Data Leakage Prevention und Endpoint Security
Mehr als Stopfen einzelner Löcher
Die Sorge über die Sicherheit von Unternehmensdaten und die Angst vor Lecks, über die unbefugt Informationen nach Draußen gelangen, sind mehr als berechtigt. Spektakuläre Vorfälle - etwa mit sensiblen Kundendaten - machen immer häufiger in der Öffentlichkeit von sich reden. Lösungen für Data Leakage Prevention (DLP) und Endpoint Security versprechen hier Abhilfe.
Dabei stellt sich die Frage, ob sich die Probleme durch solche Produkte wirklich lösen lassen,
oder ob diese nur einzelne Symptome adressieren und weiterhin viel zu viele Sicherheitslücken offen
bleiben. Letztlich geht es um zwei Problembereiche: Zum einen ist zu verhindern, dass Informationen
unbefugt und unerwünscht aus dem Unternehmen gelangen. Zum anderen wollen die Verantwortlichen das
Risiko reduzieren, das speziell von den Notebooks der Mitarbeiter ausgeht. Da sich die
Lösungsansätze in Teilbereichen überlappen, lassen sich die beiden Bereiche DLP und Endpoint
Security nicht ohne weiteres voneinander trennen. Oft kann der Anwender mit einem Produkt beide
Themenbereiche zumindest teilweise adressieren.
Bei näherer Betrachtung ist klar, dass DLP und Endpoint Security nur Teilelemente des großen
Themas Informationssicherheit sind. Die Kernfrage ist letztlich, wie es sich erreichen lässt, dass
nur befugte Personen innerhalb und außerhalb des Unternehmens in festgelegter Weise auf bestimmte
Informationen zugreifen können. Bei der Endpoint Security kommen noch Themen der klassischen
Informationssicherheit hinzu, also beispielsweise der Virenschutz und die Network Access
Protection.
Die Vielschichtigkeit des Themas ist auch daran erkennbar, dass Ansätze wie klassische
Firewalls, UTM (Unified Threat Management), Identity und Access Management (IAM) oder Information
Rights Management (IRM) ebenfalls darauf abzielen, Systeme zu schützen und den Zugriff auf
Informationen zu regeln. Wer sich näher mit den unterschiedlichen Ansätzen beschäftigt, sieht
schnell, dass kein einzelnes Verfahren die Herausforderungen allein lösen kann.
Die Wirkung von Firewalls ist zunehmend dadurch begrenzt, dass zu viele unterschiedliche
Kommunikationswege existieren. Für Notebooks, USB-Speichergeräte, Mobiltelefone und andere
Datenträger stellt die zentrale Firewall im Unternehmen keine Hürde beim Transport von Daten nach
außen dar – und auch nicht beim Transport von Viren und Würmern nach innen. IAM wiederum zielt auf
den Zugriffsschutz vor allem zentraler Informationen und Systeme ab. Damit lässt sich durchaus
verhindern, dass unbefugte Personen auf sensitive Systeme und deren Daten zugreifen. Wenn jedoch
ein befugter Benutzer auf Daten zugreift und diese in unzulässiger Weise nutzt, greifen IAM-Ansätze
nicht.
Und IRM schützt zwar die Informationen direkt, es lässt sich auch zunehmend besser über
Unternehmensgrenzen hinweg nutzen. Aber der Fokus liegt dabei auf Dokumenten, während Informationen
in Datenbanken von diesem Schutzmechanismus nicht profitieren. Die besonders eklatanten Fälle der
letzten Zeit beispielsweise, bei denen große Mengen von Kundendaten in die Öffentlichkeit gelangt
sind, hätten sich damit auch nicht verhindern lassen.
Wann greift der Schutz?
Die Unterscheidung "data at rest", "data in move" und "data in use" stellt dabei eine
besondere Herausforderung dar. Es geht darum, dass Informationen zu jedem Zeitpunkt geschützt sein
müssen. Ein Ansatz, der Informationen beispielsweise auf der lokalen Festplatte eines Rechners
verschlüsselt, es aber erlaubt, dass sich diese ohne weiteren Schutz auf andere Systeme kopieren
oder per EMail versenden lassen, adressiert nur einen Teilbereich.
