Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK
DE
EN ES

Hauptseite

/
 ... / 

Blog

/
 ... / 
DLP: Data Loss Prevention (Prävention von Datenverlusten)

DLP: Data Loss Prevention (Prävention von Datenverlusten)

24.04.2023

Unternehmen hüten ihre vertraulichen Informationen in der Regel sehr sorgfältig, da der Geschäftserfolg des Unternehmens oft von ihnen abhängt. Um eine so wertvolle Ressource zu schützen werden oft mehrere Werkzeuge eingesetzt um zu verhindern, dass Dritte oder Unbefugte auf sie zugreifen können.

Es kommt jedoch immer wieder vor, dass Informationen durch die eigenen Mitarbeiter des Unternehmens nach außen dringen, entweder absichtlich, um den Ruf des Unternehmens zu schädigen oder um die Informationen auf dem Markt zu verkaufen, oder unabsichtlich, z. B. durch Unachtsamkeit oder unsicheren Umgang mit der Technologie.

Um dieses Risiko zu verringern, können beispielsweise Rollen oder Berechtigungen eingesetzt werden, damit jeder Benutzer nur auf die Ressourcen zugreifen kann, die er für seine Arbeit benötigt. Die meisten Informationskontrollen sehen jedoch keine Maßnahmen zur Überwachung des Kopierens von Daten auf externe Geräte wie USB-Sticks oder Festplatten, des Hochladens von Informationen auf Cloud-Dienste oder des Versendens von Informationen über E-Mail vor.

Um diese und andere Aktionen zu verhindern, implementieren Unternehmen, die ihre Daten vor Lecks schützen wollen, sogenannte DLP-Lösungen (Data Loss Prevention, Prävention von Datenverlusten).

Was ist DLP und wie funktioniert es?

Die Prävention von Datenverlusten (DLP) lässt sich im Wesentlichen in drei Schritten zusammenfassen: Erkennen, wo Daten in den mobilen, Cloud- und lokalen Umgebungen eines Unternehmens gespeichert sind, Überwachen, wie diese Daten von Mitarbeitern innerhalb und außerhalb des Unternehmensnetzwerks verwendet werden und schließlich Sichern der Daten, um Diebstahl und Verlust zu verhindern.

DLP-Lösungen bieten die Möglichkeit, sensible Daten an jedem Ort zu erkennen, zu überwachen und zu schützen: am Arbeitsplatz, unterwegs oder in der Cloud. Sie bieten vollständige Transparenz und Kontrolle über alle Kanäle, in denen Datenverluste auftreten können.

DLP erkennt und schützt die vertraulichen Informationen eines Unternehmens:

  • Scannen von Daten in Transfer, in Gebrauch und im Ruhezustand.
  • Identifizierung schutzbedürftiger Daten.
  • Ergreifen von Schutzmaßnahmen: Alarmierung, Anfragen, Quarantäne, Blockierung, Verschlüsselung.
  • Bereitstellung von Berichten für die Einhaltung von Vorschriften, für Audits, forensische Analysen und die Reaktion auf Vorfälle.

Eine DLP-Lösung zielt darauf ab, Informationslecks, die im Unternehmen selbst entstehen, aktiv zu verhindern. Daher enthalten sie in der Regel künstliche Intelligenz die es ihnen ermöglicht, die Art der verwendeten vertraulichen Dokumente und die von den Benutzern durchgeführten Aktionen zu erkennen, um Informationslecks immer effektiver zu verhindern.

DLP-Systeme überwachen das Unternehmensnetzwerk, um Informationslecks zu verhindern, bevor sie entstehen. Sobald sie eine Möglichkeit erkennen, warnen sie den Benutzer, damit er weiß, dass die von ihm durchgeführte Aktion die Vertraulichkeit der Einrichtung oder eine Sicherheitsrichtlinie, die diese schützt, verletzt. Mit diesen Aktionen sollen die Mitarbeiter sensibilisiert werden.

Die Ressourcenüberwachung durch ein DLP-System ist nicht ausschließlich auf das interne Unternehmensnetzwerk beschränkt, da diese Werkzeuge in der Lage sind, die Überwachung auf mobile Geräte auszuweiten. Außerdem können sie überprüfen auf welche E-Mails des Unternehmens zugegriffen wurde und haben die Möglichkeit, die Übertragung sensibler Daten vom Unternehmen an Cloud-Speicheranwendungen oder soziale Netzwerke zu überprüfen und zu verhindern.

