DLP entschlüsseln – ein Sicherheitskonzept, das Regeln liebt

Warum wird DLP nicht zu einem Sicherheitsstandard?

Das DLP-Konzept setzt voraus, dass ein Datenfluss überwacht und kontrolliert wird

Das Konzept

DLP (Data Loss Prevention) gibt es schon seit mehr als 15 Jahren, aber es hat sich immer noch nicht als bewährte und vertrauenswürdige Technologie etabliert. Warum ist das so?

Es beginnt mit dem Namen – DLP. Ist es „Data Loss Prevention“ oder „Data Loss Protection“? Oder heißt es vielleicht „Leakage“ (Leck) statt „Loss“ (Verlust)? Es ist schwierig, etwas anzuerkennen, das nicht einmal einen festen Namen hat und von jedem anders genannt wird. Doch am Ende bedeutet es immer dasselbe.

Das Konzept von DLP ist außergewöhnlich und ist Grundlage für viele andere Cybersicherheitsmechanismen und -tools. Tatsächlich ist DLP eines der ersten Beispiele für datengesteuerte Sicherheit. Es legt den Schwerpunkt auf Daten und was wirklich damit passiert. Viele Vorschriften zum Datenschutz setzen bestimmte Regeln zur Verwendung bestimmter Daten voraus, etwa DSGVO (personenbezogene Daten), HIPPA (klinische und Gesundheitsdaten) oder PCI-DSS (Karten- und Transaktionsdaten). Die Implementierung eines effektiven DLP-Systems ist daher ein großer Schritt zur Einhaltung der meisten Vorschriften und Anforderungen.

Aber wenn das Konzept so gut und wichtig ist, warum ist DLP dann nicht als Standard etabliert, so wie Security Operations Center (SOC) praktisch zum Maßstab für den Reifegrad der Cybersicherheit eines Unternehmens geworden ist? Werfen wir einen genaueren Blick auf die Funktionsweise, um diese Frage zu beantworten.

Wie es funktioniert

Das DLP-Konzept setzt voraus, dass ein Datenfluss überwacht und kontrolliert wird, um die Informationen zu analysieren und zu verstehen, den „Strömungsverlauf“ zu identifizieren und anschließend zu bestimmen, ob der Datenaustausch erlaubt oder verboten ist.

Ein Beispiel: John ist ein Wirtschaftsanalytiker und Clair eine Personalexpertin. Wenn Clair eine ID und einen Vertrag an ihren Vorgesetzten sendet, weiß ein gutes DLP-System, dass sowohl sie als auch ihr Vorgesetzter mit solchen Daten arbeiten dürfen. Wenn John dasselbe tut, sollte das DLP-System reagieren, da Business-Analysten nicht befugt sind, mit personenbezogenen Daten zu arbeiten und diese auszutauschen. Wenn entweder John oder Clair solche Daten außerhalb des Unternehmens senden, sollte das DLP erneut reagieren. „Reagieren“ kann bedeuten, den Datenfluss zu blockieren, die Daten einer „Überprüfung“ zu unterziehen oder sie sogar zuzulassen, dabei jedoch eine Warnmeldung zu aktivieren. Die Art der Reaktion hängt davon ab, wie das Unternehmen seine Regeln und Prozesse definiert.

Diese Abhängigkeit von Regeln erklärt, warum DLP nicht als Standard angenommen wird: Es funktioniert äußerst effizient in Organisationen, in denen Regeln und Prozesse streng definiert sind. Ist dies nicht der Fall, so können Implementierung und Betrieb zu einem echten Albtraum werden.

Die Komplexität

Zusätzlich stellt sich die Frage, was genau „sensible“ oder „kritische Daten“ eigentlich sind, denn dies wird von jedem Unternehmen unterschiedlich definiert. Diese Unklarheit lässt sich u. a. durch die Nutzung der in den Firmen vorhandenen Datenklassifizierung überwinden. Aber seien wir ehrlich – wie viele Unternehmen verfügen über gute, funktionierende und einheitliche Richtlinien zur Datenklassifizierung?

Und das ist noch nicht alles, denn wir haben die verschiedenen DLP-Implementierungsszenarien noch gar nicht erwähnt – Netzwerk-DLP, Data Center-DLP, Endpoint-DLP und E-Mail-DLP usw.

Unterm Strich lässt sich also sagen, dass die Implementierung eines wirksamen DLP äußerst kompliziert und aufwändig sein kann und nur dann gut funktioniert, wenn das Unternehmen seine Daten unter Kontrolle hat.

Einer der am häufigsten genutzten Wege zum Datenaustausch ist nach wie vor die E-Mail. Mit über 25 Jahren Erfahrung in der Cybersicherheit hat GBS die datengesteuerte Sicherheit für E-Mails auf ein erstklassiges Niveau gebracht. Wir stellen unseren Kunden zahlreiche vordefinierte Muster für die Datenklassifizierung zur Verfügung und geben ihnen die Möglichkeit, Muster zu erstellen, die ihren spezifischen Anforderungen entsprechen. Darüber hinaus stehen unsere Berater jederzeit zur Verfügung, um Kunden bei der Definition ihrer Richtlinien zu unterstützen und das Maximum aus der Implementierung der DLP-Technologie herauszuholen. Erfahren Sie, wie wir Sie mit DLP und anderen E-Mail-Funktionen als Service im Rahmen unserer iQ.Suite aaS unterstützen können. Kontaktieren Sie uns via sales@gbs.com und wir besprechen gemeinsam, wie DLP Ihre Daten schützen kann!