Methoden der Data Loss Prevention
Schutz für sensible Daten in der Cloud
Zahlreiche Dokumente, die Mitarbeiter in die Cloud hochladen, enthalten sensible Informationen. Kreditkartennummern, Passwörter oder Betriebsgeheimnisse können dadurch schnell in die falschen Hände gelangen. Erforderlich ist deshalb ein effektives Konzept für Data Loss Prevention (DLP). Hierfür können diverse Techniken zum Einsatz kommen. Bei der Lösungsauswahl ist deshalb einiges zu beachten.
Ein Unternehmen setzt heute durchschnittlich 1.427 Cloud-Services ein, doch über viele davon ist die IT-Abteilung nicht informiert. Das zeigt der aktuelle "Cloud Adoption and Risk Report" von Skyhigh Networks. Umso größer ist das Risiko, dass sensible Daten in die falschen Hände gelangen könnten. Kaum eine IT-Abteilung kommt daher heute noch am Thema Data Loss Prevention (DLP) vorbei. Die Analysten von Gartner schätzen, dass bis 2018 rund 90 Prozent aller Unternehmen eine DLP-Lösung einsetzen werden; 2016 waren es erst 50 Prozent. Ein DLP-System ermöglicht es Unternehmen, sensible Daten in Cloud-Services zu identifizieren und anhand von Richtlinien automatisiert Schutzmaßnahmen durchzuführen. Berücksichtigen muss es dabei sowohl Daten in Bewegung (bei der Übertragung) als auch in Benutzung (auf verschiedenen Endgeräten) und im Ruhezustand (in der Cloud oder in Archiven).
Für die Identifikation sensibler Dokumente und der Datenverlustrisiken führen DLP-Lösungen Kontext- sowie Content-Analysen durch. Zum Vergleich: Bei einem Brief ist der Content der Text des Briefs, der Kontext der Briefumschlag.
Methoden der Content-Analyse
In der Content-Analyse gibt es verschiedene Techniken, um Verstöße gegen Datenrichtlinien festzustellen. Sie eignen sich für unterschiedliche Anforderungen, und man sollte sie je nach Einsatzszenario auswählen und kombinieren.
Die rollenbasierte Analyse auf Basis regulärer Ausdrücke sucht auf Basis syntaktischer Regeln nach Zeichenketten wie zum Beispiel den 16-Zeichen-Folgen von Kreditkartennummern. Eine solche Analyse lässt sich schnell und einfach umsetzen und ist ein sehr guter erster Filter. Ohne Prüfsummenberechnung, um valide Muster zu erkennen, liefert sie jedoch eine hohe Quote an Falschmeldungen.
Datenbank-Fingerprinting, auch Exact Data Matching genannt, sucht nach Übereinstimmungen mit einer Live-Datenbank oder einem Datenbank-Dump. Dieses Verfahren ist zwar sehr leistungshungrig, liefert aber bei unstrukturierten Daten gute Ergebnisse.
Exact File Matching analysiert nicht den Inhalt eines Dokuments, sondern seinen Hashwert. Da identische Dateien denselben Hashwert haben, lassen sich so gezielt ausgewählte Dokumente aufspüren. Diese Methode erzeugt wenig Falschmeldungen. Allerdings erkennt sie nur identische Dateien, nicht aber verschiedene Versionen eines Dokuments. Mit Partial Document Matching hingegen sucht man nach vollständigen oder teilweisen Übereinstimmungen von bestimmten Dokumenten. Damit lassen sich zum Beispiel unterschiedliche Versionen eines Formulars auffinden, das verschiedene Nutzer ausgefüllt haben.
Die konzeptionelle oder lexikonbasierte Analyse sucht nach Verstößen, die einem vordefinierten Konzept entsprechen. Dieses Konzept müssen Sicherheitsverantwortliche anhand einer Kombination aus verschiedenen Analysekriterien festlegen, zum Beispiel mittels Wörterbüchern oder diversen Regeln.
Die statistische Analyse setzt maschinelles Lernen und andere statistische Methoden wie die Bayessche Analyse ein, um Regelverstöße in geschützten Inhalten aufzudecken. Damit diese Technik verlässlich funktioniert, muss sie große Datenmengen scannen - je mehr, desto besser. Sonst liefert sie viele Falschmeldungen.
Außerdem enthalten viele DLP-Lösungen bereits vordefinierte Regeln oder Wörterbücher, um die häufigsten Typen sensibler Daten aufzufinden, zum Beispiel Kreditkarten- oder Krankenversicherungsnummern. Sicherheitsverantwortliche können sie sofort einsetzen und müssen nicht erst eigene Analysekriterien definieren.
Auswahlkriterien
Es gibt eine Vielzahl von DLP-Lösungen auf dem Markt, die verschiedene der genannten Analysemöglichkeiten anbieten. Doch nicht alle arbeiten mit allen Techniken. Außerdem lohnt es sich, genau hinzusehen, wie ein Anbieter eine Technik umsetzt, denn manche Hersteller setzen Produkte von Drittanbietern ein, die nicht für die Content-Analyse optimiert sind. Stattdessen sind sie aus dem Suchmaschinenbereich entlehnt.
