Daten sind heute verfügbarer, übertragbarer und sensibler als je zuvor. Der beste Weg, um Datenlecks zu stoppen, ist die Implementierung einer DLP-Lösung (Data Loss Prevention). DLP erzwingt eine automatisierte Unternehmensrichtlinie, die Daten identifizieren und schützen kann, bevor sie Ihre Organisation verlassen

Viele Tools, einschließlich dedizierter DLP-Tools, E-Mail-Server und allgemeiner Sicherheitslösungen, bieten Richtlinienvorlagen zur Verhinderung von Datenverlust. Mithilfe dieser Vorlagen können Sie auf einfache Weise DLP-Richtlinien erstellen, die definieren, welche Organisationsinhalte durch eine Datenverlustrichtlinie geschützt werden sollen. DLP kann beispielsweise sicherstellen, dass durch die Richtlinie identifizierte Inhalte nicht an externe Personen übertragen, geändert oder gelöscht werden.

In diesem Beitrag erfahren Sie:

  • Was ist eine Data Loss Prevention Policy?
  • Warum es wichtig ist, eine Richtlinie zur Verhinderung von Datenverlust zu haben
  • Best Practices für die Erstellung einer erfolgreichen DLP-Richtlinie
  • Vorlagen zur Verhinderung von Datenverlust für gängige Unternehmenstools:
    • Microsoft Exchange
    • Symantec DLP
    • IBM Endpoint Protection (IBM BigFix)

Was ist eine Data Loss Prevention Policy?

Data Loss Prevention (DLP) schützt die Informationen einer Organisation und verhindert, dass Endbenutzer sensible Daten außerhalb des Netzwerks verlieren. Netzwerkadministratoren verwenden DLP-Tools, um Daten zu verfolgen, die von Endbenutzern freigegeben und abgerufen werden. DLP-Tools können Daten schützen und klassifizieren, während Richtlinien zur Verhinderung von Datenverlust beschreiben, wie Unternehmen diese Tools implementieren sollten.

DLP-Software klassifiziert die vertraulichen und wesentlichen Daten einer Organisation. Die Software isoliert Verstöße gegen Richtlinien, wie sie in einem vordefinierten Richtlinienpaket oder von der Organisation definiert sind. Regulatorische Vorgaben wie PCI-DSS, HIPAA oder DSGVO prägen diese Richtlinien im Allgemeinen. Sobald die Software Verstöße identifiziert, führt DLP eine Korrektur mit Verschlüsselung, Warnungen und anderen Maßnahmen durch, um zu verhindern, dass Endbenutzer die Daten versehentlich oder böswillig preisgeben.

Tools zur Verhinderung von Datenverlust scannen Endgeräteaktivitäten und überwachen Daten in der Cloud, um ruhende, verwendete und bewegte Daten zu schützen. Sie filtern auch Datenströme in organisatorischen Netzwerken. Eine Organisation kann DLP-Berichtsfunktionen verwenden, um sicherzustellen, dass sie die Audit- und Compliance-Anforderungen einhält und abnormale Aktivitäten und Schwachstellen in ihrer Organisation isoliert. Dies hilft bei der Reaktion auf Vorfälle und der Forensik.

Warum es wichtig ist, eine Richtlinie zur Verhinderung von Datenverlust zu haben

Datensicherheit verhindert feindliche Angriffe auf eine Organisation. Mitarbeiter haben viele Möglichkeiten, verteilte Organisationsdaten zu teilen und darauf zuzugreifen, was unbeabsichtigten Datenverlust zu einem dringenden Problem macht.

Mitarbeiter, Geschäftspartner und Auftragnehmer können ebenfalls eine Bedrohung für das Unternehmen darstellen, wenn sie Unternehmensdaten stehlen oder versehentlich verlieren. Mitarbeiter können beispielsweise Opfer von Social-Engineering-Angriffen werden, was die Notwendigkeit einer fortlaufenden Cyber-Schulung der Mitarbeiter unterstreicht. Diese Art von Bedrohungen oder Insider-Bedrohungen stellen heute ein großes Risiko für Unternehmen dar.

Die Datenspeicherung ist jetzt über entfernte Standorte besser zugänglich, und in Cloud-Diensten können Personen mit böswilliger Absicht von schlecht geschützten Telefonen und Laptops aus auf die Daten zugreifen.

Es gibt drei Hauptgründe für eine Richtlinie zur Verhinderung von Datenverlust:

1. Compliance
Unternehmensrichtlinien richten sich nach verbindlichen Compliance-Standards, die von Regierungen und Aufsichtsbehörden der Branche festgelegt wurden (z. B. SOX, HIPAA, PCI DSS). Diese Standards beschreiben, wie eine Organisation personenbezogene Daten (PII) und andere sensible Daten schützen sollte.

