Data Loss Prevention
„DLP kann Mitarbeiter vor folgenschweren Fehlern bewahren”
Frank Limberger ist Data Security Specialist beim IT-Sicherheitsexperten Forcepoint. Im Interview erläutert er, welche Gefahren für sensible Daten im Homeoffice lauern und wie Unternehmen ihren Mitarbeitern bei der Abwehr helfen können.
funkschau: In Zeiten von Homeoffice und Cloud-Nutzung fällt es Unternehmen schwer, ihre mitunter wertvollen Daten zuverlässig zu schützen. Inwiefern können Lösungen für Data Loss Prevention (DLP) hier Abhilfe schaffen?
Frank Limberger: Dazu muss man sich zunächst die grundsätzliche Funktionsweise von DLP vor Augen führen. DLP-Lösungen sind in der Lage, schützenswerte Informationen zu identifizieren und Aktionen mit hinterlegten Richtlinien abzugleichen. Registrieren sie Verstöße gegen die Vorgaben, machen sie die Mitarbeiter darauf aufmerksam. Moderne adaptive Systeme reagieren dabei jedes Mal mit Schutzmaßnahmen, die dem Kontext angemessen sind.
Das kann beispielsweise heißen, dass auf dem Bildschirm eine Warnmeldung aufpoppt, wenn Mitarbeiter im Begriff sind, kritische Daten in eine Public Cloud hochzuladen oder auf einen USB-Stick zu kopieren. Oder dass das DLP den Versuch blockiert, sensible Informationen in MS Teams zu teilen. Damit kann DLP Mitarbeiter vor folgenschweren Unachtsamkeiten bewahren. Das ist seine zentrale Stärke. Und das Risiko für solche Missgeschicke ist im Homeoffice besonders groß. Die Mitarbeiter nutzen dort häufig private IT und durch die Vermischung von Arbeits- und Privatleben fehlt ihnen vielleicht auch manchmal die nötige Aufmerksamkeit.
funkschau: Worauf gilt es beim Einsatz solcher DLP-Lösungen – sowohl von Unternehmens- als auch Nutzerseite – zu achten?
Limberger: Unternehmen dürfen DLP nicht als Überwachungstool begreifen. Es geht nicht darum, jeden Mitarbeiter als potenziellen Datendieb zu betrachten oder zu ermitteln, welche Mitarbeiter sorglos mit Daten umgehen. Es geht darum, den Mitarbeitern dabei zu helfen, nicht versehentlich Daten einem Risiko auszusetzen. Dafür müssen Unternehmen ihre Mitarbeiter natürlich auch schulen. Aber durch die zusätzliche technologische Unterstützung mit DLP lassen Unternehmen ihre Mitarbeiter nicht mit der ganzen Verantwortung allein. Es verzichtet ja auch kein Unternehmen auf einen Malware-Schutz, nur, weil die Mitarbeiter eigentlich wissen sollten, auf welche Dateianhänge und Links sie nicht klicken dürfen.
Um ihren Job zu erfüllen, müssen DLP-Lösungen keine Daten zentral sammeln. Es reicht, wenn sie lokal auf dem Endgerät über die Einhaltung der Richtlinien wachen und Mitarbeiter auf riskantes Verhalten hinweisen. Unternehmensweite Auswertungen sind aber natürlich möglich und auch hilfreich. Unternehmen können so beispielsweise ermitteln, wo die größten Risiken liegen, wo Richtlinien angepasst werden müssen oder wo nachgeschult werden sollte. Aber diese Auswertungen lassen sich anonymisieren. Vorfälle, die Rückschlüsse auf die Verursacher zulassen, müssen mittels Mehraugenprinzip vor unerlaubtem Zugriff geschützt sein. IT und Mitarbeiter dürfen niemals Namen sehen, das bleibt in der Praxis allein dem Betriebsrat vorbehalten. Und wenn der Betriebsrat gemäß seiner Berechtigung Logdateien einsieht, protokolliert das System diese Zugriffe.
| „Wer heute nicht mit DLP anfängt, wird in Zukunft nicht in der Lage sein, sich gegen gezielt eingesetzte Insider zu wehren. Das geht nämlich nicht von heute auf morgen und schon gar nicht auf Knopfdruck.” |
|---|
funkschau: Inwiefern wird die Absicherung des dezentralen Arbeitsplatzes durch den Einsatz von Schatten-IT erschwert?
