Wie viel Speicherplatz wird benötigt, um sensible Daten rund einer halben MillionMenschen zu transportieren? Ein einziger USB-Stick reicht. Das erfuhren kürzlich die Einwohner der japanischen Stadt Amagasaki, als besagter USB-Stick mit persönlichen Daten verloren ging. Was war passiert?
Ein Mitarbeiter eines IT-Dienstleisters der Stadtverwaltung hatte seine Tasche mit USB-Stick nach einem alkoholreichen Abend verloren.
Das effiziente Mittel gegen derartige Datenlecks heißt: Data Loss Prevention (DLP). Vorfälle wie der in Amagasaki zeugen davon, dass Datenschutz nicht erst bei Datenverlust beginnt. Werden verschiedene Ebenen der Vorbeugung berücksichtigt, sind Daten vor nachlässigem Umgang oder auch mutwilligen Angriffen geschützt. Welche konkreten Maßnahmen und Lösungen verbergen sich hinter DLP? Ein zentrales Konzept hier ist Zero Trust, das auf dem Grundsatz basiert: „never trust, always verify“.
Transparenz schaffen und Daten klassifizieren
DLP beginnt mit dem Sichtbarmachen aller inaktiven Unternehmensdaten (Data at Rest) und ihrer Klassifizierung danach, wie sensibel und schützenswert sie sind. Die zweite zentrale Maßnahme ist die Überwachung aktiver Daten (Data in Use oder Data in Motion). Erst wenn ein Unternehmen vollständigen Überblick hat, kann unerwünschter Datenfluss verhindert werden.
Geräte unter Kontrolle bringen
Häufig stellen Unternehmen beim Thema Identitäts- und Zugriffsmanagement eklatante Schwachstellen und exponierte Daten fest. Die gute Nachricht lautet: Auf Einsicht folgt Maßnahme. So kann eine umfassende Gerätekontrolle beispielsweise einem unautorisierten Abfluss von Daten vorbeugen und diesen vermeiden. Hier ist es wichtig, dass je nach Anwendungsfall granular abstimmbare Maßnahmen zur Verfügung stehen – von allgemeiner Gerätekonfiguration über die dezidierte Autorisierung bestimmter Personengruppen und Geräte bestimmter Hersteller bis hin zum spezifischen Management einzelner (oder bestimmter) USB-Wechseldatenträger. Darüber hinaus sollten Daten auf Wechseldatenträgern automatisch verschlüsselt werden, so dass sie auch im Falle eines Verlusts des Trägers vor unberechtigten Zugriffen geschützt sind.
Device Control ist allerdings nur ein Modul, das Lösungsanbieter für Endpoint Security im Rahmen einer Multi-Layered Defence ins Feld führen, um Datenverlust vorzubeugen. Der Trend zu Hybrid Work und die Nutzung von Cloud-Diensten bringt hinsichtlich Datensicherheit weitere Herausforderungen mit sich. Was passiert, wenn ein Unternehmen seiner Belegschaft keine klaren Vorgaben und technischen Lösungen für das Homeoffice anbietet? Häufig suchen sich Mitarbeitende dann eigenständig Lösungen. Das Resultat: Shortcuts, ungesicherte und unautorisierte Wechseldatenträger, Datensynchronisation auf privaten Accounts, kurz: eine anfällige und unkontrollierbare Schatten-IT.
Anwendungen unter Kontrolle bringen
Mitarbeitende nutzen eine Vielzahl an Anwendungen, die weitere Angriffspunkte bieten können. Die aktive Kontrolle von Anwendungen, also Application Control, verhindert die Ausführung unbekannter Programme. Als anschauliches Beispiel eignet sich in diesem Kontext der Türsteher einer Party, die das gesamte Ökosystem eines
Unternehmens verkörpert. Der Blacklisting-Ansatz von Antiviren-Scannern ist das Äquivalent zur „Hausverbotsliste“ des Türstehers: Bekannte Störenfriede werden geblockt. Aber was passiert mit den bis dato unbekannten Störenfrieden?
Der Zero Trust Security Ansatz geht daher noch weiter: Eine Whitelist definiert exakt – analog der Gästeliste des Türstehers – welche Anwendungen zugelassen werden. Was nicht explizit erlaubt ist, darf gar nicht erst im Ökosystem eines Unternehmens zur Ausführung kommen. Diese aktive Kontrolle von Applikationen, Skripten und Programmbibliotheken bietet dementsprechend nicht nur Schutz vor bekannten, sondern auch vor unbekannten Bedrohungen.