Grundsätzlich lassen sich Enterprise-DLP-Lösungen und integrierte DLP-Lösungen unterscheiden. Enterprise-Systeme sind alleinstehende Softwaresuiten, die Schutzfunktionen für Desktops, Server sowie physische und virtuelle Appliances umfassen. Integrierte Lösungen dagegen sind Bestandteil von Sicherheitssystemen wie Secure-Web- und E-Mail-Gateways oder CASBs (Cloud Access Security Broker). Die beste DLP-Lösung für die Cloud ist ein CASB, da dieser auf Sicherheitsfunktionen für Cloud-Services spezialisiert ist. Er kann Richtlinien in Echtzeit umsetzen und auch auf Dateien anwenden, die bereits in der Cloud liegen. Außerdem arbeitet ein CASB mit Sicherheitssystemen wie SIEM-Lösungen, Firewalls oder Secure Web Gateways zusammen und ermöglicht dadurch ein umfassendes Sicherheits-Management.
Best Practices für DLP
Um DLP wirksam umzusetzen, sollten sich Verantwortliche zunächst ein genaues Bild davon machen, welche Daten zu schützen sind und wie die Cloud-Nutzung im Unternehmen aussieht. Welche Cloud-Services setzen die Mitarbeiter ein? Wie viele sensible Dokumente laden sie in die Cloud hoch, was für Dokumente sind das, wie viele teilen sie mit internen Partnern, wie viele mit externen? Diese Informationen helfen dabei, Richtlinien zu definieren, die die Bedürfnisse der Mitarbeiter berücksichtigen. Früher ließen sich in File-Sharing-Diensten nur sämtliche Dateien eines Ordners mit Drittanwendern teilen. Heutzutage können IT-Verantwortliche viel granularer vorgehen - von "alle blockieren" über den alleinigen Austausch mit bestimmten E-Mail-Adressen oder Domains bis hin zum Löschen oder Verschlüsseln.
Außerdem sollten Verantwortliche festlegen, ob bestimmte Sicherheitsrichtlinien für alle Cloud-Dienste oder nur für bestimmte gelten. So sind zum Beispiel für einen File-Sharing-Dienst wie Box andere Regularien nötig als für einen CRM-Service wie Salesforce. Ein Beispiel: Mitarbeiter sollen über Salesforce keinerlei Dokumente mit externen Mitarbeitern teilen dürfen, in Box - unter Berücksichtigung der Unternehmensrichtlinien - hingegen schon.
Sind die Richtlinien definiert, geht es ans Finetuning. Dazu gehören Tests, bei welchen Aktionen oder Analyseergebnissen das System anschlägt - nur so lässt sich iterativ die Zahl an Falschmeldungen minimieren. Früher löste im Grunde jedes Teilen von Daten einen Alarm aus. So wollen beispielsweise Finanzunternehmen Kundendaten schützen und untersagen, dass Informationen über Kreditkartennummern geteilt werden. Allerdings können Mitarbeiter so nicht mehr Dienstreisen per Kreditkarte bezahlen. Ansonsten wird jedes Mal eine Meldung erzeugt, die die Sicherheitsbeauftragten prüfen müssen. Das kostet wertvolle Zeit. Daher sollte genau geregelt sein, welche Aktionen eine Policy-Verletzung auslösen.
Im Fall eines Finanzunternehmens könnte man beispielweise eine Obergrenze an Kreditkartennummern festlegen, die ein Mitarbeiter in einer Datei versenden darf, ohne Alarm auszulösen. Nach dieser Definition legt der Verantwortliche Maßnahmen fest, die eine DLP-Lösung automatisiert ausführen soll, wenn sie eine Policy-Verletzung erkannt hat. Solche Schutzmaßnahmen können zum Beispiel darin bestehen, einen Upload zu blockieren, ein Dokument zu löschen, es in Quarantäne zu nehmen, zu verschlüsseln oder aber die Zugriffsrechte anzupassen.
Fazit
Cloud Services erfreuen sich großer Beliebtheit, bergen aber auch ein Sicherheitsrisiko für sensible Daten. Zudem kann Datenverlust teuer werden. Gelangen zum Beispiel Kreditkartennummern oder Zugangsdaten in die falschen Hände, öffnen sie Tür und Tor für Kriminelle. Personenbezogene Daten unterliegen außerdem strengen Datenschutzrichtlinien. Mit der neuen Europäischen Datenschutz-Grundverordnung, die ab Mai 2018 gilt, erhöhen sich Bußgelder bei Verstößen drastisch. Bis dahin sollten Unternehmen ihre Sicherheitskonzepte also genau überprüfen. Eine DLP-Lösung ist ein wichtiger Baustein, um sensible Daten in der Cloud zu schützen. Unternehmen können damit die Risiken für Datenschutzverletzungen deutlich senken und von den Vorteilen der Cloud profitieren.
Lesen Sie mehr zum Thema
