Websense: Security-Spezialist vermittelt Know-how zu Data Leakage Prevention
Sechs Fragen bei der Auswahl einer DLP-Lösung
Eine wirksame Lösung zum Schutz vor Datenlecks (Data Leakage Prevention, kurz DLP) muss die nicht-autorisierte Weitergabe vertraulicher Daten, zum Beispiel unternehmensinterne Informationen in E-Mails, erkennen und verhindern. Dies ist das Statement der Security-Spezialisten von Websense, die Know-how zu DLP vermitteln wollen.
Die Daten müssen mit einem „“digitalen Fingerabdruck““ versehen und gegebenenfalls auch verschlüsselt werden. Wichtig ist die Frage, wer über sensible Daten verfügen darf und wohin sie überhaupt geschickt werden dürfen. Eine DLP-Lösung sollte nicht nur zuverlässig arbeiten, sondern auch leicht umzusetzen und zu verwalten sein. Viele aktuelle DLP-Lösungen stammen noch aus einer frühen Phase und lassen aktuelle Features vermissen: So ist die Anzahl der irrtümlich als Datenleck klassifizierten Vorfälle (False Positives) in diesen Lösungen noch sehr hoch, die Einrichtung umständlich und das Störfall-Management sehr aufwändig. Um herauszufinden, ob eine DLP-Lösung wirklich den Bedürfnissen eines Unternehmens gerecht wird, müssen laut Websense folgende Fragen beantwortet werden.
1. Wie viele Server oder Appliances werden gebraucht?
Idealerweise sollte eine Komplettlösung verwendet werden, die auf einer einheitlichen DLP-Architektur basiert. Dann reicht in der Regel ein einziger Server oder eine einzige Appliance, die nur im Bedarfsfall erweitert werden muss. Lösungen, die aus einer Vielzahl von Einzelprodukten bestehen, benötigen auch immer mehrere Geräte, verbrauchen mehr Platz, sind schwieriger zu implementieren und erfordern einen höheren Administrationsaufwand.
2. Sind die Daten auch geschützt, wenn die mobilen Systeme nicht mit dem Firmennetz verbunden sind?
Sensible Daten auf mobilen Geräten, die nicht mit dem Firmennetz verbunden sind, müssen den gleichen Sicherheitsbestimmungen wie bei lokaler Nutzung unterliegen. Die ideale Sicherheitslösung muss alle unternehmenskritischen Daten schützen, unabhängig davon, wo sich der Nutzer befindet.
3. Wie leicht lässt sich die Lösung verwalten?
DLP-Lösungen brauchen eine Architektur, die skalierbar ist und sich problemlos an die unterschiedlichen Anforderungen eines Unternehmens anpassen lässt. Dazu gehören auch Vorschriften für den Datenschutz, die je nach Benutzerprofil verändert werden können. Unausgereifte DLP-Lösungen sind meistens aufwändiger einzurichten und benötigen zahllose Konfigurationsschritte, was wiederum die Administrationskosten in die Höhe treibt und manuellen Fehlern Vorschub leistet. Bei einem ausgereiften Produkt wird die gesamte Verwaltung und Konfiguration über eine einheitliche grafische Oberfläche erledigt, die Administration vereinfacht, die Fehleranfälligkeit gesenkt und die Kosten werden reduziert.
4. Wie weit greifen die mitgelieferten Sicherheitsfunktionen?
Eine durchdachte Lösung sollte eine umfangreiche Ausstattung an sofort einsatzfähigen Sicherheitsrichtlinien enthalten. Das ermöglicht Unternehmen einen schnellen Einstieg und eine effiziente Administration. Da jedes Unternehmen unterschiedliche schützenswerte Daten besitzt, werden spezielle kundenspezifische Nutzerprofile benötigt. Die DLP-Lösung sollte beim Erstellen und Testen dieser Profile behilflich sein.
5. Kann die DLP-Lösung den Adressaten sensibler Daten klassifizieren?
Die Klassifizierung des Empfängers ist der Schlüssel, um den Verlust sensibler Daten mit einem Minimum an False Positives zu verhindern. Zum Beispiel: Das Senden vertraulicher Daten an einen Mail-Account repräsentiert eine kleinere Gefahr als dieselben Daten an eine Social Networking Site zu schicken. Datenverluste via Web rechtzeitig zu erkennen und zu verhindern minimiert auch den Verwaltungsaufwand, was sich wiederum in signifikanten Kosteneinsparungen äußert.
6. Wie kann man die False-Positive-Meldungen überschaubar halten?
Eine möglichst geringe Zahl von fälschlich eingestuften Datenlecks ist eine wichtige Kenngröße für die Effektivität einer Datenschutzlösung. Da viele Anbieter auf dem Papier niedrige False-Positive-Raten angeben, ist es empfehlenswert, diese Angaben in der Praxis zu überprüfen. Moderne Techniken gehen über eine simple Texterkennung hinaus und nutzen eine voll ausgestattete skriptbasierende Erkennung von Inhalten, die zusätzlich durch eine einfache Mustererkennung ergänzt wird.
„“Im Idealfall sollte eine DLP-Lösung eine allumfassende Sicherheit bei der Erkennung von Datenlecks bieten““, sagt Michael Rudrich, Regional Director Central Europe bei Websense in Hamburg. „“Wichtig ist zu erkennen, wo im Unternehmen sensible Daten einem Risiko ausgesetzt werden und auf welchen Wegen sie das Unternehmen verlassen. Dann gilt es, die fahrlässige Weitergabe und den Diebstahl unternehmenskritischer Daten über alle Kommunikationswege zu verhindern““.
Lesen Sie mehr zum Thema
