Datenkontrolle führt zu Protesten der Anwender
Pilotanwender von Data-Loss-Prevention-Lösungen sind geschockt über laxen Umgang mit Infos
Wer ein System zum Schutz gegen Datenverluste (Data Loss Prevention) installiert, ist zunächst entsetzt über die vielen Schwachstellen, die sich dabei im Unternehmen zeigen. Die Folge davon sind Überreaktionen bei der Implementierung der Regeln - und eine anschließende Lockerung. Das berichten die Pilotanwender dieser neuen Technologie. Bei EDS etwa musste man die Security-Abteilung "ein paar Ausnahmen für die Chefetage" einbauen, bevor sie von dort den Segen für das Schutzsystem bekam.
"Es hat uns einen eiskalten Schauer über den Rücken gejagt, als wir entdeckt haben, wie
leichtfertig in unserem Unternehmen mit sensitiven Daten umgegangen wird", sagte Catherine
Gorman-Klug, Chief Information Security Officer (CISO) bei Meridian Health, einem Betreiber von
vier Krankenhäusern in New Jersey. Ihr Schock war die Folge einer DLP-Installation, die alle
Dateien beobachtet hat, in denen Personen- und Patientendaten gespeichert waren.
Inzwischen ist sie über die Situation etwas beruhigter, denn die Speicherung und der Zugang
wurde auf den neuesten Stand gebracht und das System verschlüsselt automatisch Dateien oder E-Mails
in denen es sensitive Informationen entdeckt. "Was mir heute nur noch Sorge macht, sind unsere
Laptops und die externen Speichermedien, wie USB-Sticks", sagt sie.
–
http://llschnuerer.cmpdm.de//sites/microsites/awarness-cz/index.html" target="true">CZ Zone Security
Awareness
–
http://llschnuerer.cmpdm.de//sites/cz/article.html?thes=&art=/articles/2008009/31419975_ha_CZ.html">Steuerskandal:
Schutz gegen internen Datenklau wichtiger denn je
–
http://llschnuerer.cmpdm.de//sites/cz/article.html?thes=&art=/articles/2008012/31433237_ha_CZ.html">Datenklassifizierung
legt die Basis für den Informationsschutz
–
http://llschnuerer.cmpdm.de//sites/cz/article.html?thes=&art=/articles/2008014/31461119_ha_CZ.html">Bundesregierung
kommen 500 Rechner abhanden: Verlust von Mobilgeräten auch in Firmen Hauptgrund für
Datenverluste
Und mobile Rechner und Datenträger sind tatsächlich ein Problem. So zeigt Symantecs jüngster
Bedrohungsbericht, dass Diebstahl oder Verlust von Computern oder Speichergeräten 57 Prozent aller
Datenverluste im zweiten Halbjahr 2007 verursachten. Aktuelle macht etwa wieder mal ein Fall in
Großbritannien Furore. Der dortige HSBC hat eine CD mit Daten von 370 000 Kunden verloren. Auf der
Disk waren Namen, Geburtsdaten und Versicherungsdetails gespeichert. Nur mit einem Passwort
geschützt gab die HSBC die CD in die Hände eines Kuriers, der sie zu einem Rückversicherer bringen
sollte. Dort kam sie allerdings nie an.
"Viele Unternehmen glauben noch immer, dass sie ihre vertraulichen Daten allein mit einem
Passwort vor Missbrauch schützen. Das lässt sich jedoch mit ein wenig Erfahrung leicht knacken. Um
solchen Fällen vorzubeugen, hilft nur ein automatisiertes System weiter, das geheime Informationen
umgehend verschlüsselt", erklärt Frank Bickerle, Sales Director Central Europe beim
DLP-Spezialisten Workshare. "Der jüngste Datenverlust bei der HSBC ist ein typisches Beispiel
dafür, dass auch noch so viele Compliance-Vorgaben nichts nützen, wenn es an der Umsetzung hapert."
Und auch wenn es gerade vor allem britische Firmen und Ämter beutelt: "Gegen solche drastischen
Fälle von Datenverlust sind auch deutsche Unternehmen und Behörden nicht gefeit. Viele von ihnen
vertrauen einfach darauf, dass ihnen solche Datenlecks schon nicht passieren werden. Sie müssen
hier dringend umdenken", mahnt Bickerle.
DLP ist daher zu einem heißen Thema der IT-Sicherheit geworden – auch wenn es im Moment noch
mehr verspricht, als es halten kann. Grob gesagt umfasst es vier Bereiche: Erkennen, Beurteilen,
Überwachen und Bearbeiten von sensitiven Daten. Sofern es sich um strukturierten Daten handelt, ist
das Erkennen kein Problem, denn es lassen sich genügend Algorithmen entwickeln, die sicher erkennen
können, ob es sich um einen Personennamen, eine Medizin, einen Produktnamen oder andere wichtige
Informationen handelt.
Schwieriger ist das jedoch bei unstrukturierten Daten, wie CAD-Zeichnungen, Audios, Fotos oder
Videos. "Wir brauchen dringend neue Erkennungsverfahren, um automatisch feststellen zu können, um
was es sich bei einer vorliegenden Information handelt", sagt RSA-Chefstratege Dennis Hoffman. Auch
IBM will mit seiner Unstructured Data Security Solution Unternehmen dabei helfen, unstrukturierte
Daten zu klassifizieren, zu sichern und zu kontrollieren.
Denn so lassen sich die anschließenden Schritte ordnungsgemäß durchführen. "Nur wenn das System
weiß, was das für Daten sind, die da gerade übers Netz gehen, kann es die erforderlichen Maßnahmen
wie Verschlüsselung oder Blockaden vornehmen", sagt RSAs Hoffman.
Doch das ist nicht so einfach, denn die Blockade von Daten, die jemand dringend für seinen Job
benötigt, führt zu lautstarken Anwender-Protesten. "Viele DLP-Anwender rudern nach der Einführung
mit ihren Maßnahmen wieder zurück, denn meistens sind es gleich hunderte an Anwender, die sich
lauthals beschweren", sagt Gartner-Analyst Paul Procter.
Die sichere automatische Entscheidungsfindung ist gegenwärtig die Achillesferse von DLP, denn
das setzt Regeln voraus, die äußerst komplex sind. Schließlich ist die Bedeutung einer Information
keine statische Größe, sondern ändert sich fortlaufend. "Wer seine Datenbestände nach sensitiven
Informationen durchsucht, hat nur eine Momentaufnahme – der tatsächliche Zustand kann schon wenige
Sekunden später völlig anders sein", sagt Hoffman. Er verweist dabei darauf, dass die Pflege des
Regelwerkes ein fortlaufender Prozess sein muss.
Doch auch wenn es hier noch sehr viel zu verbessern gibt – die ersten Anwender sind hoch zu
frieden. "Wir haben jetzt erstmals eine Übersicht darüber, was, wo gespeichert ist und wer, wie und
wann darauf zugreifen darf", bestätigt David Morrow, CISO bei EDS. Allerdings musste auch er "ein
paar Ausnahmen für die Chefetage" einbauen, bevor er von dort den Segen für sein System bekam.
Harald Weiss/CZ/pk
Lesen Sie mehr zum Thema
