Engmaschige Content Security mit weitreichenden Kompetenzen
Aus Content Security wird Data Loss Prevention
Sensible Inhalte werden im Unternehmen auf den verschiedensten Wegen übertragen und weiterverarbeitet. Dabei haben diese Informationen immer häufiger einen sensiblen und damit geschäftskritischen Stellenwert und tragen somit wesentlich zum Unternehmenserfolg bei. Es gilt daher, diese Informationen besonders zu schützen. Dazu müssen die Inhalte im Netz klassifiziert und ihr Fluss sowie die Zugriffe auf die Informationen kontrollierbar sein.
Inhaltsbezogene Sicherheit verlangt einen systematischen Ansatz: Gerade am Gateway sind
proaktive Systeme erforderlich, um Outbreaks gleich am Eingang eines Netzes entgegenzuwirken und
neue Bedrohungen abzublocken. Neben reaktiven Maßnahmen muss ein solches System proaktive
Mechanismen zur Angriffserkennung bieten. Letztlich gilt es besonders im Sinne einer effizienten
Unternehmens-Policy, Informationen gegen unberechtigten Diebstahl, Manipulationen und Zugriffe am
Endgerät, an den Servern, am Gateway und auf mobilen Geräten zu schützen. Dazu gehört auch die
Kontrolle von Devices wie USB-Sticks, DVD-Brennern sowie die Kontrolle des Workflows oder die
Unterbindung eines simplen Ausdrucks auf Papier. Ebenso kann auch überwacht werden, ob eventuell
unerlaubt Screenshots aufgenommen und versendet werden. Moderne Content-Lösungen sollten diesem
Anspruch auf unterschiedlichen Ebenen im Netz gerecht werden. Hier setzen so genannte Data Loss
Prevention (DLP)-Lösungen an, die nachfolgend erläutert werden.
Detaillierte Flusskontrolle
Wie können der Zugriff und die Übertragungswege vertraulicher digitaler Informationen im
gesamten Netz gesteuert und überwacht werden? In der Praxis wurden hierfür unterschiedliche
Techniken entwickelt, die in unterschiedlichem Maße den Weg der Informationen überwachen. Einige
Lösungen konzentrieren sich schwerpunktmäßig auf die Überwachung von bestimmtem Content – also auf
die Übereinstimmung von Informationen mit einem konkreten Inhalt. Andere überwachen die
Schnittstellen eines Endgeräts (USB, DVD, Drucker) und verbieten beispielsweise das unberechtigte
Kopieren von Informationen auf eine CD. Es gibt nur sehr wenige Lösungen, die ein ganzheitliches
Konzept der Datenflusskontrolle umsetzen und damit der Data Loss Prevention (DLP) vollends
entsprechen. Der Schutz der Daten soll sowohl im Netz als auch am Host gewährleistet werden. Die
meisten dieser Systeme sind allerdings sehr leicht zu umgehen, indem man beispielsweise
vertraulichen Content verschlüsselt und dann via E-Mail überträgt. Eine sichere Lösung muss daher
schon dort ansetzen, wo diese Daten ursprünglich verwendet und zur Verfügung gestellt werden. Nur
dann kann eine gesamte Kontrolle des Flusses vom Ursprung bis zur kontrollierten Freigabe
gewährleistet werden. Die Lösung muss auch den Content-Flow von mobilen Clients wie Smartphones,
PDAs oder auch von nicht gemanagten Notebooks eines Partners oder freien Mitarbeiters spätestens an
den Übergabepunkten auf das Unternehmensnetzwerk kontrollieren und reglementieren. Daraus ergibt
sich zwingend die Umsetzung einer solchen Lösung sowohl an Endgeräten als auch an den Gateways.
Wichtig ist auch die Berücksichtigung nicht zentral zugänglicher Daten, wie zum Beispiel der
Daten, die lediglich auf einer Notebook-Festplatte gespeichert sind. Diese Daten werden oft nur
lokal gehalten. Sie werden also auf ein Notebook kopiert und ohne Netzverbindung offline zumindest
für eine gewisse Zeit weiter verarbeitet. Data-Loss-Prevention-Lösungen müssen hier vorhandene
Inhalte auch im Offlinebetrieb überwachen und funktional den unternehmensweit gültigen Ansprüchen
an die Datenflusskontrolle genügen. Dazu werden die Policies über die Management-Konsole in das
Active Directory eingegeben. Ist auf den Endgeräten ein Agent installiert, werden diese Policies
beim Netzzugang übernommen und bleiben anschließend auch im Offlinemodus wirksam.
Zusätzlich besteht die Notwendigkeit, quasi in Echtzeit Richtlinien umzusetzen, anzuwenden und
zu überwachen. Diese Anforderung ergibt sich allein aus der Bedingung heraus, dass Informationen
schnelllebig sind und Verstöße schnell festgestellt werden und das entsprechende Alerting sofort
greifen müssen. Unterstützt wird ein solches System idealerweise durch lokale
Sicherheitseinrichtungen wie AV- und Host-Intrusion-Prevention-Lösungen, die dann etwa einen
Client, der in einem offenen Hotspot arbeitet, optimal schützen.
Um einen umfassenden Schutz im Sinne von DLP zu ermöglichen, sollten somit verschiedene
Sicherheitsfunktionen zum Einsatz kommen (Bild 1).
