Automatik gegen unerlaubte Dokumentenweitergabe
Fingerabdruck für sensitive Informationen
Eine Herausforderung für die Anbieter von IT-Security-Lösungen besteht heute darin, Unternehmen vor dem Verlust vertraulicher Daten zu schützen, ohne deren Geschäftsprozesse merklich zu beeinflussen oder die IT-Administratoren zu sehr zu belasten. Automatisch erzeugte "Fingerabdrücke" von Dokumenten und einzelnen Abschnitten bieten hier einen Lösungsansatz.
Für den Schutz vertraulicher Unternehmensdaten bietet der Markt bereits eine Fülle von Produkten. Sensitive Informationen wie Budgetangaben, detaillierte Produktbeschreibungen, wettbewerbsrelevante Dokumente oder Kundendaten sowie die persönlichen Daten der Mitarbeiter werden überprüft, bevor sie intern in Umlauf kommen oder das Unternehmen per E-Mail oder per Webübertragung verlassen. Damit entsprechen die Unternehmen auch den Sicherheitsbestimmungen aufgrund behördlicher Auflagen.
Benutzerfreundlichkeit und Kostenvorteile
Bisher arbeiten die IT-Security-Lösungen dabei vornehmlich objektorientiert und sehen schützenswerte Inhalte primär in ihrer Bindung ins ursprüngliche Dokument. In der Unternehmenspraxis werden einzelne Abschnitte jedoch häufig kopiert und in neuen Formaten wie Word, Excel, Outlook und Powerpoint oder als PDFs abgespeichert. Sobald der gesamte Wortlaut oder auch einzelne Textteile aber in einer anderen Umgebung auftauchen, können herkömmliche Sicherheitssysteme sie nicht mehr verfolgen. Der Schutz der Daten ist dann nicht mehr gewährleistet.
Ein Lösungsansatz für dieses Problem besteht darin, von den zu schützenden Inhalten eine Art "Fingerabdruck" zu nehmen, um einzelne Teile auch außerhalb des ursprünglichen Dokuments wiedererkennen zu können. Damit bezieht sich der Schutz auf den eigentlichen Inhalt - unabhängig davon, in welchem Format er vorliegt oder wie stark er sich verändert hat. Das Sicherheitsrisiko reduziert sich, und zugleich können vertrauliche Informationen weiterhin vergleichsweise unproblematisch ausgetauscht werden. Der virtuelle Fingerabdruck erweitert die bestehenden Data-Loss-Prevention-Lösungen (DLP) somit auf recht elegante Weise.
Die Fingerabdrucktechnik weist auch Kostenvorteile auf. Vor allem aus Budgetgründen standen für kleine und mittlere Unternehmen Data-Loss-Prevention-Systeme nur selten zur Debatte, obwohl auch Firmen dieser Größe mit unternehmenskritischen Informationen arbeiten, deren Verlust oder Bekanntwerden die Existenz der Organisation bedrohen könnte. Der virtuelle Fingerabdruck erfordert hier im Vergleich zu anderen DLP-Lösungen einen wesentlich geringeren Aufwand für die Anpassung, die Konfiguration oder die Integration. Die Anwendung speichert nicht die kompletten Dokumente, die geschickt werden, sondern nur die Kerninformation, anhand der die schützenswerten Inhalte identifiziert werden können.
Die Mitarbeiter klassifizieren Dokumente selbst
Welche Dokumente - oder auch kleine Textfragmente von 60 bis 70 Wörtern - tatsächlich geschützt werden sollen, entscheiden die Mitarbeiter bei ausgefeilten Lösungen in den verschiedenen Abteilungen selbst. Über ein möglichst leicht zu bedienendes Anwenderportal registrieren die Nutzer die vertraulichen Daten der jeweiligen Abteilungen dann während der Anwendung. Diese Klassifizierung kann jederzeit aktualisiert werden, sodass der Schutz der Inhalte in Echtzeit gewährleistet ist.
Der IT-Administrator kann auch bei dieser Aufgabenteilung weiterhin definierte Eingaben übernehmen und behält die Kontrolle über die Eingaben im Anwenderportal. Die selbstständige Klassifizierung durch die Mitarbeiter bedeutet für ihn jedoch eine Entlastung, denn unter anderen Voraussetzungen muss er gegebenenfalls für alle Abteilungen allein die Entscheidung darüber treffen, welche Dokumente als vertraulich behandelt werden sollen. Dazu muss er überdies jedes Dokument einzeln bearbeiten. Er muss außerdem damit rechnen, dass der Arbeitsaufwand aufgrund der zunehmenden E-Mail- und Webkommunikation mit der Zeit stark ansteigt.