Wie kritisch gerade die Übergänge zwischen diesen Phasen sind, tritt in vielen Bereichen zu
Tage. Ein EMail-Server kann die Postfächer noch so gut schützen – wenn die EMails unverschlüsselt
über das Netzwerk laufen, ist damit noch nicht viel erreicht. Ein weiteres Beispiel liefert die
aktuelle Problematik bei Kreditkartendaten, bei denen ein "Processor" – also eine die Transaktionen
verarbeitende Instanz – das Sicherheitsproblem darstellt. Beim Übergang der sicheren Daten ("data
at rest", "data in move") zur Verarbeitung ("data in use") geht die Sicherheit verloren. Und genau
dort scheinen die Angreifer in den aktuellen Fällen angesetzt zu haben – übrigens nicht zum ersten
Mal im Kreditkartengeschäft. Auch an dieser Stelle ist offensichtlich, dass punktuelle Lösungen nur
beschränkt helfen, da das Unternehmen die "Phasenübergänge" und oft auch ganze Phasen der
Informationsnutzung nicht im Griff hat.
Data Leakage Prevention
Dennoch existieren ein wachsender Markt für DLP-Lösungen und eine Daseinsberechtigung für
solche Tools. Diese sollte der Anwender jedoch stets im Kontext eines umfassenden
Sicherheitskonzepts betrachten, worauf der Beitrag noch näher eingeht. Der Markt für solche Tools
ist sehr heterogen: Grundsätzlich lässt sich zwischen netzwerk- und Host-basierenden Systemen
unterscheiden. Erstere versuchen die Probleme auf der Ebene des Netzwerks zu adressieren. Dies
führt allerdings zu ähnlichen Problemen wie im Zusammenhang mit Firewalls schon angesprochen: Wenn
ein Benutzer beispielsweise sein Notebook außerhalb des Unternehmens-LANs nutzt, greifen
netzwerkbasierende Systeme ebenso wenig wie beim Kopieren von Daten auf einen USB-Stick.
Die Host-basierenden Systeme laufen dagegen auf den Clients. Einige Funktionen sind auch bei
Windows-Betriebssystemen integriert. Die Gruppenrichtlinien von Windows bieten durchaus vielfältige
Steuerungsmöglichkeiten für den Schutz vor Informationslecks – speziell ab Windows Vista. Dort
lässt sich beispielsweise steuern, welche USB-Geräte die Anwender nutzen dürfen. Typische Verfahren
in diesem Bereich sind die Kontrolle und Einschränkung der Nutzung von USB-Geräten oder
Steuerungsmöglichkeiten, welche Dateitypen und Inhalte sich auf externe Datenträger kopieren
lassen. Zu dieser Gruppe zählen aber auch Lösungen für die automatische Verschlüsselung von
Inhalten auf solchen externen Datenträgern und – im weiteren Sinne – auch spezielle
USB-Datenträger, die eine Verschlüsselung automatisch durchführen und den Zugriff beispielsweise
nur nach einer biometrischen Authentifizierung über einen eingebauten Fingerabdruckleser zulassen.
Eine effiziente Nutzung solcher Ansätze erfordert ein zentrales Management, wie es
beispielsweise die Gruppenrichtlinien von Windows bieten. Allerdings sind viel zu wenige der
angebotenen Tools mit den Gruppenrichtlinien integriert. Oft existieren nur unzureichende
Schnittstellen für ein zentrales Management – und wenn, dann handelt es sich meist um proprietäre
Ansätze.
