Startseite
No. 02.2008		  
 

Klarheit und Nachvollziehbarkeit Das Richtige richtig tun – auch in der IT Security

Sicherheitsupdate 2009 – was bringt das nächste Jahr?

Lohnenswerte Investitionen in integrierte GRC-Lösungen

WAN-Optimierung ja, aber nur schnell und sicher

Den Sicherheits-Gau vermeiden – durch konsequente Überwachung

DLP - Möglichkeiten und Grenzen einer Technik

Der neue Kampf um eine verbesserte Client-Sicherheit
informer 01.2009
.pdf-Datei [425 kB]
Events und
Workshops
Ihr Feedback
ist uns wichtig

Integralis.com
Impressum

e-newsletter »informer« abbestellen

DLP – was wirklich vor Daten-Kidnapping schützt

Sven Gerlach, Business Development Manager, CISSP Secure Content Management
Was ist DLP?
In der Vergangenheit beschäftigten sich IT Security-Projekte meist vor allem mit dem Schutz vor externen Gefahren, etwas der Abwehr von per E-Mail einfallenden Viren oder dem Schutz von Anwendungen durch Firewalls. In letzter Zeit taucht in den Beschreibungen verschiedenster Produkte allerdings immer wieder ein noch ungewohnter Begriff auf: DLP. Ob bei E-Mail- und Web Security-Lösungen, Festplattenverschlüsselungen und Wechselmedienkontrollen, Endpoint Security-Suiten und vielem mehr – ganz neu liest man in diesem Zusammenhang immer wieder auch von DLP. Aber inwieweit können derart verschiedene Produkte wirklich ein und dasselbe Thema adressieren? Konkret bedeutet DLP "Data Loss Prevention" und bezeichnet die Verhinderung des Datenverlustes.

Typischerweise erfolgt der Verlust von Daten auf ganz verschiedene Weisen: z. B: durch das Versenden vertraulicher Informationen per Mail oder Web, den Diebstahl eines Notebooks oder auch durch das unzulässige Kopieren vertraulicher Informationen auf Wechselmedien. Vertrauliche Daten können das Unternehmen auf vielen Wegen verlassen. Produkte, die genau das verhindern sollen und dafür einen oder mehrere dieser Wege kontrollieren, schmücken sich deshalb oft ganz generell mit dem Etikett DLP. Dabei unterscheidet sich eine DLP-Lösung beispielsweise von einem Produkt zur USB-Port-Kontrolle jedoch in einem wichtigen Punkt: die Port-Kontrolle schränkt nur die Verwendung bestimmter Geräte ein, während eine DLP-Lösung dies zusätzlich in Abhängigkeit von den über den Port übertragenen Daten ermöglicht. Mit anderen Worten: Über die Port-Kontrolle kann zwar die Nutzung bestimmter USB-Geräte verboten werden, sie kann jedoch nicht verhindern, dass sensible Daten auf andere, erlaubte Geräte kopiert werden. Eine DLP-Lösung hingegen erkennt zusätzlich auch noch den Sensibilitäts-Grad von Daten, so dass das Kopieren sensibler Daten auch auf eigentlich freigegebene Datenträger zuverlässig unterbunden werden kann. Wichtige Kriterien für die Qualität eines DLP-Produktes sind daher beispielsweise die Anzahl der kontrollierbaren Datenkanäle (HTTP, SMTP, Wechselmedien, etc.) oder die Qualität der Inhaltsanalyse zur Erkennung vertraulicher Daten.

Was ist vertraulich und was nicht?
Die Erkennung vertraulicher Inhalte geschieht typischerweise auf verschiedene Arten. Eine Variante ist etwa das Beschreiben vertraulicher Inhalte mittels besonderer Schlüsselwörter oder regulärer Ausdrücke (hier konkret: mittels bestimmter Codes zur Beschreibung von Zeichenmustern). Diese werden in einer DLP Policy genau definiert und mit einer entsprechenden Gewichtung versehen. Überschreitet die Summe der gewichteten Auftrittshäufigkeiten in einem Dokument den festgesetzten Schwellwert, so klassifiziert das System das Dokument automatisch als vertraulich ein.

Eine weitere Technik, die zur Inhaltsanalyse eingesetzt wird, ist das sogenannte Finger-Printing, das einen „Hash-Wert“ für jedes Dokument bildet. Dieser Hash-Wert ist das Ergebnis einer mathematischen Funktion, die aus Eingabedaten unterschiedlicher Länge eine eindeutige Ausgabe kurzer, fester Länge erzeugt. Dieser Ausgabewert ändert sich selbst bei minimaler Variation der Eingabe so stark, dass der Hash-Wert das vollständige, unmodifizierte Dokument adäquat repräsentiert und zu dessen genauer Identifikation verwendet werden kann (bekannte Hash-Algorithmen sind z. B. MD5 und SHA-1). Auch wenn diese Methode zwar keine falsch-positiven Ergebnisse erzeugt, ist sie jedoch nicht gegen einfachste Änderungen des Dokuments resistent. Um daher auch Teile eines vertraulichen Dokumentes identifizieren zu können, unterstützen manche Lösungen zusätzlich das partielle Finger-Printing, mit dem auch Teile oder Varianten eines vertraulichen Dokuments identifiziert werden können.