Limberger: Die privaten Geräte, Accounts und Cloud-Plattformen, die Mitarbeiter im Homeoffice oder bei der mobilen Arbeit nutzen, können Unternehmen nicht kontrollieren. Mit DLP können sie aber sicherstellen, dass die Mitarbeiter mit dieser Schatten-IT keine Aktionen durchführen, die ein Risiko für sensible Daten bedeuten. Unternehmen schützen kritische Daten und ihr geistiges Eigentum, ohne dadurch die Produktivität der Mitarbeiter einzuschränken. Sie können weiterhin ihre private IT nutzen – und das sollen sie auch, denn sie ist es, die einen effizienten Homeoffice-Alltag oft überhaupt erst möglich macht.
funkschau: Was sind unabhängig davon weitere Störfaktoren?
Limberger: Neben der Schatten-IT bedeutet auch die Vermischung von Berufs- und Privatleben eine Gefahr für den Datenschutz. Bereits im Büro ist es wahrscheinlich den allermeisten von uns schon einmal passiert, dass sie in der Hektik des Alltags versehentlich eine vertrauliche Datei per E-Mail an den falschen Empfänger geschickt haben. Unter den Bedingungen des Homeoffice und des mobilen Arbeitens ist das Risiko für solche Unachtsamkeiten noch einmal deutlich höher. Mit DLP können Unternehmen dieses Risiko entschärfen.
funkschau: Welche Rolle spielt DLP im Kontext eines ganzheitliches Sicherheitsansatzes?
Limberger: Eine ganz zentrale Rolle. Mitarbeiter greifen heute mit den unterschiedlichsten Geräten und von den verschiedensten Standorten aus auf Unternehmensdaten zu, die sich nicht nur im eigenen Rechenzentrum, sondern auch in diversen Clouds befinden. Diese Landschaft lässt sich mit dem klassischen Perimeterschutz nicht mehr absichern. Stattdessen ist ein datenzentrierter Ansatz gefragt: Ein Ansatz, mit dem sich Daten überall schützen lassen, ganz egal, wo sie sind. DLP ermöglicht Unternehmen dabei eine einheitliche Richtlinienverwaltung. Sie können ein- und dieselbe Richtlinie für den Schutz vor Datenverlust auf sämtliche Kanäle anwenden: sei es Netzwerk, Endpunkte oder Cloud.
funkschau: Ist der Aufwand für die Einrichtung von DLP nicht riesengroß?
Limberger: Nein. Unternehmen müssen nicht zwangsläufig umfangreiche Datenklassifizierungen vornehmen und viele Richtlinien ausarbeiten, damit DLP zuverlässig funktioniert und aussagekräftige Reports liefert. Es gibt Lösungen auf dem Markt, die über Schnittstellen auf andere Sicherheitstools wie Azure Information Protection von Microsoft zugreifen können, die bereits umfangreiche Datenklassifizierungen vorgenommen haben. Zudem bringen sie ein großes Set aus vordefinierten Richtlinien mit, sodass sie schnell einsatzbereit sind. Führen Unternehmen DLP zudem nur in einem Unternehmensbereich ein, erleichtert das den Start und liefert wertvolle Erfahrungswerte für den Rollout in anderen Bereichen.
Das Geschäft mit „Insidern as a Service“ wächst: Im Dark Web können Kriminelle gebucht werden, die sich dann von Unternehmen einstellen lassen, um dort für ihre Auftraggeber Daten und wertvolles geistiges Eigentum zu stehlen. Wie schätzen Sie die Entwicklung dieses kriminellen Wirtschaftszweiges ein?
Diese Insider-Jobs sind heute noch Einzelfälle. Die haben es aber in sich. Solche Datendiebstähle können Unternehmen in den Abgrund stürzen und dafür sorgen, dass Großkonzerne massive Einbrüche an den Börsen erleiden. Kryptowährungen erleichtern den Insidern den Job und sie können damit enorm viel Geld machen. Deshalb werden solche Fälle in Zukunft deutlich zunehmen.
funkschau: Wie können sich Unternehmen gegen „Insider as a Service“ schützen?
Limberger: Mit einem Insider-Threat-Programm. Sie müssen Maßnahmen ergreifen und eine Organisation schaffen, mit denen sie Insider-Angriffe rechtzeitig erkennen und die Täter stoppen können, bevor es zu spät ist. Die Grundlage für so ein Programm liefert DLP. DLP-Systeme zielen zwar darauf ab, Mitarbeiter vor ungewollten Datenschutzverletzungen zu bewahren; sie ermöglichen es Unternehmen dabei aber auch, Erfahrungen über den Umgang der Mitarbeiter mit den Daten zu sammeln. Auf Basis dieser Erfahrungen können sie dann unnormale Verhaltensweisen erkennen, die auf einen Datendiebstahl abzielen. Wer heute nicht mit DLP anfängt, wird in Zukunft nicht in der Lage sein, sich gegen gezielt eingesetzte Insider zu wehren. Das geht nämlich nicht von heute auf morgen und schon gar nicht auf Knopfdruck.
Lesen Sie mehr zum Thema