Unerwünschtes Verhalten unterbinden
Nun kann es trotz Device Control und Application Control vorkommen, dass eine bereits zugelassene Anwendung missbraucht wird und in der Lage ist, Schaden anzurichten. Hier kommt als drittes Modul Application Behaviour Control (ABC) ins Spiel. So wie ein Verhaltenskodex auf einer Party festlegt, welches Verhalten erwünscht und welches unerwünscht ist, kontrolliert ABC das Verhalten zugelassener Anwendungen. Zum Beispiel ist es verdächtig, wenn plötzlich Unmengen von Daten wie im obigen Beispiel auf einen USB-Stick kopiert werden. ABC gewährleistet, dass nicht erlaubte Aktionen oder unerwünschte Skripte und Schadsoftware sofort erkannt und gestoppt werden.
Die sogenannte „Kill Chain“ eines Angriffs wird damit frühzeitig unterbrochen, bevor der Worst Case eintritt, ein Dominostein den nächsten anstößt und eine unkontrollierbare Kaskade in Schwung kommt. So werden Unternehmen durch Application Behaviour Control frühzeitig auf potenzielle Gefahren aufmerksam und können entschärfend eingreifen.
Verschlüsselung
Ein weiterer zentraler Bestandteil von Data Loss Prevention ist die Verschlüsselung. Cloud-DLP-Lösungen verschlüsseln Daten nicht nur lokal, sondern auch in virtuellen Storages und in der Cloud. DriveLock bietet diesbezüglich beispielsweise die nahtlose Integration von BitLocker Management, geht aber noch einen Schritt weiter: Eine eigene proprietäre Verschlüsselung ermöglicht Encryption at Rest, unabhängig davon, ob die Daten lokal, auf Servern oder auf Cloud Storages liegen.
Schnelle Einrichtung und Integration
Die Cloud-basierte Endpoint Protection von DriveLock kann schnell eingerichtet werden, egal ob ein großes Unternehmen 100.000 Endpoints besitzt oder ein mittelständisches Unternehmen eine kleinere IT-Umgebung sichern muss.
Der große Vorteil: Die DriveLock Zero Trust Platform wird aus der Cloud bereitgestellt, schützt aber alle Typen von Endpoints: angefangen bei lokalen Workloads über virtuelle Umgebungen bis hin zu den Workloads in der Cloud. Nutzer können also reibungslos und sicher arbeiten, egal ob sie im Büro, im Homeoffice oder unterwegs sind. Unternehmen müssen dafür aber nicht in zusätzliche Infrastruktur investieren, um generelle Sicherheitskriterien oder branchenspezifische Anforderungen zu erfüllen.
Bereits bestehende Sicherheits-Tools, wie die BitLocker Festplattenverschlüsselung, das Microsoft Defender Antivirus Programm oder die Microsoft Defender Firewall bieten Unternehmen in der Regel guten Schutz. Allerdings ist es für Unternehmen und Sicherheitsbeauftragte häufig nicht leicht, diese Tools zentral zu managen und zu konfigurieren. Die DriveLock Zero Trust Platform vereint Device Control, Application Control und Application Behaviour Control mit diesen Microsoft Sicherheitsfunktionen in einer übersichtlichen Benutzeroberfläche. Dieser integrierte Ansatz vereinfacht die Verwaltung und Visualisierung enorm.
Unternehmen müssen Mitarbeitenden ein effizientes und sicheres Arbeiten ermöglichen – egal von wo. Mit der DriveLock Zero Trust Platform können Daten dort erhoben, verarbeitet und gespeichert werden, wo es notwendig und erlaubt ist. Unterbunden werden hingegen unautorisierter Datenabfluss – wie etwa das Speichern einer halben Million sensibler Personendaten auf einem USB-Stick –, unerwünschtes Eindringen in das System oder unerwünschte Aktivitäten innerhalb des Systems. Für den Fall, dass Daten bewusst und gewünscht gespeichert werden sollen, sorgt DriveLock für die erzwungene Verschlüsselung der Daten – nicht nur auf Wechseldatenträger, sondern auf jedem Speichermedium jenseits von lokalen Festplatten und USB-Sticks. Die Cloud-basierten Lösungen bieten auf diese Weise eine effektive, mehrschichtige Sicherheit für sensible Daten.