Wenn Unbefugte zu Datensätzen vordringen, gilt es dies schnell zu erkennen und bestenfalls vorab zu verhindern. Hier hilft Data-Loss-Prevention. Doc Storage erklärt die verschiedenen Komponenten, aus denen sich eine DLP-Lösung zusammensetzt.
Teil 4 unserer Serie zu Daten- oder Speichersicherheit: Ein entscheidender Punkt in der Verteidigungslinie, ist zu erkennen, wenn Daten kompromittiert wurden. Doc Storage erklärt wie sich mit Data-Loss-Prevention das unerwünschter Datenverlust erkennen und verhindern lässt.
Antwort Doc Storage:
Bei Data-Loss-Prevention (DLP) geht es darum, Verletzungen des Datenschutzes, unerwünschtes Auslesen oder Zerstörung sensibler Daten zu erkennen und zu verhindern. DLP wird verwendet, um Daten zu schützen, zu sichern und interne bzw. gesetzliche Vorschriften einzuhalten. Der Begriff DLP beschreibt den Schutz von Organisationen und Unternehmen vor Datenverlust und Datenlecks. Datenverlust bezeichnet ein Ereignis, bei dem wichtige Daten verloren gehen, zum Beispiel bei einem Angriff durch kriminelle Anwendungen. Bei der Verhinderung von Datenverlust geht es um die Verhinderung der unerlaubten Übertragung von Daten, meist aus dem geschützten Rahmen heraus.
Unternehmen verwenden DLP normalerweise zum Schutz personenbezogener Daten für den es einschlägigen Vorschriften wie die DSGVO gibt. Daneben soll geistiges Eigentum geschützt werden, welches meist für Unternehmen von entscheidender Bedeutung ist. Neben allen Maßnahmen muss allerdings die Datentransparenz aufrechterhalten bleiben. Es gilt auch mobile und externe Mitarbeiter zu schützen, was heute auch immer häufiger die Sicherheit in BYOD-Umgebungen (Bring-Your-Own-Device) miteinschließt. Nicht zuletzt muss die Datensicherheit auch in externen Cloud-Umgebungen gewährleistet sein.
Bedrohungen innerhalb des Unternehmens
Häufige Ursachen für Datenlecks sind Bedrohungen von »innen«, also böswillige oder unwissende Mitarbeiter oder eben kriminelle ein Angreifer, die sich ein privilegiertes Benutzerkonto angeeignet haben. Diese missbrauchen ihre Berechtigungen und versuchen, Daten in nicht mehr kontrollierte Bereiche außerhalb des geschützten Netzes zu kopieren oder zu verschieben. Seit einigen Jahren sind daneben auch gezielte Angriffe aus externen Netzen auf sensible Daten immer häufiger geworden. Kriminelle dringen mithilfe von Techniken wie Phishing, Malware oder Code-Injection in den geschützten Bereich vor und verschaffen sich dann Zugang zu sensiblen Daten. Ihnen hilft dabei oft die unbeabsichtigte oder fahrlässige Offenlegung von Zugängen oder Daten selbst. Die meisten Datenlecks entstehen allerdings, wenn Mitarbeiter vertrauliche Daten beispielsweise auf mobilen Rechnern in der Öffentlichkeit verlieren, einen unkontrollierten Zugriff auf Daten gewähren oder diesen Zugriff nicht durch interne Richtlinien einschränken lassen.
