Niemand bezweifelt die Sinnhaftigkeit von DLP (Data Leakage Prevention, Maßnahmen zur Vermeidung des Abfließens interner Daten) – dennoch führen es die wenigsten deutschen Unternehmen tatsächlich ein. Die Gründe dafür sind verschieden. Häufig schrecken die weitreichenden Folgen für die Organisation des Unternehmens ab, gehen diese doch über die IT hinaus. Gute Planung und die Beteiligung der Geschäftsführung sind die Voraussetzungen für den Erfolg eines DLP-Projekts.

Das Abfließen vertraulicher Daten zieht meist großen Schaden für das Unternehmen nach sich. Spätestens seit den Angriffen auf Sony oder Google, über die auch die Tagespresse berichtete, ist die Bedrohung durch Datendiebstahl der breiten Öffentlichkeit bekannt. Doch viele Unternehmen scheuen sich noch, ein professionelles Abwehrsystem einzuführen: DLP ist häufig erst ein Thema, wenn der Worst Case bereits eingetreten ist. Doch seine Einführung will von langer Hand geplant sein. Denn ein DLP-Projekt darf nicht als reines IT-Projekt gesehen werden. In erster Linie ist es ein Organisationsprojekt, bei dem bestenfalls das Management nicht nur mit am Tisch sitzt, sondern federführend beteiligt ist.

Häufig tragen die eigenen Mitarbeiter eine Mitschuld an Datenverlusten, sei es durch Unachtsamkeit, Social Engineering oder kriminelle Energie. Hier greift eine umfassende DLP-Lösung: Sie überwacht Datenströme innerhalb eines Unternehmensnetzwerks ebenso wie aus diesem heraus. Die Daten können auf unterschiedlichen Wegen nach außen gelangen – per E-Mail, über USB-Stick oder aber beim Dateitransfer. Im Idealfall sitzen DLP-Agenten an allen Schnittstellen: an File-Servern, Clients, E-Mail Relays oder App Proxies. Zum Einsatz kommen Intrusion-Detection-Systeme, Intrusion-Prevention-Systeme, Firewalls oder Virenscanner. Content-Filter und Mail Relays überwachen die Informationsinhalte.

Die erste Voraussetzung für eine gut funktionierende DLP ist ein definierter Soll-Zustand der Technik, die im Unternehmen zum Einsatz kommt. Diese braucht Regeln, nach denen sie arbeitet. Was zunächst trivial klingt, ist häufig bereits die erste Hürde. Oft fällt es den Projektbeteiligten schwer, zielgerichtet den Fluss der Daten laut Prozess zu beschreiben. Schnittstellen sind nicht ausreichend dokumentiert, es ist also nicht klar, wer mit wem Daten austauscht. Das ist ein Problem für DLP-Software, die nur arbeiten kann, wenn alle Daten klassifiziert sind.

Besonders problematisch sind in diesem Zusammenhang Schattenkopien, die in den meisten Unternehmen zu finden sind. Statt dem Kernprozess zu folgen, der sich in der Regel an ERP-Systemen orientiert, arbeiten die Abteilungen oft mit unstrukturierten Dokumenten. In den meisten Fällen handelt es sich um klassische Office-Formate wie Excel oder Word. Teilweise bilden diese Schattenkopien sogar die führenden Systeme. Ein Beispiel: Das Marketing arbeitet nicht direkt im CRM-System, sondern exportiert CVS-Dateien in Excel-Tabellen. So entsteht eine Schwachstelle im System, die das DLP-Werkzeug am CRM-System nicht erfassen kann.

Wieso entstehen diese Schattenkopien? Mitarbeiter ziehen die Arbeit in Excel oder ähnlichen Tools oft den ERP-Systemen vor, da ihnen diese schlicht zu groß und sperrig sind. Die Arbeit in Office-Programmen erscheint ihnen effizienter. Insofern kann ein DLP-Projekt auch ein Anlass sein, Prozesse „aufzuräumen“ und effizienter zu gestalten, sodass die ERP-Systeme für die Mitarbeiter wieder an Attraktivität gewinnen. Letztendlich profitiert ein Unternehmen von effizienteren Prozessen, die in einem Aufschlag mit einem DLP-Projekt entstehen.

Beraubt das Projekt nun die Mitarbeiter ihrer Schattenkopien, führt das zunächst zu Unmut im Unternehmen – mit Folgen für das Business. Deshalb gibt es mit den Ausschlag für das Gelingen eines DLP-Projekts, Widerstände im Unternehmen zu überwinden und die Mitarbeiter von Anfang an mitzunehmen. Es muss ein Bewusstsein dafür entstehen, mit klassifizierten Daten sorgsam umzugehen. Eine Awareness-Kampagne hilft, die Mitarbeiter für dieses Thema zu sensibilisieren.

