Data Loss Prevention (DLP): So schütze ich sensible Informationen

Fachbeitrag

Am 22. April 2021 behandelten wir in unserer beliebten Webinarreihe das Thema „Data Loss Prevention (DLP) – Wie schütze ich sensible Informationen?“. Für alle, die sich in dieses Thema einlesen oder das Webinar nachlesen wollen, haben wir die wesentlichen Punkte in diesem Blogbeitrag zusammengestellt.

Einführung in DLP

Der Begriff DLP wird vielfältig benutzt. Google bietet bei einer kurzen Recherche Begriffe wie „Data Leakage Protection“, „Data Loss Protection“ oder auch „Data Loss Prevention“ an. Deren Definitionen ist gemein, dass sie sich mit Daten (hier synonym für Informationen) und ihrem Schutz beschäftigen. Doch vor was sollen die Informationen geschützt werden? Vor allem vor dem Verlust ihrer Vertraulichkeit, also vor Offenlegung, Abfluss und Weitergabe. Waren dies früher wichtige Forderungen zum Schutz von Geschäftsgeheimnissen, kommen durch die DSGVO verstärkt auch die Anliegen des Datenschutzes hinzu.

Die heutige Situation beschreibt sich in kürze wie folgt:

Informationen jeglicher Art werden in eigenen Systemen oder mit Hilfe von Cloud-Services gespeichert und zur Weiterverarbeitung über Anwendungen angeboten. Der Zugriff darauf erfolgt auf vielfältiger Weise etwa per E-Mail, Telefon oder Download. Auf jeder dieser Ebenen kann ein Angreifer aktiv werden und einen Datenabfluss erreichen.

Data Loss Prevention - DLP - 01

Das Ziel der Data Loss Prevention ist es nun, dem einen Riegel vorzuschieben.

Data Loss Prevention - DLP - 02

Wobei dieser Riegel angemessen im kaufmännischen und organisatorischen Aufwand sein muss.

Schutz vor Datenverlust

Zuerst stellt sich die Frage, was sind die sensiblen Daten des Unternehmens? Der Speiseplan? Eher nicht. Aber Konstruktionspläne, M&A Unterlagen sowie Verträge und Planungsunterlagen gehören dazu. Die Liste kann sehr lang werden!

Und welche Gegenmaßnahmen haben die Mitarbeiter u.U. schon getroffen?

  • Die Pläne liegen auf die USB-Stick in der Schreibtischschublade, damit sie gut transportierbar sind.
  • Alles liegt in der Dropbox, damit man von überall darauf zugreifen kann.
  • Die Informationen lagern in den Postfächern der Mitarbeiter.

Allein in diesem Umfeld Klarheit zu schaffen, kann der Geschäftsleitung die Augen öffnen oder sogar zu einer Panikattacke führen – „… da liegen unsere Geschäftsgeheimnisse?!“

Klarheit heißt hier im einfachsten Fall, sich mit den Beteiligten (Geschäftsleitung, Personal, Buchhaltung, Fachbereich) abzustimmen und in einer Excel-Tabelle die Daten und ihren gewünschten bzw. realen Ablageort aufzulisten.

Anforderungen

Ebenso benötigen wir eine Aussage zum Wert der Informationen. Dieser ergibt sich oft aus den Anforderungen Dritter (Gesetzgeber, Kunde, Dienstleister) und ggfs. der Vereinbarungen und Strafen.

  • DSGVO
  • Urheberrecht / Lizenzen
  • Gesetz zum Schutz von Geschäftsgeheimnissen
  • Kauf-/Dienstleistungsverträge

Somit haben wir im ersten Schritt folgende Ziele erreicht:

  1. Ich kenne meine Unternehmenswerte.
  2. Ich weiß, was sie mir wert sind.
  3. Ich kenne die Anforderungen durch Dritte.

Wann müssen wir etwas tun?

Da blinder Aktionismus genauso schädlich ist wie eine Vogel-Strauß-Politik, müssen wir nun die Frage beantworten: „Wann muss ich etwas tun?“. Hier gilt es, gemäß dem Risiko-Appetits des Unternehmens, mit einer standardisierten und reproduzierbarem Verfahren die Bereiche zu identifizieren, in denen nicht tragbare Risiken lauern.