Weitere bemerkenswerte Merkmale dieser Lösungen sind:

  • Die erstellten Richtlinien können auf verschiedene Weise angewandt werden: pro Netzwerksegment, Gateway, Benutzergruppe und andere. Jedes Unternehmen kann die für seine Bedürfnisse am besten geeignete Lösung wählen.
  • Die Verwaltung dieser Lösungen ist zentralisiert, was eine einfachere und flexiblere Arbeit ermöglicht.
  • Sie ermöglichen die Überprüfung mehrerer Dateitypen und Protokolle, unabhängig davon, ob die Informationen verschlüsselt oder unverschlüsselt übertragen werden.
  • Sie können Dateien mit sichtbaren und unsichtbaren Wasserzeichen versehen, so dass im Falle eines Informationsverlustes die verantwortliche Person identifiziert werden kann.

In Anbetracht der vielfältigen Nuancen von Daten innerhalb eines Unternehmens klassifizieren DLP-Lösungen die Daten im Allgemeinen danach, wie sie dargestellt werden und bestimmen dann, wie sie geschützt werden können. Diesbezüglich können die Daten wie folgt sein:

  • Daten im Ruhezustand (data at rest): Daten, die auf einem beliebigen Datenträger gespeichert sind und mit denen zu einem bestimmten Zeitpunkt keine Interaktion mit dem Benutzer stattfindet. Die Geräte, auf denen sie sich befinden, sind so geschützt, dass sie nicht kopiert, verschoben oder gelöscht werden können, es sei denn, die Vorschriften, die dies ausdrücklich erlauben, werden eingehalten.
  • Daten im Transit (data in transit): Datenfluss durch ein beliebiges Medium. Der häufigste Ort, an dem man Daten im Transit findet, ist das Unternehmensnetzwerk.
  • Daten in Gebrauch (data in use): Daten, auf die ein Benutzer oder ein Programm zugreift oder die von ihm bearbeitet werden. Dies bedeutet, dass die Informationen in einem flüchtigen Speicher wie dem RAM abgelegt sind oder dass eine Anwendung oder ein Prozess mit den Daten interagiert. Ein Beispiel für diese Klassifizierung ist, dass Daten auf einem USB-Gerät „im Ruhezustand“ sind, solange nicht auf sie zum Lesen zugegriffen wird. Sobald die Daten zum Lesen aufgerufen werden, wechseln sie von „im Ruhezustand“ zu „in Gebrauch“.

Arten von DLP-Lösungen

Es gibt verschiedene Arten von DLP-Lösungen die jeweils auf einen bestimmten Zweck ausgerichtet sind aber das gleiche Ziel verfolgen: die Verhinderung von Datenverlusten. Dazu gehören die folgenden:

Network DLP (Netzwerk-DLP):

Die Lösungen zur Verhinderung von Datenverlusten im Netzwerk sind auf Software- oder Hardware-Plattformen verfügbar die in die Datenausgangspunkte des Unternehmensnetzwerks integriert sind. Nach der Installation überwacht, verfolgt und meldet die Lösung alle Traffic-Daten im Netzwerk.

Dies ist die ideale Art von DLP, um alle Inhalte zu scannen die die Ports und Protokolle des Unternehmens durchlaufen da sie wichtige Berichte liefert die zur Gewährleistung der Informationssicherheit beitragen. Z. B. welche Daten verwendet werden, von wem sie abgerufen werden und wohin sie gehen. Die gesammelten Informationen werden in einer Datenbank gespeichert, die sich leicht verwalten lässt.

Storage DLP (Speicher-DLP):

Die Lösung zur Verhinderung von Datenverlusten im Speicher ist ein System, das es Ihnen ermöglicht, vertrauliche Dateien einzusehen die von denjenigen gespeichert und gemeinsam genutzt werden die Zugang zum Unternehmensnetzwerk haben. So können sensible Punkte identifiziert werden um Datenverluste zu verhindern.

Im Allgemeinen werden sie häufig als gute Lösung zur Kontrolle der in der Cloud gespeicherten Daten verwendet, um festzustellen, welche Daten gespeichert und gemeinsam genutzt werden und wie viele dieser Informationen als vertraulich gelten und Gefahr laufen, nach außen zu gelangen. 

Endpoint DLP (Endpunkt-DLP):

Die Lösungen zur Verhinderung von Datenverlusten am Endpunkt werden auf allen Arbeitsstationen und Geräten installiert, die von den Mitarbeitern des Unternehmens genutzt werden um das Eindringen sensibler Daten über Wechseldatenträger, gemeinsam genutzte Anwendungen oder Übertragungsbereiche zu überwachen und zu verhindern.