Im Idealfall sitzen DLP-Agenten an allen Schnittstellen: an File-Servern, Clients, E-Mail Relays oder App Proxies. Bild: Airitsystems

Eine weitere Voraussetzung für eine erfolgreiche DLP-Implementierung kann eine Zertifizierung nach ISO 27001 sein. Theoretisch sollten in einem zertifizierten Unternehmen gelenkte Dokumente vorhanden sein – die Praxis sieht häufig jedoch anders aus. Grundsätzlich ist es wichtig, dass der Datenfluss und die Klassifizierung von Dokumenten im gesamten Unternehmen klar geregelt sind. Außerdem sollte DLP sämtliche Kommunikationswege erfassen. Entscheidet sich das Unternehmen für eine dezentrale Lösung, ist es erforderlich, dass alle Komponenten DLP-fähig sind. Dies kann unter Umständen dazu führen, dass der Austausch weiterer IT-Komponenten notwendig wird. Die damit verbundenen Investitionen in die Technik sind ein Grund dafür, dass DLP in der Projektphase stecken bleibt und nicht zur Einführung kommt. Nicht zuletzt deshalb erscheint es ratsam, die Geschäftsführung früh für das Projekt zu gewinnen. Die Einführung von DLP bleibt ein langwieriges Projekt, das sich auch auf ein komplettes Geschäftsjahr erstrecken kann. Bei allen Projektbeteiligten ist ein langer Atem gefragt.

Sand im Getriebe

Die skizzierten Herausforderungen sind sicher ein Grund dafür, dass nur einige wenige Unternehmen tatsächlich DLP implementiert haben. Das Interesse an DLP korreliert mit der Branche. Beispiel Finanzwesen: IT-Verantwortliche setzen häufiger DLP-Projekte auf oder pilotieren diese eher als in anderen Branchen. Das hängt mitunter mit der Unternehmenskultur in der Finanzbranche zusammen: Homogene Systemlandschaften und ein hoher Standardisierungsgrad sind in dieser Branche keine Seltenheit. Traditionell sind diese Unternehmen auch zurückhaltend, was die Vergabe von Berechtigungen betrifft.

Ganz anders bei den „Hidden Champions“, also mittelständische Unternehmen aus dem produzierenden Gewerbe, die auf ihrem Gebiet Weltmarktführer, aber der Allgemeinheit weitestgehend unbekannt sind. Bei ihnen ist häufig eine eher heterogene IT zu finden, DLP spielt kaum eine Rolle. Die Mittelständler unterschätzen das Gefahrenpotenzial von Datenverlusten – mit teils fatalen Folgen. Denn gerade diese Unternehmen sind sowohl von APTs (Advanced Persistent Threats, systematische Angriffe über einen größeren Zeitraum hinweg) als auch von simpler Industriespionage durch Mitarbeiter betroffen.

Systematische Angriffe auf wertvolle Informationen erlangen immer mehr Bedeutung. Hauptziele sind Behörden oder produzierende und Know-how-basierte Unternehmen sowie die Dienstleistungs- und Technologiebranche. Ein APT baut sich langsam auf und dehnt sich über lange Zeiträume, manchmal über Jahre, aus. Durch diese lange Vorbereitungszeit ist es für DLP ein Leichtes, einen Angriff frühzeitig zu erkennen. APTs nutzen verschiedene Techniken: Spear-Phishing (gezieltes, personalisiertes Phishing), Social Engineering, die Platzierung von Schadsoftware auf Websites, die Mitarbeiter wahrscheinlich aufrufen, oder das Ausnutzen bislang unbekannter Sicherheitslücken. Hier greift die DLP-Software ein, indem sie als sensibel klassifizierte Informationen in unerlaubten Datenströmen erkennt.

Letztlich ist die Achillesferse immer der Mensch vor dem Bildschirm. Deshalb ist der Erfolg von DLP maßgeblich davon abhängig, ob die Mitarbeiter die definierten Regeln zum Umgang mit sensiblen Daten auch einhalten. Ob dem so ist, kann eine DLP-Lösung überprüfen. Doch DLP kann nur ganzheitlich funktionieren. Auch darf man es nicht als Ersatz für andere Sicherheitsmaßnahmen betrachten. Das Projekt betrifft das gesamte Unternehmen, denn es muss ein Kulturwandel in Bezug auf den Umgang mit Daten stattfinden. Deshalb ist es unerlässlich, dass die Geschäftsführung sich von Anfang an einbringt und das Projekt legitimiert. In jedem DLP-Projekt treten Widerstände auf, die es zu überwinden gilt. DLP ist kein reines IT-Projekt, es erstreckt sich über alle Abteilungen. Um einen Kulturwandel einzuläuten, müssen alle Beteiligten in die gleiche Richtung arbeiten.

Tim Cappelmann ist Leiter Managed Services bei Airitsystems ().