Klassifizierung ist alles
Der prüfende Blick einer Content-Security-Lösung mit Schwerpunkt auf Data-Loss-Prevention
richtet sich auf die verschiedenen Übertragungskanäle, die Anwendungen, mit denen die vertraulichen
Informationen be- und verarbeitet werden können sowie auf die daran angeschlossenen Endgeräte.
Technisch zeichnet sich ein solches System nicht nur durch einen Content-Filter aus, der je nach
Inhalt eine besondere Regel definiert. Der Filter markiert ein Dokument oder eine Datenquelle
unabhängig von der Struktur, Größe und Art mit einem so genannten "Tag". Dieser Tag klassifiziert
verbindlich die Art des Dokuments und den Grad der Vertraulichkeit.
Gekoppelt mit einer solchen Klassifizierung werden verschiedene Aktionen und Reaktionen als
erlaubt oder als nicht erlaubt festgelegt. Idealerweise kann dies im Active Directory oder in einer
Datenbank abgebildet und vorgehalten werden. Nach Festlegung solcher Regeln lässt sich
beispielsweise ein Word-Dokument nicht mehr partiell kopieren, mit einem Screenshot digital
abfotografieren oder gar verschlüsseln. Auch beim Kopieren geht der Tag und die Klassifizierung
schlicht auf die neue Datei über. Das gleiche gilt entsprechend bei einer Verschlüsselung für das
neue Format. Das einzige, was noch mit Content-Regeln abzufangen bleibt, ist das manuelle Abtippen
einer Datei von Hand. Dieser entkoppelte Prozess ist nicht mit Binärkopie oder anderen technischen
Mechanismen an die Ursprungsdatei gebunden.
Das Anfertigen eines Screenshots, das Ausdrucken einer Datei und das Verschieben von Dokumenten
auf ein anderes Device werden über ein intelligentes Device-Management gesteuert und kontrolliert.
Ein geöffnetes, klassifiziertes Word-Dokument und dessen Inhalt könnten somit nicht per Cut and
Paste auf einer Webseite eingestellt werden, weil die Quelle – in diesem Fall das Word-Dokument –
und deren Klassifizierung dies mit der zugehörigen Reaktionsregel unterbinden würde.
Es gibt Lösungen auf dem Markt, die genau solche Funktionen bieten und damit eine sehr große
Bandbreite von Möglichkeiten ausschließen, ganze Dokumente oder Teile der Inhalte zu übertragen.
Wenn dann auch zusätzlich Plugins etwa für Mail-Clients oder IM-Systeme verfügbar sind, kann die
Applikation selbst (zum Beispiel Outlook) das Versenden unterbinden. Sind entsprechend
klassifizierte Dokumente oder auch nur partiell kopierte Anteile eines Dokuments an eine Mail
angehängt, wird der Versand automatisch verhindert, ohne dass Gateway- oder Netzlösungen dies
übernehmen und abfangen müssten.
Die Bearbeitung vertraulicher Dokumente auf dem Endsystem bleibt damit genauso unberührt wie das
Anlegen von Kopien solcher Daten auf demselben Device, etwa einer lokalen Festplatte. Letztlich
wird immer die Klassifizierung – und damit auch die Information, wo das Dokument herkommt – an die
neue Instanz der nachfolgenden Datei weitervererbt. Auch wenn etwa ein Excel-Sheet verschlüsselt
wird und sich als PGP-File in einer neuen Datei wieder findet, ist die Information der
Klassifizierung im Active Directory hinterlegt. Die Regeln eines solchen Systems beschreiben, was
mit dieser Art von Content-basierten Informationen oder klassifizierten Quellen gemacht werden darf
und was nicht. Eine Granulierung auf Device- und Applikationsebene bietet sogar die Möglichkeit,
etwa für USB-Sticks eines bestimmten Herstellers Einschränkungen vorzunehmen.
Die wichtigste Instanz einer Data-Loss-Prevention sind das Tagging und die damit verbundenen
Regeln, die Weitergabe und Zugriff der Datei regeln. Diese Klassifizierung sowohl der Quelle eines
Dokuments (zum Beispiel eines Shares) als auch der daraus entstehenden immer größeren Anzahl in der
auf verschiedenste Weise veränderter, weiterbearbeiteter oder schlicht kopierter Dokumente bleibt
immer automatisch erfasst. Sie bleibt stets an die für die Quelle festgelegten Aktionen, Freigaben
und Regeln gekoppelt. Als Hauptaufgabe für die Benutzer ergibt sich daher, absolute Content-Regeln
zu definieren, die von der Quelle der einzelnen Datei her unabhängig sind. Idealerweise sollte eine
explizite Klassifizierung von Informationen bereits durch den Autor eines Dokuments direkt auf
Verzeichnisebene möglich sein. Entsprechende Berechtigungen, wer welche Dokumente klassifizieren
darf, sind innerhalb eines Unternehmens oder einer Abteilung zuzuweisen. Wenn sich dann ein solches
System ganzheitlich in ein Managementsystem einbetten oder integrieren lässt, erfüllt es den
Anspruch, nicht nur Kontrolle zu bieten, sondern auch administrierbar zu sein und effizient im
Unternehmen zum Einsatz kommen zu können.
Lesen Sie mehr zum Thema
