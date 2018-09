Ein Klick, und schon sind Daten weg: Der Empfänger kann dann damit tun und lassen, was er will. Unternehmen, die sensible Daten schützen müssen, unterbinden unerwünschten Datenabfluss mit Software für Data Loss Prevention. Deren mächtigstes Tool ist die Inhaltsprüfung, die die DLP-Lösung Endpoint Protector für Daten in Bewegung und unstrukturierte ruhende Daten nutzt.

Daten sind ein begehrtes Gut und anfällig für Verlust und Diebstahl. Diese Anfälligkeit nimmt rapide zu. Denn je grösser die Datenbestände werden, je mehr Mitarbeiter mit sensiblen Daten zu tun haben und je mehr Kommunikationskanäle zur Verfügung stehen, desto höher ist das Risiko, dass es zu unerwünschtem Datenabfluss kommt:

Ein frustriert Mitarbeiter leitet E-Mails mit sensiblen Informationen wie Kalkulationsunterlagen oder Kundendaten an seine Freemail-Adresse weiter.

Ein Praktikant verkennt die Bedeutung von Informationen und leitet geistiges Eigentum per Browser-Upload an einen Wettbewerber weiter.

Bewerbungen, die per E-Mail eingehen, werden intern weitergeleitet und damit Mitarbeitern ausserhalb von HR zur Kenntnis gebracht.

Aus Unachtsamkeit oder Gedankenlosigkeit werden Daten an einen Dienstleister geschickt, der nicht befugt ist, sie einzusehen. So deckte Ende 2017 ein Datenverlust bei der Schweizer Eos-Tochter auf, dass die Inkasso-Firma von den Auftraggebern nicht nur Angaben zur Rechnungsstellung, sondern Informationen bis hin zu kompletten Patientenakten erhalten hat.

Neben dem Schutz von Daten und Systemen vor Angriffen von aussen gewinnt in Unternehmen und Organisationen der Schutz vor Innentätern an Gewicht. Im Mittelpunkt stehen dabei Daten aus den folgenden drei Bereichen:

1. Geistiges Eigentum

Zum geistigen Eigentum von Unternehmen gehört spezielles Wissen im Zusammenhang mit der Herstellung von Produkten oder der Erbringung von Dienstleistungen und deren Vertrieb. Es ermöglicht dem Unternehmen einen Wettbewerbsvorsprung und ist bares Geld wert. Der Abfluss von Know-how durch gezielten Diebstahl, Versehen oder verärgerte Mitarbeiter kann die Existenzgrundlage des Unternehmens vernichten.

2. Informationen zu kritischen Infrastrukturen

Unternehmen in Sektoren wie Energie, Finanzen, Gesundheit, Verkehr verarbeiten neben Personendaten auch solche, die die Bereitstellung und Absicherung ihrer Dienstleistungen betreffen. Geraten diese Daten durch Verlust oder Diebstahl in die falschen Hände, ist die Funktionsfähigkeit der Versorgungssysteme bedroht. Dass interne sicherheitsrelevante Informationen des Londoner Flughafens Heathrow auf einem gefundenen USB-Stick der Presse übergeben wurde und nicht im Darknet auftauchten, war ein glücklicher Zufall.

3. Daten, deren Verarbeitung gesetzlichen Regelungen unterliegt

Die Schweiz als Exportnation und weltweiter Anbieter von Dienstleistungen ist wirtschaftlich mit der Europäischen Union verflochten. Schweizer Unternehmen müssen daher für den Handel mit den Nachbarländern seit einigen Monaten die DSGVO/GDPR, die den Umgang mit den personenbezogenen Daten von Bürgern in der EU regelt, verpflichtend einhalten. Zudem müssen nationale Datenschutz-Gesetze und international geltende Standards wie PCI-DSS für die Abwicklung von Kreditkarten-Transaktionen umgesetzt werden.