Eine Risikoanalyse ist nun das probate Mittel, zu untersuchen, welche Gefährdungen auf die Informationen wirken und ob eine Schwachstelle vorhanden ist und damit ein Risiko besteht. Mit Hilfe von Eintrittswahrscheinlichkeit und Schadenshöhe erhält man einen Risiko-Score, der die Notwendigkeit von Maßnahmen greifbar macht. Je höher der Score, je röter der Bereich der Risiko-Matrix, in der unser Risiko liegt, umso dringender der Handlungsbedarf.

Daher gilt als

  • DLP ergibt sich als Maßnahme(n) aus der Risikoanalyse.
  • DLP ist kein Tool, sondern ein Bündel von abgestimmten Maßnahmen.

Data Loss Prevention in der Praxis

Die Umsetzung eines Maßnahmenbündels zur Vermeidung von einem Datenabfluss tangiert nahezu alle Bereiche in einem Unternehmen. Daher muss auf den unterschiedlichen Organisationsebenen (Eigentümer, Geschäftsleitung, Führungskräfte und Mitarbeiter) frühzeitig ein Verständnis für die Notwendigkeit erreicht werden, die wichtigen Informationen des Unternehmens zu schützen. Denn die Maßnahmen werden liebgewonnene interne Arbeitsweisen verändern. Ebenso ändert sich der externe Informationsaustausch mit den Kunden und Dienstleistern, auch hier werden einige Informationen nicht mehr schnell per Mail verschickt, sondern z.B. über sichere Datenräume ausgetauscht werden müssen.

Notwendige Regelungen

Die Anforderungen an Data Loss Prevention finden standardmäßig in folgenden Regelungen seinen Niederschlag:

  • Richtlinie zur Klassifizierung von Informationen
  • Vorgaben zur Kennzeichnung von Informationen
  • Richtlinie zur Ablage von Informationen
  • Schulung zum Umgang mit Informationen / Sensibilisierung
  • Richtlinie zu Kontrollen / Audits

Damit werden die notwendigen formalen Grundlagen gelegt und bei den Mitarbeitern ein Bewusstsein für die Thematik geschaffen. Die Mitarbeiter sind wie bei fast allen Informationssicherheitsthemen der Dreh- und Angelpunkt. Sie müssen verstehen, warum Informationen geschützt werden und sie müssen es jeden Tag aufs Neue tun.

Das Tool

Die Unterstützung durch ein Tool ist eine der immer wieder aufkommenden Fragen oder schon fast eine Bedrohung für die Data Loss Prevention. Denn grundsätzlich gilt: „A fool with a tool is still a fool“ (Martin Fowler). Ein Tool kommt zum Einsatz, wenn

  1. Die Prozesse zum DLP eingeführt und optimiert sind.
  2. Der Wert der Informationen ist notwendig macht.

Ein Tool kann die Mitarbeiter bei der Data Loss Prevention unterstützen und helfen, Flüchtigkeitsfehler zu vermeiden, es kann nicht die Mitarbeiter disziplinieren und zur DLP zwingen.

Grenzen der Data Loss Prevention

Der Einsatz von DLP findet seine Grenzen im

Beschäftigtendatenschutz

  • Beschäftigtendatenschutz
  • Mitarbeiterüberwachung

Aufwand

  • Meistens sind Software-Agenten auf den Server und Clients nötig.
  • Software und Regelwerk müssen gepflegt werden.
  • Ein Team muss zeitnah auf Meldungen reagieren können.

Einschränkungen

  • Nur was DLP (er)kennt, kann es schützen.
  • Der Berechtigte (durchaus ein Externer) muss die zulässig übermittelten Information lesen können.

Data Loss Prevention in zwei Sätzen

Alles im allen ist der unautorisierte Abfluss von Daten (Data Loss) eine große Bedrohung für jedes Unternehmen, aber der Schutz davor bedarf genauer Planung und eine Umsetzung mit Augenmaß. Die Mitarbeiter und ihre Arbeitsmotivation sind ein wertvolles Gut für jedes Unternehmen, dass man nicht durch schwer verstehbare Regelungen und problematische Tools gefährden sollte.

Falls Sie in diesem komplexen Themenumfeld Beratung in IT-Sicherheit oder IT-Forensik benötigen, wenden Sie sich gern direkt an unseren Vertrieb unter sales@intersoft-consulting.de.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit Beratung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.