Eine DLP-Richtlinie ist die erste Stufe der Compliance und hilft bei der Bereitstellung genauer Berichte für Audits. In der Regel sind DLP-Tools für die Anforderungen gängiger Standards für eine bestimmte Branche konzipiert.

2. Geistiges Eigentum
Geschäftsgeheimnisse oder andere immaterielle Vermögenswerte, einschließlich Organisationsstrategien und Kundenlisten, können von größerem Wert sein als physische Vermögenswerte. Der Verlust dieser Art von Informationen kann zu finanziellen Schäden und Reputationsschäden sowie zu Veruntreuung führen und zu Strafen und rechtlichen Schritten führen.

3. Datensichtbarkeit
Mit der zunehmenden Digitalisierung finden sich sensible Informationen auf Geräten wie Servern, Laptops, Netzwerkfreigaben, Cloud-Speichern, Datenbanken und USB-Laufwerken.

Eine DLP-Richtlinie kann Unternehmen dabei helfen, zu erfahren, wie Stakeholder und Endbenutzer vertrauliche Informationen verwenden. Eine Organisation kann ihre Informationen besser schützen, wenn sie einen Überblick darüber hat, welche Daten vorhanden sind, wo sie sich befinden, wer sie verwendet und zu welchem Zweck.

Best Practices zum Erstellen einer erfolgreichen DLP-Richtlinie

Obwohl kein absoluter Schutz gegeben ist, können Best Practices Ihrer Organisation bei der Implementierung einer erfolgreichen Datenschutzrichtlinie helfen.

  • Identifizieren Sie Daten, die geschützt werden müssen — Sehen Sie, welche Informationen geschützt werden müssen, indem Sie Daten basierend auf ihrer Anfälligkeit und ihren Risikofaktoren klassifizieren, priorisieren und interpretieren.
  • Verstehen, wie Anbieter bewertet werden — Erstellen Sie einen Rahmen mit relevanten Fragen, um eine fundierte Kaufentscheidung zu treffen.
  • Spezifizieren Sie die Rollen aller Beteiligten – skizzieren Sie die Rolle jedes Einzelnen, um Datenmissbrauch zu verhindern.
  • Überwachung der Datenbewegung – Verstehen Sie, wie Daten verwendet werden, und identifizieren Sie Verhalten, das Daten gefährdet. Nutzen Sie dieses Wissen, um Richtlinien zu entwickeln, die das Risiko von Datenverlusten mindern und eine angemessene Datennutzung sicherstellen.
  • Leadership einbeziehen-Management Buy-In ist entscheidend für den Erfolg von DLP. Richtlinien sind nichts wert, es sei denn, sie können auf organisatorischer Ebene angewendet werden. Abteilungsleiter sollten eine Richtlinie zur Verhinderung von Datenverlust erstellen, die der Unternehmenskultur entspricht.
  • Aufklärung der Belegschaft — Wir neigen dazu, Mitarbeiter als das schwache Glied in der Prävention von Datenverlust zu betrachten, doch Führungskräfte legen oft keinen Wert auf Bildung. Invest hilft Benutzern von Daten und Interessengruppen, die Richtlinie und ihre Bedeutung zu verstehen.
  • Verwenden von Metriken zur Bestimmung des Erfolgs – Messen Sie den DLP-Erfolg anhand von Metriken, einschließlich der Anzahl der Vorfälle, des Prozentsatzes falsch positiver Ergebnisse und der durchschnittlichen Reaktionszeit. Kennzahlen zur Verhinderung von Datenverlust helfen Ihnen zu sehen, wie effizient Ihre Richtlinie ist und wie sich Ihre Investitionen rentieren.

Data loss prevention templates

Data Loss Prevention Policy Templates verwenden DLP-Datenbezeichner und logische Operationen (And, Or, Except), um Bedingungsanweisungen zu erstellen. Nur Daten oder Dateien, die eine bestimmte Bedingungsanweisung erfüllen, fallen unter die Grenzen einer DLP-Richtlinie.

Eine DLP-Richtlinie kann z. B. angeben, dass eine Datei zur sensiblen Kategorie „Arbeitsverträge“ gehört, wenn sie alle der folgenden Kriterien erfüllt:

  • Muss eine Microsoft Word-Datei sein (Dateiattribut)
  • UND muss bestimmte rechtliche Begriffe (Schlüsselwörter) enthalten
  • UND muss ID-Nummern enthalten (definiert durch regulären Ausdruck)

DLP-Richtlinien für Microsoft Exchange

Microsoft Exchange bietet DLP-Richtlinienvorlagen (Data Loss Prevention) zum Schutz von Unternehmensdaten, die über einen Exchange-Server gespeichert und übertragen werden.

