Data Loss Prevention (4/7): Krimineller Datenhandel weitet sich aus
05.09.08
Teil IV: Identity Management greift zu kurz
Das klassische Management der unzähligen Identitäten und Passwortinseln und seiner komplexen, weil heterogenen Lösungsansätze, lässt sich kaum mehr bewerkstelligen. Denn das Risiko interner Datenlecks lässt sich zwar eingrenzen, jedoch kaum präventiv unterbinden. Von oberster Priorität wäre es, jede Datenbewegung zu erfassen, die sich nicht nur innerhalb eines vorher festgelegten rechtskonformen Rahmens abspielt.
Dazu wäre es notwendig, den Bereich der rechtlichen und organisatorischen Grauzonen systematisch zu erfassen, ohne sich dabei dem Vorwurf der Datenspionage seitens der Mitarbeiter bzw. der betrieblichen Interessenvertretung auszusetzen. Neudeutsch reihen IT-Experten entsprechende Lösungsansätze unter dem Begriff Data Loss Prevention (DLP) ein – also Lösungen zur Verhinderung von internem Datendiebstahl.
Der Reifegrad entsprechender Lösungskonzepte seitens der Sicherheitshersteller befindet sich jedoch gerade erst in der Phase der Entstehung. Getrieben wird die Entwicklung vor allem vom Marketing. Je nach Risikograd und Empfänger könnten Unternehmen beispielsweise Zugriffs-, Weiterleitungs- oder Änderungsrechte auf vertrauliche Datenbestände einrichten.
Auch könnten sie risikobehaftete Inhalte automatisch verschlüsseln oder zensieren lassen, wenn sie übertragen werden. Die zur Hilfe gerufene IT-Branche arbeitet derzeit eilfertig an so genannten „Privacy Enhancing Technologies“. Darunter versteht man Techniken der Datenverarbeitung, die automatisch Schutzmodule integriert haben.
Damit werden die Rechte des Zugriffs auf Datenbestände geregelt; die Datenverarbeitung wird datenschutzkonform gesteuert und kontrolliert. Im Prinzip ist die Entwicklung zu begrüßen, jedoch gibt es noch kein Allheilmittel gegen Datenklau, zumal viele Vorgänge auch auf der Leichtfertigkeit oder Arglosigkeit basieren.
Unternehmen sollten sich also vor allzu eifrigen „Trittbrettfahrern“ schützen, die mit unseriösen Versprechungen einen absoluten „Rundumschutz“ gegen Innentäter suggerieren. Vor der Auswahl eines Produkts im Rahmen eines Stärken-Schwächen-Profils gilt es deshalb grundsätzliche Erwägungen voran zu stellen. Denn das Lösungsportfolio liegt definitiv außerhalb des üblichen von Standardlösungen abgesteckten Rahmens.
Lösungsportfolio liegt außerhalb des Üblichen
Vor der Auswahl eines Produkts im Rahmen eines Stärken-Schwächen-Profils gilt es, ohnehin grundsätzliche Erwägungen voran zu stellen. Denn die Anforderungen an ein DLP-System lassen sich keineswegs auf einen Schlag in der IT abbilden. Die Bestandsaufnahme der schützenswerten Güter sollte zunächst einen Überblick über die im Unternehmen vorhandenen vertraulichen Daten und die notwendigen Richtlinien beinhalten, um den Zugriff auf relevante Datenbestände kontrollieren und schützen zu können.
Dazu gehört eine genaue Erfassung aller Kommunikationsstränge und –inseln. Dies beinhaltet nicht nur die Organisation selbst als unmittelbar schützenswertes Gut, sondern auch die Verknüpfung der Prozesse mit externen Partnern und Dienstleistern, die an der Wertschöpfungskette beteiligt sind. Ergänzend dazu fließen rechtliche und sonstige Kriterien in die Bewertung ein, etwa Compliance-Vorgaben, Richtlinien aus Urheberschutzgesetzen, sowie deren angemessene und rechtsverbindliche Durchführung.
Danach folgt eine Prioritätenliste der entsprechend relevanten Handlungsfelder bzw. Organisationsbereiche. Technische Lösungen, die sich bislang im unternehmerischen Alltag bewährt haben, sollten nicht vorschnell ersetzt werden. Um Datenlecks möglichst schnell zu schließen, sollten analog zum klassischen Risikomanagement zuerst jene Bereiche adressiert sein, die das größte Gefahrenpotenzial darstellen.
Verstöße frühzeitig aufdecken, geht das überhaupt?
Hernach folgt der nächste Schritt, entsprechende Anforderungen mit der Leistungsfähigkeit von DLP-Produkten abzugleichen, oder genauer ausgedrückt, dem dahinter zugrunde liegenden Konzept. Das Schutzkonzept sollte eine effektive und umfassende Abdeckung der Bestände ermöglichen und in der Lage sein, intendierte Verstöße gegen Richtlinien effektiv, umfassend und vor allem zeitnah aufzudecken.
Dies erfordert ein erweitertes Spektrum an Funktionalitäten, wie das Monitoring multipler Merkmale bis hin zur Prävention, etwa eine inhaltsbasierte Analyse aller wichtigen Dokumentenformate und Datenanlagentypen. Auch das selektive Blocken und/oder das Isolieren von Nachrichten einschließlich einer automatischen Verschlüsselung analog der Unternehmensrichtlinien wären vom Unternehmen optional zu prüfen.
Eine wirksame Lösung sollte sich flexibel an die häufig wechselnden Anforderungen im Unternehmen anpassen. Denn der Schutz gegen Innentäter erfordert eine Abwehr in ständiger Rochade, um für den Angreifer nicht kalkulierbar zu sein. Um die Herausforderung einer effektiven Kommunikation bei gleichzeitiger Kontrolle der vertraulichen Daten zu meistern, bedarf es flankierender Richtlinien und Prozesse, um sämtliche Inhalte der Kommunikation nicht nur formal und plakativ zu überwachen.
Vielschichtige und weltweit aufgestellte Organisationen zielen auf eine DLP-Lösung, die sowohl die Nahstellen in der E-Mail-Kommunikation als auch im webbasierten Datentransfer abdecken kann. Diese müsste auch das kontinuierlich ansteigende Nachrichtenvolumen und die zukünftigen Anforderungen an Bandbreiten managen. Allerdings gibt es hier keine „Lösungen von der Stange“ mit hoher Skalierbarkeit und Leistung.
Im dritten Teil ging der Autor der Frage nach: Wie groß sind die Datenlöcher in den Unternehmen?
IT-Wissen Blogs
16.09.08, IT-Sicherheit
12.09.08, IT-Sicherheit
E-Book der Woche
Interessante Artikel
