Ein brisantes Thema und immer wieder in aller Munde: Der Skandal um den Verlust sensibler Daten. Schon das Verschwinden eines einzigen Datenträgers kann in Unternehmen zu enormen wirtschaftlichen Schäden und Imageeinbußen führen.
(firmenpresse) - Unter dem Begriff Data Leakage Prevention (DLP) führen mehrere Softwarehersteller Lösungen in ihrem Portfolio, die solche Szenarien vermeiden sollen. Das Problem lässt sich aber nicht allein durch technische Maßnahmen lösen. Auch ein mitgehörtes Gespräch im Zug stellt einen nicht minder gefährlichen unbeabsichtigten Informationsfluss
dar. Information Leakage Prevention (ILP) stellt sich dieser Herausforderung. Die sensible Information wird dabei ins Zentrum einer ganzheitlichen Betrachtung gestellt, wobei der Schutz mit technischen Mitteln (DLP) dabei eine zentrale Rolle spielt. Eine umfassende ILP-Lösung muss ein durchgängiger Prozess im Unternehmen sein, der sich vom Management über die Mitarbeiter zieht, und von ausgereifter und gezielt eingesetzter Technik unterstützt wird. Idealerweise wird Information Leakage Prevention in ein bereits bestehendes Managementsystem für Informationssicherheit (ISMS) integriert. Ein ISMS nach ISO 27001 beinhaltet viele Instrumente und Methoden,
die auch für eine ILP-Lösung genutzt werden können, und bietet somit eine gute Basis. Als Ausgangspunkt dient eine Daten- bzw. Informationsklassifizierung. Sie rückt die Informationen eines Unternehmens ins Zentrum der Überlegungen und sollte folgende Fragen beantworten:
- Welche Informationen in Ihrem Unternehmen sind besonders sensibel und müssen gesondert geschützt werden?
- Wo werden diese Informationen gespeichert, wohin gesendet und wer nutzt sie wie?
- Welche Folgen kann der Verlust der Vertraulichkeit dieser Informationen haben?
Erst wenn diese Fragen beantwortet sind und klar ist, welche Daten wie geschützt werden müssen, können angemessene Maßnahmen zum Schutz der Daten eingeleitet werden. Es muss also sorgfältig untersucht werden, was
auf welche Weise zu schützen ist, und welche Lösungen möglicherweise schon im Einsatz, oder kostengünstig zu realisieren sind. Dabei ergeben sich neue Fragen: - Welche Normen, Gesetze und Richtlinien muss Ihr Unternehmen erfüllen?
- Wie hoch wäre der Schaden beim Verlust von sensiblen Daten?
- Welche Risiken drohen dem Unternehmen von Innen und Außen?
Sind sowohl kritische Informationen als auch Maßnahmen zu ihrem Schutz gefunden, muss die Umsetzung in den Mittelpunkt der Überlegung rücken. Selbst die besten Prozesse und geschultesten Mitarbeiter verhindern nicht das Ausbrechen sensibler Daten aus dem Unternehmen. Ein unachtsam abgestelltes Notebook, eine verlorene CD, eine fehlgeleitete E-Mail – hier müssen technische Maßnahmen unterstützen. Diese werden durch die genannten DLP Produkte realisiert, die hierzu teils als Gateway, teils als lokal laufenden Applikationen eingesetzt werden und somit ein breites Spektrum an potenziellen Schwachstellen abdecken. Basis für die Technik stellt ein DLP-Regelwerk dar. Die sorgfältige Vorbereitung dieser Regeln stellt das Fundament für ein gut funktionierendes und sinnvolles DLP. Als ein integraler Bestandteil eines ISMS fungiert der Mitarbeiter. Nur wenn er die Implikationen seiner Handlungen verstanden hat, kann das ISMS und auch ILP seine Stärken ausspielen. Auch hier kann die Technik wertvolle Arbeit leisten und den Mitarbeiter so unterstützen, dass das Tagesgeschäft nicht gestört wird. Bei der Auswahl eines DLP-Produkts ist es also hilfreich, sich folgende Fragen zu stellen:
- Ist die Software modular, das heißt können Sie Ihre DLP-Lösung nach und nach aufbauen?
- Was benötigen Sie unbedingt, was ist eher optional zu sehen?
- Werden Ihre Geschäftsprozesse unterstützt oder müssen Sie diese an die Technik anpassen?
- Wie und wann werden Ihre Benutzer eingebunden?
- Gibt es vielleicht Software vom Hersteller Ihrer jetzigen Endpoint Security-Lösung?
Die Umsetzung dient dann als letzter Integrationsschritt der DLP-Lösung in das ISMS, stellt jedoch nicht das Ende des DLP-Projekts dar. Es muss immer wieder auf neue Anforderungen und Bedrohungen angepasst werden, um einen optimalen Schutz zu gewährleisten. Und natürlich ist ein lückenloses Auditing, integriert ins ISMS, als Grundvoraussetzung zu sehen. Hundertprozentigen Schutz bietet jedoch auch die aus technischer und organisatorischer Sicht beste Lösung nicht. Daher ist es sinnvoll, sich schon vor dem Fall der Fälle die Frage des Incident Management und Response zu stellen: Wie reagiere ich auf einen Datenskandal? Dabei kann das Unternehmen eher passiv oder aktiv mit der Situation umgehen. Die Vergangenheit hat gezeigt, dass der proaktive Umgang dem Unternehmen auf lange Sicht wesentlich weniger Schaden zufügt. Je nach Unternehmensstandort muss der Datenverlust auch unterschiedlichen Stellen gemeldet werden, beim Verlust von Kundendaten sollte dem Kunden die Möglichkeit zur Reaktion gegeben werden, bevor seine Daten zu Schäden führen können. Da gerade der Imageverlust meist die empfindlichste Strafe für das Unternehmen darstellt, muss man aktiv dagegen vorgehen. Das Fazit: ILP ist kein out-of-the-box- Projekt. Wenn Ihr Unternehmen ein ISMS nach ISO 27001 eingeführt hat, ist damit bereits der Grundstein für eine umfassende ILP-Lösung gesetzt. Sollten Sie bereits ein DLP-System im Einsatz haben, muss es ständig auf neue Anforderungen angepasst werden, um einen optimalen Schutz zu bieten. Was man immer bedenken sollte, Information Leakage Prävention ist mehr als der Einsatz von Software und Hardware zur Verhinderung von Datenverlusten, es ist vielmehr ein ganzheitlicher Ansatz zum Schutz sensibler Informationen.
Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt die Secaron AG die höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftliches sinnvolles Sicherheits-Niveau festzulegen. Das Dienstleistungsangebot umfasst alle Aspekte der IT-Sicherheit von der ersten Gefährdungsanalyse und Konzeption bis zur technischen Umsetzung geeigneter Schutzmaßnahmen. Secaron hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen.
Secaron AG - e.security solutions
Ludwigstraße 45
85399 Hallbergmoos
08 11 95 94-0
www.secaron.de
Secaron AG - e.security solutions
Ludwigstraße 45
85399 Hallbergmoos
08 11 95 94-0
www.secaron.de
Sabine Ziegler