Inhaltskontrolle stoppt unerwünschten Datenabfluss

Für den Schutz der oben genannten digitalen Informationen sind Lösungen für Data Loss Prevention nicht mehr wegzudenken. Sie setzen die Richtlinien, die im Unternehmen gelten, technisch durch und machen sie für alle Mitarbeiter gleichermassen verbindlich. Inhaltskontrolle verhindert in DLP-Produkten unerwünschten Datenabfluss über browserbasierte Anwendungen, daneben reguliert der Funktionsbereich Device Control den Datenaustausch mit Wechseldatenträgern.

Unsere Lösung Endpoint Protector prüft mit dem Modul „Content Aware Protection“ Daten in Bewegung anhand von Black- und White-Regeln auf sensible Inhalte und blockiert gegebenenfalls die Übermittlung. Vordefinierte Erkennungs-Schemata wie Adressdaten und Telefonnummern, IBAN, Kreditkarten- und Sozialversicherungsnummern, Pass- und Personalausweisnummern vereinfachen die Einrichtung der Policies. Sie lassen sich zudem für die Umsetzung von Richtlinien aus gesetzlichen Vorgaben und internationalen Standards wie GDPR, HIPAA oder PCI-DSS in schnell einzurichtende Pakete zusammenfassen.

Zudem können Unternehmen Dateien auf unternehmensspezifische Inhalte prüfen. Dafür lassen sich, beispielsweise zum Schutz des geistigen Eigentums oder kritischer Infrastrukturen, individuelle Wörterbücher mit Schlüsselbegriffen und Regulären Ausdrücken zur Analyse von Zeichenketten anlegen. Damit in Unternehmen mit gemischten Rechnern keine Bereiche entstehen, in denen Richtlinien nicht umgesetzt werden können, beispielsweise auf macOS- und Linux-Rechnern, stellt Endpoint Protector für alle Betriebssysteme den identischen Funktionsumfang zur Verfügung.

Risiko lokale Datenhaltung

Ein erhebliches, oft nicht wahrgenommenes Risiko stellen lokal gespeicherte unstrukturierte Daten dar. Auf den Desktop-Rechnern werden Exporte aus den zentralen Systemen wie ERP oder CRM gespeichert, darunter Kundenlisten, Vorgänge oder Kontoinformationen. Auch eingehende Daten, zum Beispiel Bewerbungen oder Angaben von Partnern und Dienstleistern, finden sich dort, zudem Firmengeheimnisse wie Verträge, Patente, Rezepte und Verfahren. Im Rahmen von Schatten-IT können diese Daten leicht und unbemerkt vom Unternehmen ausser Haus, beispielsweise in private Cloud-Speicher wie Dropbox, OneDrive, iCloud, Google Drive, gelangen. Firmen, die lokale Speicherorte für personenbezogene Daten außer Acht lassen, können Auskunfts- und Löschpflichten aus DSGVO/ GDPR nicht korrekt umsetzen und machen sich dadurch strafbar.

Die Verfahren und Erkennungs-Schemata, die Endpoint Protector für die Inhaltskontrolle einsetzt, verwendet die Lösung im Modul „eDiscovery“ zudem für die Suche nach unstrukturierten Daten auf den Mitarbeiter-Desktops. Über die lokale Suche werden auch Informationen gefunden, die in privaten Cloud-Speichern liegen. Die Daten können dann, je nach Anforderung, verschlüsselt oder gelöscht werden.

Fazit

Eine klassische Berechtigungsstruktur regelt den Zugriff auf Laufwerke, Ordner und Dateien. Das grenzt das Risiko von Datenverlusten ein. Aber erst die Prüfung von Dateiinhalten durch eine DLP-Lösung, angewendet sowohl auf Daten in Bewegung als auch auf ruhende Daten, gibt Unternehmen die Kontrolle über die sensiblen Informationen und die Sicherheit, dass unerwünschter Datenabfluss gestoppt wird.