Die Mitarbeiter haben gewöhnlich mehrere Möglichkeiten, ihre Klassifizierung vorzunehmen. Zum Beispiel können sie einen speziellen Speicherort im Netzwerk nutzen und in einem Dokument den zu schützenden Inhalt einstellen. Sobald dieser registriert ist, scannt die Anwendung das Dokument, nimmt Fingerabdrücke als Erkennungszeichen und entfernt die Datei wieder. So entstehen statt einer voluminösen Schatzkammer von wertvollen Informationen durchschnittlich rund 700 Fingerabdrücke, um den gesamten Inhalt der Informationen identifizieren zu können. Das Netzwerk wird automatisch durchsucht, um regelmäßig neue oder geänderte Inhalte zu identifizieren.
Vorsorgen ist besser als reagieren
Anders als herkömmliche Techniken, die ein Netzwerk erst nach Missbrauchsfällen untersuchen, stellt Fingerprinting eine proaktive Sicherheitslösung dar. Die Herausforderung für richtlinienbasierte Sicherheitslösungen besteht bei vielen Unternehmen darin, die eigenen Vorgaben ständig den aktuellen Gegebenheiten anzupassen. Die Fingerabdruckanwendung bildet sowohl die Nutzer, die die Informationen einstellen, als auch die Dokumente ab und vereinfacht damit die laufende Aktualisierung der Verarbeitungsregeln für sensible Informationen. Die Nutzer können außerdem eine für unbedenkliche Inhalte eine "Whitelist" anlegen - beispielsweise für Informationen, die sehr oft benutzt, jedoch nicht bei jedem Versand erneut überprüft werden müssen. Dazu gehört etwa der feststehende Text des Haftungsausschlusses oder des Unternehmensprofils.
Datenabgleich erfolgt vollautomatisch
Zur Fingerabdrucklösung gehört es, alle per E-Mail und Web ein- und ausgehenden Nachrichten auf ihren Inhalt hin zu untersuchen. Hierzu dient typischerweise eine Appliance, die Anfragen vom E-Mail- oder Web-Gateway-Produkt erhält, um Inhalte mit den zuvor eingegebenen vertraulichen Dokumenten oder Textfragmenten von 60 bis 70 Wörtern zu vergleichen. Die Anfrage besteht aus einer Zusammenstellung von Fingerabdrücken, die aus dem E-Mail- oder Webdokument heraus erstellt wurden.
Sobald sich eine Übereinstimmung ergibt, wird der E-Mail- oder Webversand gestoppt, und die Anwendung antwortet mit Informationen über das geschützte Dokument sowie dessen Autor. Die zusätzliche Prüfung wirkt sich dabei nicht negativ auf die laufenden Prozesse aus. Appliances können je nach Größe der eingestellten Fragmente bis zu 500.000 Dokumente aufnehmen und über 100 Anfragen in einer Sekunde verarbeiten. Beanstandete Textteile kommen zunächst in Quarantäne. Je nach interner Regelung werden der Autor, der Administrator oder der zuständige Compliance-Mitarbeiter informiert. Eine andere Möglichkeit besteht darin, die E-Mail- oder die Webkommunikation nicht zu blockieren, sondern automatisch zu verschlüsseln. Gleichzeitig kann der Vorfall ausführlich dokumentiert werden.
Beim Einstellen der schützenswerten Informationen können die Mitarbeiter auch Sperrfristen festlegen. Nach Ablauf eines festgelegten Datums wird der entsprechende Fingerabdruck gelöscht und die Datei freigegeben. Eine typische Anwendung für terminierte Informationen ist beispielsweise der Pressebereich, in dem Texte oft erst von einem bestimmten Zeitpunkt an nach außen kommuniziert werden dürfen.
Sensibilisierung als positiver Nebeneffekt
Ein positiver Nebeneffekt einer Fingerprinting-Lösung, bei der Mitarbeiter aus den Fachabteilungen der Vertraulichkeitsgrad von Informationen selbst festlegen, ist die Sensibilisierung für den Datenschutz. Das Verständnis für den angemessenen Umgang mit vertraulichen Informationen wächst, wenn über den möglichen Missbrauch von Daten sowie die Verwendung im Unternehmen und außerhalb des Unternehmens nachgedacht werden muss.
Lesen Sie mehr zum Thema
