Die Datenpannen nehmen kein Ende: Kaum eine Woche vergeht, in der nicht ein neuer Fall bekannt wird. Eine Data-Loss-Prevention-Lösung verhindert den Verlust sensibler Informationen. Die Basistechnologie dafür liefert ein „digitaler Fingerabdruck“ der Daten. Damit wird kontrolliert, welche vertraulichen Informationen das Unternehmen verlassen dürfen. Wie konnte das passieren? Warum konnte das nicht verhindert werden? Mit diesen Fragen wird jeder Sicherheitsverantwortliche konfrontiert, wenn sensible Daten das Unternehmen unerlaubt verlassen haben. Lange Zeit glaubten die Security-Verantwortlichen, es genüge, sich mit Firewalls und Virenschutz-Software vor Angriffen von außen zu schützen. Das ist im Großen und Ganzen geschehen. Nur: Die weitaus größeren Gefahren lauern im Inneren.

Die mangelhafte Sicherheit vertraulicher Daten ist ein massives Problem. Belege dafür liefert die Vielzahl von Berichten über Datenpannen bei Behörden und Unternehmen. Immer wieder tauchen USB-Sticks oder Festplatten mit unverschlüsselten Kundendaten auf. Mitarbeiter können ungehindert sensible Informationen auf beliebige mobile Speichermedien kopieren. Allein aus Unachtsamkeit geschehen tagtäglich Datenpannen, weil vertrauliche Dokumente mit zu einfachen Passwörtern geschützt sind. Schon oft haben vertrauliche Geschäftsunterlagen das Unternehmen ungewollt verlassen, wenn etwa Outlook oder Notes automatisch die E‑Mail-Adresse eines Empfängers ergänzt und die Mitarbeiter sie nicht überprüft haben. Datenpannen aus Unachtsamkeit sind das eine Problem, noch viel gravierender sind allerdings die Fälle von Datendiebstahl. Gerade in Zeiten der Wirtschaftskrise haben Datenklau und Wirtschaftsspionage Hochkonjunktur.

Herausforderung Datenlecks

Verhindern lassen sich Datenpannen mit einer Lösung für Data Loss Prevention (DLP). Vor der Einführung einer DLP-Lösung muss ein Unternehmen zunächst einmal die vorhandenen Daten ermitteln und klassifizieren. Dabei wird entschieden, welche Informationen allgemein zugänglich, welche vertraulich und welche streng geheim sind. Ergänzt wird die Datenklassifikation um eine Dokumentation der Geschäftsprozesse, in denen sensible Daten verwendet werden. Data Loss Prevention besteht aus drei Schritten:

  • Im ersten Schritt wird festgestellt, wo sensible Daten im Unternehmen einem Risiko ausgesetzt sind.
  • Im zweiten Schritt wird ermittelt, wie diese vertraulichen Daten das Unternehmen verlassen.
  • Im dritten Schritt – und das ist das zentrale Ziel von DLP – geht es darum, eine fahrlässige Weitergabe und den Diebstahl unternehmenskritischer Daten zu verhindern. Das gilt für alle Kommunikationskanäle. Bei der Data Security Suite, der DLP-Lösung von Websense, kommt die PreciseID-Technologie zum Einsatz. PreciseID liefert die Basistechnologie für „digitale Fingerabdrücke“; d. h., für alle digital gespeicherten vertraulichen Daten wird eine eindeutige Kennung erzeugt. Dabei handelt es sich um die mathematische Darstellung von Zeichen, Wörtern, Sätzen oder Datenfeldern eines Dokuments, einer Nachricht oder einer Datenbank. Anwenden lässt sich die Fingerabdrucktechnologie auf strukturierte, aber auch auf unstrukturierte Informationen wie betriebswirtschaftliche Kennzahlen, Quellcode, Businesspläne und Produktdesigns. Die Technologie nutzt eine Kombination mehrerer patentierter Verfahren. Dazu gehört etwa ein Vergleich mit Stich- oder Schlüsselwörtern. Zur eindeutigen Markierung nutzt die Technologie beispielsweise auch Angaben wie Ausweis‑, Kreditkarten- oder Personalnummern.

Der Fingerabdruck wird jedoch nicht über das gesamte Dokument berechnet, sondern nur über charakteristische Fragmente; meist genügen 30 bis 50 Zeichen eines strukturierten Datensatzes oder eines unstrukturierten Textes. Die Technologie ist in der Lage, die Fragmente mit der größten inhaltlichen Relevanz herauszufinden und nur über die eine ID, also eine eindeutige Kennung, zu berechnen. Mit dieser ID soll gleichzeitig verhindert werden, dass bei einem Datenexport Teile von Dateien oder Tabellen per Copy & Paste unbefugt weitergegeben werden. Die Data Security Suite speichert die „digitalen Fingerabdrücke“ aller sensiblen Dokumente in einer eigenen zentralen Datenbank. Sie dient als Referenz für die Überwachung aller Lese- und Schreibvorgänge, die mit den vertraulichen Daten vorgenommen werden.

Content und Kontext

Zusätzlich zum „digitalen Fingerabdruck“ muss definiert werden, welcher Mitarbeiter im Rahmen welcher konkreten Geschäftsprozesse die geschützten Daten benutzen darf. Vervollständigt werden die Sicherheitsregeln durch die Festlegung, wohin und auf welchem Weg sensitive Daten – bei Bedarf zusätzlich verschlüsselt – sicher versandt werden dürfen.

Mit Data Loss Prevention werden vertrauliche Daten lokalisiert, Datenbewegungen überwacht und Datenpannen oder -missbrauch verhindert. (Quelle: Websense)

Mithilfe der „digitalen Fingerabdrücke“ werden die internen und externen Bewegungen der kategorisierten Daten in Echtzeit kontrolliert, also mit den Einträgen in der zentralen Datenbank verglichen. Dabei wird nach gespeicherten Daten („Data-at-Rest“), bearbeiteten Daten („Data-in-Use“) und in Übertragung befindlichen Daten („Data-in-Motion“) unterschieden. Reports über die Datenbewegungen zeichnen auf, wer die Daten in welchem Kontext verwendet.

Die DLP-Lösung wird dann aktiv, wenn als vertraulich charakterisierte Daten oder Dokumente das Unternehmen – auf welchem Weg auch immer – verlassen sollen. Zunächst berechnet die Lösung die Finger-Prints dieser Daten und Dokumente. Das Ergebnis wird mit den Werten in der ID-Datenbank und den damit verknüpften Sicherheitsregeln verglichen. Wenn kein Regelverstoß vorliegt, können die Daten verschickt werden. Zeigt sich dagegen, dass der Mitarbeiter diese Daten nicht versenden darf, erhält er eine Benachrichtigung, und der Exportvorgang wird gestoppt.

Websense Deutschland GmbH, München
www.websense.com