Was ist Data Loss Prevention (DLP)? [Ausführliche Definition]

Vor dem Hintergrund, dass Big Data zum wichtigsten Paradigma für moderne Unternehmen geworden ist, wurde der Schutz vor Datenverlusten zu einem zentralen Anliegen für Datenwissenschaftler und Sicherheitsexperten.

Was versteht man unter Data Loss Prevention? Data Loss Prevention ist eine Sammlung von Technologien und Richtlinien, die dazu dienen, den Diebstahl, die Beschädigung oder die unbefugte Offenlegung sensibler Informationen außerhalb der IT-Infrastruktur eines Unternehmens zu verhindern.

Was ist “Data Loss”?

Unter dem englischen Begriff “Data Loss”, gleichbedeutend mit Datenverlust, versteht man die Beschädigung, Zerstörung oder Offenlegung von Informationen, so dass diese unlesbar, unbrauchbar oder nicht mehr für den vorgesehenen Zweck geeignet sind.

Diese Definition greift einige der Komplikationen von Datenverlusten auf. In den meisten Fällen ist es schwer, Daten zu “verlieren”, weil Kopien leicht zu erstellen sind und wir mit den richtigen Tools Daten von unseren Computersystemen wiederherstellen können.

Daten können jedoch “verloren” gehen, wenn sie an einem anderen Ort angezeigt oder entfernt werden, von Unbefugten eingesehen oder beschädigt werden. Einige der häufigsten Formen von Datenverlusten sind:

• Externe Bedrohungen (Extrusion): Die einfachste Form des Datenverlusts ist der Versuch eines Außenstehenden, die Kontrolle über die Daten zu übernehmen und sie außerhalb der Systeme eines Unternehmens zu verschieben. Wenn zum Beispiel ein Hacker einen Dump aus einer Unternehmensdatenbank stiehlt, kann die lokale Kopie der Datenbank auf den Servern des Unternehmens verbleiben, obwohl die Hacker ihre Kopie extern erstellt haben. Dies wird immer noch als Datenverlust betrachtet.

• Interne Bedrohungen: Wenn eine Person “innerhalb” eines Unternehmens mit einem Außenstehenden zusammenarbeitet, um Informationen zu stehlen, wird sie fast immer eine Kopie der Daten mitnehmen, ohne sie zu zerstören. Diese Form der Spionage wird als Datenverlust bezeichnet.

• Versehentliche Offenlegung: Manchmal passieren Unfälle. Ein Angestellter hängt versehentlich eine vertrauliche Datei an eine E-Mail an oder verlässt den Arbeitsplatz mit einem Laptop. Auch wenn es sich dabei um ein Versehen handelt, handelt es sich dennoch um eine effektive Form des Datenverlusts, die im Laufe der Zeit zu erheblichen Sicherheits- und Compliance-Problemen führen kann.

• Manipulation oder Zerstörung: Entgegen der landläufigen Meinung sind Daten nicht ewig haltbar. Hardware-Ausfälle sind keine Seltenheit, ebenso wenig wie Ausfälle, die auf falsche Automatisierung oder falsch konfigurierte Software zurückzuführen sind. In großen Cloud-Systemen ohne DLP-Maßnahmen ist es relativ einfach, Daten zu beschädigen, zu manipulieren oder zu zerstören, einfach als Teil des täglichen Betriebs.

Data Loss Prevention (DLP) umfasst eine Reihe von Technologien, Verfahren und Richtlinien, die darauf abzielen, Datenverluste aufgrund von versehentlichem Abhandenkommen, Integritätsverlust oder bösartigen Angriffen zu verhindern. Diese DLP-Systeme wirken sich insbesondere auf Dateninfrastrukturen aus, die sensible oder unternehmenskritische Daten enthalten. Zu den sensiblen Daten gehören in diesem Zusammenhang:

• Personenbezogene Daten: Alle Informationen, die zur Identifizierung einer Person außerhalb des Systems verwendet werden können. Zu den personenbezogenen Daten können Telefonnummern, Sozialversicherungsnummern, Adressdaten, Familieninformationen usw. gehören.

• Vertraulich zu behandelnde Gesundheitsinformationen: Alle Informationen, die sich auf die Erbringung medizinischer oder psychologischer Leistungen oder die Bezahlung von Pflegediensten durch einen Anbieter oder Geschäftspartner beziehen.