Bedrohungen von außerhalb erkennen
In den meisten Fällen reicht die Verwendung von Standard-Sicherheitswerkzeugen aus, um sich gegen Datenverlust oder -lecks zu schützen. So kann ein Intrusion Detection System (IDS) vor Angriffen von außen warnen, welche meist versuchen, auf sensible Daten zuzugreifen. Antivirus-Anwendungen können Kriminelle oder Schad-Software daran hindern, sensible Systeme zu kompromittieren. Darüber hinaus kann eine Firewall den Zugriff von Unbefugten auf Systeme blockieren, auf denen sensible Daten gespeichert sind. Teile größerer Organisation verwenden meist standardisierte DLP-Lösungen, um Ihre Daten zu schützen. Diese sind dann häufig Anwendungen im Security Operations Center (SOC) und unterstützen so DLP auf eine abteilungsübergreifende gleiche Weise. Hierzu gehören dann auch SIEM-Systeme (Security Information and Event Management), um nicht zugelassene Ereignisse zu erkennen und automatisch zu verhindern, dass ein Datenleck entsteht.
DLP-Lösung aus verschiedenen Bausteinen
Eine Gesamtlösung im DLP-Bereich besteht aus mehreren Komponenten. Die Absicherung von Daten während der Übertragung wird am Netzwerkrand installiert und analysiert den Datenverkehr, um vertrauliche Daten zu erkennen, die unter Verletzung von Sicherheitsrichtlinien gesendet werden. Die Sicherung von Endpunkten besteht meist aus Agenten auf Rechnern, Telefonen und anderen Geräten der Benutzer und kontrolliert die Informationsübertragung zwischen Benutzern, Benutzergruppen und externen Parteien.
Viele endpunktbasierte Lösungen blockieren unerwünschte Kommunikationsversuche in Echtzeit und benachrichtigen den betroffenen Anwender sofort. Die Sicherung ruhender, also in Speichern abgelegter Daten besteht aus Richtlinien für die Zugriffskontrolle und Verschlüsselung. Die Absicherung verwendeter Daten überwacht nicht zugelassene Aktivitäten, welche Benutzer bei ihren Tätigkeiten mit Daten absichtlich oder unabsichtlich ausführen könnten. Neben den Absicherungen ist aber auch eine Identifizierung von Daten notwendig. Hierbei muss zunächst festgestellt werden, ob Daten überhaupt schützenswert sind oder nicht. Eine solche Klassifizierung kann entweder manuell durch Anwendung von Regeln und Metadaten oder automatisch durch neuere Techniken wie maschinelles Lernen erfolgen.
Sehr wichtig ist auch die Erkennung und automatische Behebung von Datenlecks. Die meisten DLP-Lösungen, aber auch andere Sicherheitssysteme wie IDS, IPS und SIEM identifizieren und unterbinden nicht regelkonforme oder verdächtige Datenübertragungen. Solche Anwendungen warnen auch das einschlägige Personal vor möglichen Datenlecks.
Data-Loss-Prevention: Engmaschige Überwachung
Zu den wichtigsten Funktionen einer DLP-Lösung sollte demnach die Überwachung des Zugriffs auf alle sensiblen Dateien und Aufzeichnung detaillierter Nutzungsdaten wie Benutzer, Abteilung, aufgerufene Datei, Dateityp und Reaktionszeit des Vorgangs gehören. Daneben gehört die Warnung und das automatische Blockieren von gegen Sicherheitsrichtlinien verstoßenden Dateiaktionen in ein solches Paket. Die meisten bringen auch die Erkennung von nicht normalem oder aufgrund festgelegter Parameter verdächtigem Benutzerverhalten mit, welche dann durch maschinellem Lernen unterstützt werden.
Ein Muss ist zudem die Erkennung und Abwehr von kriminellen Angriffen beispielsweise durch Ransomware und das Blockieren für diese Anwendungen typischer Dateizugriffsmuster. Und nicht zuletzt – immer der nervigste Punkt im Rechenzentrum – die Prüfung und Berichterstattung zu allen Dateivorgängen für Compliance- und Untersuchungszwecke.
Gruß
Doc Storage
Weiterführende Links
- Doc Storage: Datensicherheit durch Datenverschlüsselung
- Doc Storage: Datensicherheit durch Zugriffskontrolle
- Doc Storage: Unterschied zwischen Daten- und Speichersicherheit
- Doc Storage: Problemfall Datenmigration