oder in der Cloud. Beim Thema Schlüsselmanagement lautet das zentrale Stichwort: „No Backdoor“. Die Frage lautet: Überlassen Unternehmen die Verschlüsselung großen Anbietern oder verwalten sie die Schlüssel selbst? DriveLock bietet hier „Made in Germany“ und „No Backdoor“.
Wie genau schützt die DriveLock Lösung vor Datenverlust?
Anton Kreuzer: Wir arbeiten hier nach dem Prinzip des sogenannten „Swiss-Cheese-Models“ und legen mehrere Sicherheitsschichten übereinander. Stellen Sie sich einen Schweizer Käse vor: Jede Scheibe hat Löcher – so wie beispielsweise eine Firewall, die bestimmte Daten durchlassen muss, andernfalls könnte man nicht arbeiten oder eine Gerätekontrolle, die die Nutzung bestimmter Geräte erlaubt. Jede Sicherheitsbarriere weist gewisse Schwachstellen oder Löcher auf. Wenn Sie nun mehrere Käsescheiben übereinanderlegen, verdecken sich diese Löcher gegenseitig:
- Device Control sorgt für Sicherheit an Geräten und Schnittstellen, etwa an USB-Eingängen.
- Application Control definiert ganz spezifisch, welche Applikationen wo und mit welchen Services laufen dürfen. Das greift sowohl im Ökosystem des Unternehmens als auch im Homeoffice. Unsere Lösung hält auch Daten in Workloads oder Applikationen sicher, die in virtuellen Umgebungen laufen.
- Mit Application Behaviour Control gibt es auch noch eine Art Verhaltenskodex für Anwendungen. Das sind bestimmte Regeln, die jede Anwendung beachten muss. Ein Verstoß wird sofort festgestellt und die nicht erlaubte Aktion – wie das Speichern in ein bestimmtes Verzeichnis oder Ausführen von Sub-Prozessen – die diese Anwendung vorhat, wird gestoppt.
Was ist der Vorteil einer Cloud-basierten Endpoint Protection?
Anton Kreuzer: Der große Vorteil unserer Lösung: Im Gegensatz zum üblichen Antiviren-Scanner schützt DriveLock auch vor dem Unbekannten und Unternehmen müssen nicht in Infrastruktur investieren, um alle Sicherheitskriterien oder Compliance-Vorgaben zu erfüllen. Cloud-basierte Sicherheitslösungen können Schutz für Geräte gewährleisten, die nicht im Unternehmensnetzwerk arbeiten. Auch eine Aktualisierung dieser Lösungen ist einfach und schnell, ohne dass die Geräte mit dem Firmennetz verbunden sein müssen. Wir bringen auf diese Weise sehr schnell mehr Sicherheit zum Endgerät, ohne großen Aufwand und ohne hohe Investitionskosten.
Herr Kreuzer, wir danken für dieses Gespräch.
Treffen Sie DriveLock auf der it-sa 2022 in Halle 7A | Stand 7A-520