• Bundessteuerliche Informationen: Alle Informationen, einschließlich personenbezogener Daten, die mit bestimmten Steuerunterlagen, Aufzeichnungen oder Steuererklärungen verbunden sind.

• Controlled Unclassified Data (CUI): Alle Informationen, die von Auftragnehmern generiert werden, die innerhalb der Lieferkette des US-Verteidigungsministeriums (Department of Defense, DoD) in Partnerschaft mit Verteidigungsbehörden arbeiten. Diese Informationen sind zwar nicht als militärisches Geheimnis eingestuft, stellen aber dennoch sensible Regierungsinformationen dar. Um CUI zu schützen, müssen Lieferanten, die Geschäfte mit dem DoD tätigen, die Anforderungen der Stufe 2 der Cybersecurity Maturity Model Certification (CMMC) 2.0 erfüllen.

• Geistiges Eigentum: Das immaterielle Eigentum einer Person oder eines Unternehmens, einschließlich Patente, Marken und Geschäftsgeheimnisse.

Welche Komponenten umfasst eine Data Loss Prevention-Strategie?

Die Notwendigkeit des Schutzes vor Datenverlusten ist angesichts der umfangreichen, Cloud-basierten Big Data-Infrastrukturen offensichtlich geworden. Mit Terabytes an Daten, die zu jeder Zeit übertragen, verarbeitet oder gespeichert werden, steigen die Möglichkeiten für potenzielle Datenverluste exponentiell an.

Daher sollten Unternehmen und andere Organisationen über umfassende DLP-Strategien zur Vermeidung von Datenverlusten verfügen. Diese Strategien sollten Teil eines Data Loss Prevention-Plans sein, der in der Regel ein umfassenderer Data Governance-Plan ist. Die gemeinsame Nutzung von Daten in digitalen Unternehmen birgt Risiken – sowohl in Bezug auf die Sicherheit als auch auf die Einhaltung gesetzlicher Vorgaben.

Einige der Komponenten einer DLP-Strategie sind:

• Schutz der Daten im ruhenden Zustand, bei der Übertragung und im Rahmen der Nutzung: Die Verschlüsselung im Ruhezustand und während der Übertragung ist für einen angemessenen Schutz vor Datenverlust notwendig. Die Verschlüsselung von Informationen, die sich in einer Datenbank befinden oder sich durch vernetzte Systeme bewegen, ist bereits eine gängige Praxis. Dennoch müssen viele Unternehmen auch Maßnahmen ergreifen, um die Daten während der Nutzung durch Hardware-Verschlüsselung oder andere Methoden zu schützen.

• Schutz von Endgeräten: Einige der häufigsten Formen von Datenschutzverletzungen treten auf, wenn ein Endgerät (ein Laptop oder ein Smart Device mit Zugriff auf ein sicheres IT-System) unbeaufsichtigt gelassen wird. Unternehmen sollten diese Geräte zumindest mit einer Multi-Faktor-Authentifizierung (idealerweise einschließlich biometrischer Merkmale) und verschlüsselten Festplatten schützen.

• Integritätskontrollen: Die Integrität sorgt dafür, dass Änderungen an Daten und Interaktionen protokolliert werden, um Datenverluste zu vermeiden. Diese Tools können Eingabeprotokollierung, Ereignis- und Transaktionsaufzeichnung, Logs von Dateiereignissen sowie Dateiversionierung und -wiederherstellung umfassen.

• Intrusion Detection und Intrusion Protection Systeme: Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) ermöglichen es Sicherheitsverantwortlichen und Administratoren, jeden Versuch zu erkennen, in ein System einzudringen und Dateien zu stehlen. In einem weiter gefassten Rahmen kann Security Information and Event Management (SIEM) Intrusion Detection und Intrusion Prevention in einem komplexeren Ausmaß beinhalten.

Welche Best Practices gibt es für eine wirksame Data Loss Prevention?

Die Best Practices für DLP bestehen in vielen Fällen darin, die richtige Technologie einzusetzen, um potenzielle externe und interne Bedrohungen abzudecken und gleichzeitig die Systeme auf Integrität zu überwachen. Für größere Unternehmen kann dies jedoch so komplex werden, dass der Prozess kaum noch durchführbar erscheint.

