Was versteht man unter Data Loss Prevention?

Data Loss Prevention (DLP) ist ein Sammelbegriff für Technologien, interne Regelungen und Richtlinien, die Unternehmen vor solchen Angriffen durch Insider bewahren.

Industriespionage, Datenraub und der Diebstahl von geheimen Dokumenten erfordern ausgeklügelte Schutz- und Sicherheitsmechanismen, die ein Unternehmen vor der unerlaubten Weitergabe sensibler Daten durch seine eigenen Mitarbeiter schützt.

Data Loss Prevention & Data Leakage Prevention – Abgrenzung der Begrifflichkeiten

Gerne wird Data Leakage Prevention mit Data Loss Prevention synonym verwendet. Einige Experten und viele Fachdiskussionen grenzen die beiden Begriffe allerdings deutlich voneinander ab. Dabei stellen sie fest, dass Data Loss Prevention alle Maßnahmen beschreibt, die einen unerwünschten, schadensverursachenden Datenfluss nach Außen verhindern.

Data Leakage Prevention hingegen hat einen prophylaktischen Charakter: Man vermutet die Weitergabe von Daten, kann dies im Einzelfall vielleicht nicht nachweisen, ergreift aber auf Basis dieses Verdachts bereits entsprechende Maßnahmen.

Warum ist Data Loss Prevention unerlässlich?

Datenraub und Spionage durch die eigenen Mitarbeiter betrifft besonders mittelständische Unternehmen.

Als innovationsführende Kräfte am Markt haben Mitbewerber ein großes Interesse an deren betriebsinternen Daten, Bauplänen, Rechnungen oder Lieferantenlisten.

Aber auch persönliche Daten von Kunden wie Kreditkartennummern, Sozialversicherungsnummern und medizinische Unterlagen geraten ins Visier von Kriminellen.

Dabei ist den Angestellten teilweise gar keine böse Absicht zu unterstellen. Mitarbeiter sind regelmäßig Opfer des sogenannten Social Engineering. Kriminelle manipulieren nichts ahnende Opfer, wodurch sie ohne weitere Bedenken sensible Daten herausgeben oder Lücken im Sicherheitssystem offenbaren.

Während die einen Unternehmen auf die Geheimhaltung ihrer neuartigen Produkte, Verfahrensweisen und Abläufe angewiesen sind, um weiterhin am Markt bestehen zu können, müssen insbesondere Dienstleistungsunternehmen sicherstellen, das Vertrauen ihrer Kunden nicht zu missbrauchen. Ein Datenschutz-Skandal erschüttert das Vertrauen der Kunden in ihren Grundfesten und zieht schwere Imageschäden nach sich.

Mangelnde IT-Sicherheit und Investitionen in den Ausbau der digitalen Infrastruktur, aber auch fehlende physische Schranken, die den Raub von realen Dokumenten und Unterlagen verhindern, sind eine förmliche Einladung zur illegalen Weitergabe und Monetarisierung sensibler Daten.

Maßnahmen zur Data Loss Prevention

Aus technischer Sicht ist es möglich, auf alle erdenklichen Angriffe und Szenarien mit entsprechenden Schutzmechanismen zu reagieren. Ein hauseigener Wachschutz verhindert beispielsweise durch Kontrollen beim Verlassen des Betriebes den Diebstahl von Fotos, Datenträgern und realen Dokumenten, indem er alle Mitarbeiter durchsucht. Im IT-Bereich differenziert man zwischen drei verschiedenen Kanälen, die überprüft werden.

Data in Use (DiU)

Ein Programm überwacht die Daten, auf die der Benutzer in diesem Moment zugreift. Üblicherweise läuft eine solche Software auf dem Rechner des Nutzers mit. Zuvor festgelegte Aktionen wie Screenshots, das Kopieren von Texten oder Dateien werden je nach Programmierung an ein zentrales DLP System gemeldet.

Data in Motion (DiM)

Data in Motion überwacht Uploads und Downloads jeglicher Art. Die Software kontrolliert je nach Wunsch alle E-Mails, Datentransfers und sonstigen Aktionen, die über das Netzwerk laufen. Das Programm meldet entsprechende Verstöße.

Data at Rest (DaR)

Diese Variante der Data Loss Prevention überwacht abgelegte Daten. Legt ein Benutzer Daten mit sensiblem Inhalt beispielsweise in einem öffentlichen Ordner ab, informiert das System die zuständigen Stellen.

Konzepte zur Data Loss Prevention

Effektive Systeme zur Data Loss Prevention bestehen nicht nur aus einer einzelnen Lösung, sondern sind immer an ein Gesamtkonzept gebunden.

Die meisten Systeme unterstützen verschiedene Methoden zum Scan der Daten, um alle Sicherheitsrisiken zu minimieren.

Listen, die Dokumente mit vordefinierten Zeichenketten vergleichen, sind eine einfache, jedoch effektive Methode, um Datenraub aufzudecken.

Reguläre Ausdrücke (das sind Zeichenfolgen, die einem bestimmten Muster folgen) helfen dabei, den Diebstahl von Sozialversicherungs- und Kreditkartennummern zu unterbinden.

Programmierer sind in der Lage dem Programm anhand von Positiv- und Negativbeispielen beizubringen, welche Dokumente vorliegen und wie diese zu bewerten sind.

Es ist sogar möglich, Bilder und Grafiken nach eingefügten Texten zu durchsuchen. Die Software erkennt eingebundene Textfragmente und meldet diesen Verstoß dem DLP-System.

DLP-System greifen auf Datenbanken zurück, die es ihnen ermöglichen, das jeweilige Dokument zu klassifizieren und entsprechend zu handeln.

Rechtliche Aspekte der Data Loss Prevention

Technisch ist zwar so gut wie jeder Spionageversuch abwendbar, doch ergeben sich rechtliche Erwägungen, die es vor Installation eines DLP-Systems zu überdenken gilt. Data Loss Prevention ist per Definition eine Art der Überwachung. In Bezug auf den Arbeitnehmerschutz und Persönlichkeitsrechte der einzelnen Mitarbeiter muss ein Mittelweg gefunden werden, der zum einen rechtskonform ist, zum anderen aber alle Sicherheitslücken im Unternehmen schließt.

Data Loss Prevention mit all seinen Facetten und Konzepten ist unerlässlich, um sensible Daten vor Angriffen von innen zu schützen. Der Mensch ist das schwächste Glied in der IT-Sicherheit. Daher bietet es sich zusätzlich an, Mitarbeiter gegen Social Engineering zu schulen, um sie vor Manipulation zu schützen.