Sie können Ihnen bei der Verwaltung von PCI-DSS-Daten (Payment Card Industry Data Security Standard), GLBA-Daten (Gramm-Leach-Bliley Act) und personenbezogenen Daten der Vereinigten Staaten (U.S. PII) helfen. DLP-Richtlinien unterstützen den vollen Umfang herkömmlicher E-Mail-Flussregeln, und Sie können nach dem Einrichten einer DLP-Richtlinie weitere Regeln hinzufügen.

Voraussetzungen zum Erstellen von Microsoft Exchange DLP-Vorlagen:

  • Einrichten des Exchange-Servers – Weitere Informationen finden Sie in diesem TechNet-Artikel.
  • Konfigurieren Sie die Benutzer- und Administratorkonten und überprüfen Sie die Transportpipeline (um sicherzustellen, dass Sie E-Mails an externe E-Mail-Clients senden können). Für weitere Details lesen Sie das Dokument hier.
  • Erhalten Sie vom Sicherheitsteam oder den zuständigen Behörden die Erlaubnis, eine DLP-Richtlinie zu erstellen.
  • Für DLP ist eine Exchange Enterprise Client Access License (CAL) erforderlich.
  • In Hybridumgebungen, in denen sich bestimmte Postfächer im lokalen Exchange und einige in Exchange Online befinden, werden DLP-Richtlinien nur in Exchange Online angewendet.

Beispiele für verfügbare DLP-Vorlagen in Exchange:

Richtlinienvorlage Beispiele für Informationen, die die Vorlage zum Erkennen und Schützen verwendet
PCI Data Security Standard (PCI DSS) Debitkarten- oder Kreditkartennummern
Datenschutzgesetz des Vereinigten Königreichs Nationale Versicherungsnummern
US-Krankenversicherungsgesetz (HIPAA) Sozialversicherungsnummern und Gesundheitsinformationen
Gesetz über Portabilität und Rechenschaftspflicht (HIPAA) U.S. Persönlich identifizierbare Informationen (PII), zum Beispiel Sozialversicherungsnummern oder Führerscheinnummern.
Frankreich Datenschutzgesetz Krankenversicherungskartennummer
Canada Personal Information Protection Act (PIPA) Passnummern und Gesundheitsinformationen
Australia Privacy Act Finanzdaten in Australien, einschließlich Kreditkarten und SWIFT-Codes
Japan Persönlich identifizierbare Informationen (PII) Daten Führerschein- und Passnummern

Alle von Exchange Server bereitgestellten Vorlagen anzeigen.

Erstellen einer DLP-Richtlinie aus einer Vorlage mithilfe des Exchange Admin Center (EAC):

1. Navigieren Sie in der EXCHANGE-Verwaltungskonsole zu Compliance Management > Data Loss Prevention, und klicken Sie dann auf Hinzufügen.

Quelle: Microsoft

2. Die Seite Neue DLP-Richtlinie aus einer Vorlage erstellen wird angezeigt. Geben Sie den Richtliniennamen und die Beschreibung ein, wählen Sie die Vorlage aus und legen Sie einen Status fest — unabhängig davon, ob Sie die Richtlinie aktivieren möchten oder nicht. Der Standardstatus ist Test ohne Benachrichtigungen.

3. Klicken Sie auf Speichern.

DLP-Richtlinien in Symantec Data Loss Prevention

Symantec Data Loss Prevention bietet Richtlinienvorlagen, mit denen Sie Unternehmensdaten schützen können. Sie können Richtlinienregeln und Ausnahmen als Vorlagen importieren und exportieren, indem Sie Richtlinien für Umgebungen und Systeme freigeben.

Richtlinienvorlage Ausgewähltes Beispiel Beispielbeschreibung
Durchsetzung der US-Vorschriften HIPAA und HITECH (einschließlich PHI) Erzwingt den US Health Insurance Portability and Accountability Act (HIPAA)
Datenschutz-Grundverordnung Datenschutz-Grundverordnung (Digitale Identität) Schützt personenbezogene Daten im Zusammenhang mit der digitalen Identität
Internationale regulatorische Durchsetzung Caldicott Bericht Schützt britische Patienteninformationen
Kunden- und Mitarbeiterdatenschutz Mitarbeiterdatenschutz Erfasst Mitarbeiterdaten
Schutz vertraulicher oder klassifizierter Daten Verschlüsselte Daten Erkennt die Verwendung von Verschlüsselung mit verschiedenen Methoden
Durchsetzung der Netzwerksicherheit Kennwortdateien Erkennt Kennwortdateiformate
Acceptable Use Enforcement Eingeschränkte Dateien Erkennt Dateitypen, die möglicherweise unangemessen, aus dem Unternehmen zu senden
Import und Export von Richtlinienvorlagen Import und Export von Richtlinienvorlagen Sie können Richtlinienvorlagen zum und vom Erzwingen-Server importieren und exportieren. Sie können Richtlinienvorlagen für verschiedene Umgebungen freigeben, ältere Richtlinien archivieren und vorhandene Richtlinien versionieren.