Endpoint Security
Der Ansatz der Endpoint Security geht über den Bereich der DLP hinaus. Die Zielsetzung ist
der Schutz der Endgeräte und – als Teilfunktion davon – typischerweise auch der Schutz davor, dass
Informationen diese Geräte in unberechtigter Weise verlassen. Auch hier handelt es sich um lokal
installierte Software, die mit einer zentralen Verwaltungsschnittstelle kombiniert ist. Der
Funktionsumfang solcher Lösungen ist breit. Zu den üblicherweise angebotenen Features zählen:
- Antiviren- und Anti-Phishing-Funktionen,
- Personal Firewall,
- Intrusion Detection/Prevention,
- Wireless Security und WLAN-Sicherheit,
- Datenverschlüsselung auf Festplatten, Ordner- und Dateiebene,
- Verschlüsselung auf externen Speichergeräten und -medien,
- Schutz vor dem Kopieren von Datei-typen und -inhalten,
- Kontrolle von FTP-Verkehr,
- Network Access Control (NAC) sowie
- Kontrolle von USB-Geräten und -anderen Geräten.
Allerdings unterstützen die am Markt angebotenen Werkzeugen typischerweise nicht alle Funktionen
gleichzeitig. In einigen Fällen kann der Anwender weitere Funktionen über Zusatzprodukte desselben
Anbieters beziehen, wobei in diesem Fall sowohl die Kostenfrage als auch der Integrations- und
Management-Aufwand zur Hürde geraten können.
Zudem gilt auch hier, dass der Anwender oft an die Grenzen der Schutzwirkung stößt: Sollen
beispielsweise USB-UMTS-Karten zum Einsatz kommen, so muss man dies auch zulassen. Allerdings
verfügen diese Geräte typischerweise auch über lokalen Speicher und könnten damit für den Transport
schützenswerter Daten Verwendung finden. Der Versuch, hier beispielsweise über die Kontrolle von
Dateitypen zu arbeiten, scheitert ebenfalls schnell. Das Unternehmen kann zwar beispielsweise XLS-
und CSV-Dateien blockieren, aber was hindert einen Mitarbeiter daran, die Informationen in ein
Word-Dokument oder – etwas umständlicher – gar in eine PPT-Datei zu kopieren, die dann vielleicht
nicht erfasst wird?
Herausforderung Mobilität: Bei vielen Schutzansätzen bleibt stets die Frage, in welchem
Umfang diese greifen, wenn Geräte außerhalb des Unternehmensnetzwerks zum Einsatz kommen. Dabei
geht es keineswegs nur um die Notebooks. Mobiltelefone sind heute vielfach in der Lage, Daten zu
synchronisieren und große Datenmengen zu speichern. Das Management dieser Geräte und ihre
Sicherheitskonzepte weisen aktuell jedoch einen Reifegrad auf, der sich mit dem von PCs gegen Ende
der 80er-Jahre vergleichen lässt.
Sicherheits- und Autorisierungs-strategien
DLP-Lösungen und Ansätze für die Endpoint Security können Sicherheitsrisiken reduzieren.
Allerdings muss sich der Anwender darüber im Klaren sein, dass er damit oft zwar einige Löcher
stopft, viele andere potenzielle Schwachstellen aber offen bleiben. Deshalb sollten Unternehmen DLP
und Endpoint Security nicht als taktische Punktlösungen, sondern als Elemente in einem
Gesamtkonzept der IT-Sicherheit begreifen, in dem andere Themenblöcke wie Firewalls, UTM, SIEM
(Security Incident and Event Management), IAM und IRM zusammenarbeiten, um die Sicherheitsrisiken
zu verringern.
Dies setzt einerseits ein klares Bewusstsein für die IT-Sicherheitsrisiken voraus – bis hin
zu einer Risikobewertung. Es erfordert aber andererseits vor allem eine Sicherheitsstrategie
einschließlich einer Autorisierungsstrategie, die die Sicherheitskonzepte und die Zugriffskonzepte
auf Systeme und Informationen in einer Gesamtsicht betrachtet. Ohne solche strategischen Ansätze
wird der Anwender immer das Problem haben, dass er nur Löcher stopft, ohne sich sicher sein zu
können, die Schutzziele wirklich zu erreichen. Das Risiko von Fehlinvestitionen ist dann zu groß.
Die Investition in Sicherheits- und Autorisierungsstrategien sollte daher im Vordergrund stehen.
Und dabei gilt, dass dies oft geringe Kosten sind im Vergleich allein zu den Lizenzkosten etwa von
Endpoint-Security-Lösungen, die nur ein einzelner Baustein im gesamten Sicherheitskonzept sind.
