Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Praxis: Die Qualität eines DLP-Systems bewerten

Data-Leak-Prevention

Praxis: Die Qualität eines DLP-Systems bewerten

22. Juli 2010, 13:48 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 1

Wie »gefährlich« jeder Kanal ist

Laut Infowatch war 2009 etwas mehr als die Hälfte aller Datenlecks auf Vorsatz zurückzuführen, meist von frustrierten oder kriminellen Mitarbeitern.
Laut Infowatch war 2009 etwas mehr als die Hälfte aller Datenlecks auf Vorsatz zurückzuführen, meist von frustrierten oder kriminellen Mitarbeitern.

Unter Technikern existierte die Idee, jeden Kanal mit dem Anteil des über ihn transportieren Verkehrs zu multiplizieren, um die gefährlichsten potenziellen Sicherheitslöcher zu ermitteln. Dies ist jedoch keine gute Lösung.

Denn erstens ist es schwierig, die Menge des Datenverkehrs zu schätzen, der über solche Verbindungen läuft und möglicherweise das Unternehmen verlässt, etwa beim Drucken oder dem Kopieren auf DVD.

Zweitens unterscheidet sich die Informationssättigung in jedem Kanal. Vertrauliche Informationen werden selten über Peer-to-Peer-Netzwerke übertragen, obwohl über diese normalerweise viel Traffic läuft. Dagegen ist der Anteil von Instant Messengern am Datenverkehr gering; dennoch werden viele wichtigen Informationen über diesen Kanal aus dem Unternehmen hinausbefördert.

Wie bereits erwähnt, sollte eine DLP-Lösung möglichst viele Übertragungsprotokolle und Datenformate kontrollieren. Wichtig dabei ist für einen Anwender, dass er prüft, wie viele der Daten, die über sein Unternehmensnetz laufen, diesen Protokollen und Formaten entsprechen.

Es nützt beispielweise nichts, wenn eine DLP-Lösung einen exzellenten Schutz vor Lecks via Instant-Messaging-Systemen bietet, wenn ein Unternehmen den Einsatz solcher Tools untersagt hat und die Einhaltung dieser Policy kontrolliert. Dies lässt sich beispielweise mithilfe von Next-Generation-Firewalls oder eben entsprechenden DLP-Systemen erreichen.

Eine zentrale Funktion von DLP-Lösungen ist die Kontrolle des Wortlauts von E-Mails oder Dokumenten, die das Unternehmen verlassen. Diese lassen sich auf bestimmte Keywords hin untersuchen.

Allerdings reicht es nicht aus, eine entsprechende Kodierung und das Vokabular (Wörterbuch) hinzuzufügen, wenn Texte in einer bestimmten Sprache überprüft werden sollen. Es ist zudem erforderlich, die Analysealgorithmen entsprechend anzupassen.

Der Grund ist, dass jede Sprache unterschiedliche Regeln bei der Wortbildung aufweist. Englisch und Chinesisch sind recht einfache Sprachen, was Wort- und Satzbildung betrifft. Die Analyse von Dokumenten, die in Russisch oder Türkisch abgefasst sind, ist dagegen eine höchst komplexe Aufgabe.

Ein Anwender, der eine DLP-Lösung ins Auge fasst, die mehrere Sprachen unterstützt, sollte daher diesen Punkt mit dem Anbieter abklären. Eine allzu grobe »Wald-und-Wiesen«-Analyse von Texten führt dazu, dass entweder zahllose Fehlalarme ausgelöst werden oder Dokumente und E-Mails trotzt DLP-System das Unternehmen verlassen.

  1. Praxis: Die Qualität eines DLP-Systems bewerten
  2. Wie »gefährlich« jeder Kanal ist
  3. Die Anzahl der Warnmeldungen
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
NFON AG

NFON AG
elektrofachkraft.de

elektrofachkraft.de
AixpertSoft GmbH

AixpertSoft GmbH
WatchGuard Technologies

WatchGuard Technologies
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
Vodia Networks GmbH

Vodia Networks GmbH