Hier finden Sie alle Symantec DLP-Vorlagen, die in die oben genannten Kategorien unterteilt sind.

So erstellen Sie eine DLP-Richtlinie aus einer Vorlage in Symantec Data Loss Prevention:

  1. Fügen Sie eine Richtlinie aus einer Vorlage hinzu. Siehe diesen Hilfeartikel.
  2. Wählen Sie die Vorlage, die Sie verwenden möchten. Der Bildschirm > Richtlinien verwalten > Richtlinienliste > Neue Richtlinienvorlagenliste listet alle Richtlinienvorlagen auf.
  3. Klicken Sie auf Weiter, um die Richtlinie zu konfigurieren.
  4. Wählen Sie ein Datenprofil aus (wenn Sie dazu aufgefordert werden), bearbeiten Sie den Richtliniennamen oder die Beschreibung (optional), wählen Sie eine Richtliniengruppe aus (falls erforderlich), bearbeiten Sie die Richtlinienregeln oder Ausnahmen (falls erforderlich).
  5. Speichern Sie die Richtlinie und exportieren Sie sie.

DLP-Richtlinien in IBM Endpoint Manager (IBM BigFix)

IBM Endpoint Manager, umbenannt in IBM BigFix, ist eine End-to-End-Sicherheitslösung für Endpunkte, die auch die Verhinderung von Datenverlust abdeckt. Das Core Protection Module (CPM) von IBM BigFix bietet vordefinierte Vorlagen:

  • GLBA: Gramm-Leach-Billey Act
  • SB-1386: Gesetz des US-Senats 1386
  • HIPAA: Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen
  • PCI-DSS: Datensicherheitsstandard der Zahlungskartenindustrie
  • US PII: Personenbezogene Daten der Vereinigten Staaten

Vorlagen werden als XML-Dateien bereitgestellt, die Sie importieren können, um die Vorlage anzuwenden. Mit BigFix können Sie auch eigene Vorlagen erstellen, sobald Sie DLP-Datenbezeichner konfiguriert haben.

Importieren und Verwenden einer vorgefertigten DLP-Vorlage in IBM BigFix:

  1. Navigieren Sie zu Endpoint Protection > Konfigurationen > Datenschutz > DLP-Einstellungsassistent > Vorlagenverwaltung.
  2. Geben Sie in der neuen Bildschirmanzeige einen Namen für die Vorlage und eine Beschreibung ein, und wählen Sie Datenbezeichner aus.
    Sie können neue Ausdrücke hinzufügen, um Inhalte zu durchsuchen, die Sie zulassen oder nicht zulassen möchten, eine Liste von Dateiattributen erstellen und eine Stichwortliste erstellen. Jede Definition sollte einen logischen Operator haben.
  3. Klicken Sie auf Speichern.

Weitere Informationen finden Sie in diesem Support-Artikel von IBM.

Ergänzung von DLP mit erweiterten Sicherheitsanalysen

DLP-Lösungen können Datenflüsse überwachen und Unternehmen vor bekannten Bedrohungen schützen. Angriffe und böswillige Insider finden jedoch ständig neue Wege, um Systeme zu kompromittieren und Daten zu stehlen, von denen viele nicht durch DLP-Richtlinienregeln erfasst werden können. Dies kann durch eine neue Art von Sicherheitstool namens User and Event Behavioral Analytics (UEBA) gelöst werden.

UEBA-Tools legen Baselines für das Verhalten von Benutzern, Anwendungen und Netzwerkgeräten fest. Sie verwenden Algorithmen für maschinelles Lernen, um abnormale Aktivitäten für eine Entität oder Gruppe von Entitäten zu identifizieren, ohne vorgegebene Regeln oder Muster zu haben. Dies ergänzt DLP durch Warnungen zu datenbezogenen Vorfällen, die keiner DLP-Richtlinienregel entsprachen.

Ein Beispiel für ein UEBA-System, das vor Datenverletzungen durch Insider oder unbekannte Bedrohungen schützen kann, finden Sie unter Exabeam Advanced Analytics.

Möchten Sie mehr über DLP erfahren?
Schauen Sie sich diese Artikel an:

  • Was ist DLP und wie kann es in Ihrer Organisation implementiert werden?
  • Tools zur Verhinderung von Datenverlust
  • Sicherheitsverletzungen: Was Sie wissen müssen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

lg