Mit der Verbreitung externer Speichermedien wie USB-Sticks oder tragbaren Festplatten steigt das Sicherheitsrisiko eines versehentlichen oder absichtlichen Datenverlusts. Um dies zu vermeiden hilft diese Art von Lösung, Datenverluste durch Wechselmedien zu verhindern.

Implementierung einer DLP-Lösung

Vor dem Einsatz einer DLP-Lösung ist es wichtig zunächst eine Beratung durchzuführen die als Teil des Vorgangs betrachtet werden kann. Einer guten Implementierung von DLP müssen mindestens zwei einander ergänzende Aktivitäten vorausgehen: die Klassifizierung von Informationen und die Abgrenzung von Rollen und Verantwortlichkeiten.

Klassifizierung von Informationen:

Keine DLP-Lösung ist in der Lage, eine Richtlinie zur Verhinderung von Informationsverlusten zu implementieren, wenn sie nicht zuvor mit einer den Bedürfnissen des Unternehmens entsprechenden Kategorisierung versehen wird.

Es gibt Lösungen, die die Erkennung von Informationen in kritischen Objekten wie Datenbanken ermöglichen. Die Muster, nach denen gesucht wird, können jedoch standardisiert sein oder auch nicht und daher müssen die Geschäftsregeln definieren, was die DLP-Lösung finden und filtern soll. 

Eine falsche Konfiguration in diesem Sinne führt zu zwei möglichen Fehlern: Entweder blockiert die Technologie legitime Aktionen (was den Betrieb des Unternehmens beeinträchtigt) oder sie ermöglicht das Durchsickern von Informationen, was den Aufwand der DLP-Implementierung zunichtemacht.

Die Klassifizierung von Informationen wird nicht unbedingt von technischem Personal vorgenommen. Diese Arbeit sollte von Mitarbeitern durchgeführt werden, die sich mit dem Unternehmen vertraut gemacht haben und die in der Lage sind, geschäftliche Begriffe in technische Begriffe zu übersetzen, um geeignete Lösungen umzusetzen.

Festgelegte und dokumentierte Rollen und Verantwortlichkeiten:

Die Klassifizierung von Informationen ist von geringem Nutzen solange die Rollen und Zuständigkeiten nicht klar definiert sind, zumindest um das Personal zu bestimmen, das mit den Informationen umgehen darf.

Die Regeln müssen von allen Benutzern befolgt werden und die DLP-Lösung muss den Anforderungen entsprechen die jede Rolle im Unternehmen definiert hat. Mit anderen Worten: Die DLP-Lösung wird die für die einzelnen Rollen definierten Regeln umsetzen und entsprechend den betrieblichen Anforderungen handeln.

Die Personen, die die Rollen in einem Unternehmen definieren, sind keine Systemtechniker. Jeder Manager oder Direktor in einem Unternehmen muss aber wissen, welche Verantwortlichkeiten und sogar Rechte seine Mitarbeiter haben und wie ihre Untergeordneten mit den Informationen umgehen sollten, die sie behandeln.

Um eine DLP-Lösung angesichts der Komplexität des Unternehmens erfolgreich zu implementieren wird in der Regel ein Team gebildet das die kritischen Informationen des Unternehmens identifiziert, die globale Vision des Unternehmens versteht, das Risiko in verschiedenen Aspekten misst und dieses Wissen über die Umgebung in technische Anforderungen und Projekte zur Vermeidung von Datenverlusten in der Unternehmensumgebung umsetzt.

Zurück zur Liste

Bloggen

S/MIME
10.03.2024
Die Bequemlichkeit und Geschwindigkeit, die E-Mails bieten, haben die digitale Kommunikation zu einem wesentlichen Bestandteil des täglichen Lebens gemacht.
Mehr lesen
Kompromittierung sindikatoren
13.11.2023
 Eines der Hauptsorgen bei der Verwaltung einer Kommunikationsinfrastruktur ist die Verhinderung des Auftretens von Bedrohungen oder verdächtigen Aktivitäten, die die Sicherheit von Informationen in Computernetzwerken gefährden könnten.
Mehr lesen
IoT: Internet der Dinge
19.09.2023
 Der Begriff Internet der Dinge (IoT: englische Abkürzung für Internet of Things) bezieht sich auf Umgebungen, in denen die Netzwerkverbindung und die Rechenleistung auf Objekte, Sensoren und Alltagsgegenstände ausgedehnt werden, die normalerweise nicht als Computer betrachtet werden, und die es diesen Geräten ermöglichen, mit minimalem menschlichem Eingriff Daten zu erzeugen, auszutauschen und zu verbrauchen.
Mehr lesen