Es ist wichtig, das Gesamtbild der Dateninfrastruktur Ihres Unternehmens mit einigen dieser Verfahren zu betrachten:

• Einführung von Richtlinien zur Verhinderung von Datenverlusten im Unternehmen: Die Implementierung einer Data Loss Prevention-Richtlinie ist ein nicht verhandelbarer Teil dieses Prozesses. Sie kann in einen umfassenderen Data Governance- oder Sicherheitsplan integriert werden. Sie sollte jedoch klar definieren, welche sensiblen Daten in Ihren Systemen gespeichert sind, wohin diese Daten gelangen und wer mit ihnen interagiert, sowie die notwendigen Kontrollen, um ihre Integrität und Sicherheit zu gewährleisten.

• Integration der Rolle des Chief Information Security Officer (CISO): Üblicherweise ist der Chief Technical Officer (CTO) oder Chief Information Officer (CIO) für die Sicherheit und Integrität der Daten zuständig.

  Vor dem Hintergrund, dass Big Data für das moderne Unternehmen so komplex und dennoch notwendig geworden ist, entstand das Amt des Chief Information Security Officer (CISO). In dieser Funktion können CISOs Ihrem Unternehmen dabei helfen, Richtlinien und Verfahren im gesamten Unternehmen klar im Blick zu behalten.

• Klar definierte Authentifizierungs- und Zugriffskontrollen: Ein wichtiger Teil der Data Loss Prevention besteht darin, sicherzustellen, dass nur autorisierte Personen die Daten einsehen können. Daher sind Authentifizierung und Autorisierung wichtige Komponenten, die nahtlos im gesamten Unternehmen integriert werden sollten, idealerweise über eine zentralisierte Plattform oder eine Single Sign-On (SSO) Lösung.

• Einsatz von SIEM oder anderen Event Monitoring Tools: SIEM-Tools sind für die Überwachung von Dateiaktivitäten unverzichtbar. Mit einer vollständig implementierten SIEM-Lösung können Sie Intrusion Detection und Intrusion Prevention im Kontext Ihres gesamten Datenmanagements betrachten.

Umfassende Sicherheit und Schutz vor Datenverlust mit Kiteworks

Wenn es darum geht, den Austausch sensibler Inhalte zwischen Einzelpersonen und Unternehmen zu regeln und zu schützen, muss DLP sowohl für eingehende als auch für ausgehende Kommunikation integriert werden. Bei ausgehender Kommunikation identifiziert DLP personenbezogene Daten, vertraulich zu behandelnde Gesundheitsinformationen, geistiges Eigentum und andere sensible Informationen. Mithilfe der inhaltsbezogenen Zero-Trust-Richtlinien im Kiteworks Private Content Network können Unternehmen den Versand von Dateien per E-Mail oder die gemeinsame Nutzung oder Übertragung von Dateien über File Sharing und Managed File Transfer (MFT) blockieren. Benachrichtigungen an das Sicherheitspersonal erfolgen in Echtzeit über protokollierte Metadaten, die in Syslogs erfasst und in SIEM-Systeme im SOC eingespeist werden.

Konsolidierte DLP-Daten können in Berichten erstellt werden, um die Einhaltung gesetzlicher Vorgaben zu gewährleisten. Neben Datenschutzbestimmungen wie dem Health Insurance Portability and Accountability Act (HIPAA), der General Data Protection Regulation (GDPR/DSGVO), dem California Consumer Privacy Act (CCPA), dem Personal Information Protection and Electronic Documents Act (PIPEDA) und anderen dienen die von einem DLP-System generierten Datenberichte auch der Einhaltung anderer Vorschriften wie CMMC, FISMA (Federal Information Security Management Act), GLBA (Gramm-Leach-Bliley Act).

Wenn Sie mehr über das Kiteworks Private Content Network und die Integration von DLP in die auf Content-Richtlinien basierenden Zero-Trust-Funktionen erfahren möchten, vereinbaren Sie noch heute einen Termin für eine individuell auf Sie zugeschnittene Demo.

Weitere Informationen

• Report 15 Prognosen für den Umgang mit dem Risiko der Offenlegung sensibler Inhalte im Jahr 2023
• Guide Map CMMC 2.0 Requirements to Your Sensitive Content Communications
• Report Benchmark Your Security and Compliance Risk for Sensitive Content Communications