Die richtige Auswahl der DLP-Produkte
Im Wesentlichen lassen sich bei DLP-Lösungen zwei unterschiedliche technische Ansätze erkennen: der Netzwerk- sowie der Host-basierende Ansatz. Netzwerk-basierende Lösungen sind relativ einfach zu implementieren und decken in der Regel alle gängigen Protokolle wie HTTP, HTTPS, SMTP, POP3 und IMAP ab. Sie schützen zwar das gesamte Unternehmensnetz, bieten jedoch keinen Schutz bei Verwendung von Wechselmedien, Screenshots oder Copy&Paste-Vorgängen auf dem Client. Technisch werden netzwerkbasierte DLP-Produkte als Application Level Proxies oder Sniffer eingesetzt.

Die zweite Variante erlaubt in der Regel nur das Aufspüren kritischer Vorgänge, kann diese jedoch im Gegensatz zu den auf Applikationsebene arbeitenden Proxies nicht verhindern.
Host-basierende Lösungen erfordern einen auf dem zu kontrollierenden Client installierten Agenten, der die vom Systemverantwortlichen auf einer zentralen DLP-Managementkonsole definierte Policy umsetzt. Da der Agent selbst direkt auf dem Client arbeitet, kann er alle dort stattfindenden Aktionen grundsätzlich reglementieren. Im Vergleich zu Netzwerk-basierten Lösungen lassen sich mit dieser zweiten Variante weiterreichende Schutzmaßnahmen umsetzen. Auch die Anwenderbenachrichtigung im Falle eines Regelverstoßes kann unmittelbar und aussagekräftig durch vom Agenten auf dem Client generierte Pop-up-Warnmeldungen geschehen. Da der Agent überdies außerhalb des Unternehmensnetzes aktiv ist, sind damit auch ‚remote’ arbeitende Laptops geschützt. Allerdings stehen diesen Vorteilen jedoch auch einige Nachteile gegenüber: Der Betrieb einer Host-basierten Lösung ist etwa deutlich aufwändiger als der einer Netzwerk-basierten Lösung, da die Agenten ausgerollt und aktualisiert werden müssen. Oft stehen auch nicht für alle im Unternehmen eingesetzten Betriebssysteme Agenten zur Verfügung.

Bei der Auswahl eines geeigneten DLP-Produktes sollten Sicherheitsverantwortlich daher nicht nur technische, sondern auch administrative Parameter berücksichtigen. Auf technischer Seite muss ein Unternehmen darüber entscheiden, ob ein Netzwerk-, ein Agenten-basierter Ansatz oder sogar beides in Kombination die unternehmensspezifischen Anforderung erfüllen. Darüber hinaus müssen die Verantwortlichen alle unerwünschten Vorgänge in ihren technischen Abläufen analysieren und mittels einer geeigneten Policy abbilden, in der sowohl der Inhalt vertraulicher Informationen als auch der erlaubte Kontext so klar wie möglich definiert werden. Für das Erstellen einer solchen Policy sind nicht nur detaillierte Kenntnisse der Geschäftsprozesse und der Daten-Inhalte unerlässlich, sondern auch die Fähigkeit, diese Parameter in entsprechende technische Nutzungsrichtlinien übersetzen zu können.

Vorsicht - Grenzen des DLP
Da DLP-Produkte Mitarbeiter relativ weitreichend kontrollieren können, ist ihr Einsatz in Deutschland in der Regel von der Zustimmung des Betriebsrates abhängig. Denn aus betrieblicher Sicht ist es kaum möglich, eine „wasserdichte“ Policy zu entwickeln und dauerhaft zu betreiben, ohne den Anwender zu stark in seinen täglichen Abläufen zu behindern. Deshalb sollten sich Richtlinien vielmehr darauf beschränken, nur wirklich kritische Aktionen mit wirklich wichtigen Daten zu reglementieren.

Auch technisch gibt es Grenzen, besonders mit Blick auf die Inhaltsanalyse, da hier vergleichsweise einfache Modifikationen der zu schützenden Daten oft schon ausreichen, um eine vordefinierte Analyse der Inhalte auszuhebeln. Zusammenfassend lässt sich damit sagen, dass DLP Unternehmen vor allen Dingen bei der Bekämpfung des fahrlässigen Umgangs mit vertraulichen Daten effektiv helfen kann. Allerdings kann DLP einem technisch versierten Anwender das ‚Datenkidnapping’ zwar erheblich erschweren, aber leider nur selten komplett unmöglich machen.


E-Mail an den Autor     Artikel weiterempfehlen