Auswahlkriterien für Endpoint-Security-Lösungen
- Bei der Auswahl von Endpoint-Security-Lösungen sind folgende Aspekte von besonderer
Bedeutung: - Umfassendes Funktionsangebot: Viele Lösungen decken heute nur einen Teil der erforderlichen
Features ab. Falls Anbieter Zusatzprodukte anbieten, die die Lücken schließen können, gilt es,
besonders auf die Integration zu achten. - Effizientes Deployment: Die Client-Komponenten müssen sich einfach im Netzwerk verteilen lassen
– auch ohne spezielle Lösungen für die Softwareverteilung. - Zentrales Management: Das Management der Clients muss zentral über Richtlinien und Geräte-
sowie Benutzergruppen erfolgen können, um viele Systeme in effizienter Weise verwalten zu
können. - Sicherheitskonzept: Die Administrationsschnittstellen müssen selbst über ein leistungsfähiges
Sicherheitsmodell verfügen, um nicht zur Sicherheitslücke zu geraten. - Integration: Die Integration mit anderen Ansätzen der IT-Sicherheit, von IAM über SIEM bis hin
zu den Windows-Gruppenrichtlinien ist zwingend. Gerade Letzteres ist unbedingt empfehlenswert, um
das Management zu vereinfachen. - Plattformunterstützung: Die meisten Lösungen beschränken sich heute noch auf die gängigen
Windows-Versionen. Andere Betriebssysteme und speziell die besonders sicherheitskritischen mobilen
Endgeräte bleiben dabei in der Regel außen vor.
Zum aktuellen Zeitpunkt existieren zwischen den verschiedenen am Markt angebotenen Produkten
erhebliche funktionale Unterschiede. Das Unternehmen muss daher genau evaluieren, welche der
Lösungen die definierten Anforderungen – im Kontext einer Gesamtstrategie – tatsächlich
erfüllt.
Network Access Control
Eine Kernfunktion von Endpoint-Security-Lösungen stellt die so genannte Network Access
Control dar, die auch als Network Access Protection oder Network Access Quarantine bezeichnet wird.
Dieses Verfahren überprüft Client-Systeme beim Zugang zum Netzwerk, um den "Import" von
Sicherheitsproblemen zu verhindern. Ansatzpunkte dafür sind beispielsweise die Einwahlverbindungen,
die Verbindung mit drahtlosen Netzwerken oder die Anforderung von DHCP-Leases.
Bei der Verbindung mit dem Netzwerk erfolgt eine Statusüberprüfung der jeweiligen Systeme.
Dazu zählen beispielsweise die Überprüfung der Aktualität von Antivirendefinitionen, der
Update-Status auf Systemebene, das Vorhandensein oder Fehlen von bestimmten Dateien oder die
Konfiguration spezieller Systemparameter. Falls dabei Abweichungen auftreten, lassen sich die
Systeme in einen Quarantänemodus mit eingeschränktem Funktionsumfang versetzt, wobei sie sich
typischerweise in einem speziellen IP-Subnetz befinden. Im nächsten Schritt versucht die Lösung,
die Probleme auf dem Endgerät zu beheben. Dieser Vorgang nennt sich Remediation. Falls diese nicht
funktioniert oder vom Benutzer nicht zugelassen ist, wird der Zugang zum Netzwerk entweder
verweigert, oder die Systeme dürfen nur in einem Teilnetz mit beschränktem Funktionsumfang
arbeiten.
Network Access Control ist als Konzept in der Implementierung komplex, da sie ein
Zusammenspiel mit bestehenden Systemen wie DHCP- und RADIUS-Servern erfordert und die Clients nicht
nur differenziert zu überprüfen, sondern erkannte Schwachstellen möglichst auch automatisiert zu
beheben sind. Sowohl diese Korrekturfunktionen als auch die Flexibilität der Überprüfung stellen in
diesem Produktsegment wichtige Kriterien für die Auswahl von Lösungen dar.
Lesen Sie mehr zum Thema
