Ohne Data Leakage Prevention kann es für Unternehmen teuer werden
Datenverlust ist „Supergau“
Datenpannen können Unternehmen künftig richtig teuer zu stehen kommen. In den Tagen vor der Datenschutzgrundverordnung (DSGVO) gewinnt das Thema Datenverlust damit noch einmal an Brisanz, so dass auch wir dieses noch einmal aufgreifen.
Nach Ergebnissen des Veritas 2017 GDPR Reports haben Unternehmen tatsächlich größte Schwierigkeiten damit, bei Datenverlusten den Überblick zu behalten. Fast die Hälfte (48 Prozent) der befragten Firmen gab bei einer Befragung zu, keine Einsicht in sämtliche Vorfälle zu haben, bei denen personenbezogene Daten verloren gehen. Ganze 60 Prozent sehen sich nicht in der Lage, ein Datenleck binnen 72 Stunden zu entdecken und zu melden – dabei ist das eine essenzielle Forderung aus der DSGVO!
Unwissenheit schützt vor Strafe nicht
Ganz gleich, ob es Bankdaten, Passwörter, E-Mail Adressen oder Gesundheitsdaten sind: Melden Unternehmen den Verlust personenbezogener Daten zu spät, handeln sie nicht nach den neuen Regeln der DSGVO. Und das kann teuer werden: Bei Verstößen drohen hohe Bußgelder, die sich auf bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro belaufen können – je nachdem, welcher Betrag größer ist. Der Verlust sensibler Daten hat also künftig auch wirtschaftlich eine enorme Brisanz für Unternehmen.
Jeder Zweite hat schon Daten verloren
Die Sorge um den Verlust von Daten ist durchaus begründet: Mehr als jeder zweite Anwender (53%) hat bereits elektronisch gespeicherte Daten verloren. Das ist ein Ergebnis einer repräsentativen Umfrage, die das Bundesamt für Sicherheit in der Informationstechnik (BSI)
Zwar benennt die Studie unterschiedliche Ursachen, wie Schadsoftware, technischer Defekt, Diebstahl von Endgeräten, versehentlich oder vorsätzlich gelöscht beziehungsweise gestohlene Daten. Dennoch ist für viele Unternehmen die Kontrolle des Datenabflusses von innen nach außen eine besondere Herausforderung. Nur jedes zweite Unternehmen verfügt hier über geeignete Lösungen für dieses Problem wie eine Studie der Bundesdruckerei zur Digitalisierung und IT-Sicherheit in deutschen Unternehmen aus 2017 zeigt.
Autorisierte Personen haben freie Hand
Das Problem Datenabflüsse zu kontrollieren, liegt für die meisten Unternehmen darin, dass der Zugriff durch autorisiertes Personal erfolgt. Wenn autorisierte Personen im Unternehmen Zugriff auf Daten haben, können sie damit mehr oder weniger machen, was sie wollen: Sie können Daten kopieren, ausdrucken oder verschicken. Ob Daten nun bewusst oder versehentlich Ihr Unternehmen verlassen: Die Auswirkungen, nämlich Verlust geistigen Eigentums, schwindendes Kundenvertrauen, rechtliche Konsequenzen, können immens sein.
Datenverlust: Finanzielle und rechtliche Risiken
Wenn Daten verloren gehen, ist die Liste der Horrorszenarien lang. Sie reicht von Bußgeldern, Schadensersatzansprüchen betroffener Personen über Umsatzeinbußen aufgrund von Imageverlust bis hin zu Kosten für Gutachter und Anwälte. Schwer zu beziffern ist der finanzielle Schaden für Unternehmen, wenn geistiges Eigentum gestohlen wird oder verloren geht: Die Zusammensetzung eines Medikaments, die Konstruktionszeichnungen für ein Maschinenteil oder der Quellcode für die neue Software.
Kommen wir vor dem Hintergrund der DSGVO kurz noch einmal auf die rechtlichen Konsequenzen: Kommt es zu Pannen mit persönlichen Daten von Mitarbeitern und Kunden, kann es richtig teuer werden, wenn Unternehmen keine geeigneten Schutzmaßnahmen nach dem aktuellen Stand der Technik ergriffen haben. Dazu gehören wirksame Schutzmaßnahmen gegen (Hacker-)Angriffe von außen, Abwehren von Viren und anderer Malware, Einhalten der datenschutzrechtlichen Pflichten, regelmäßige Backups, Berücksichtigen von Handlungsanleitungen, Best-Practice-Vorgaben und Wirtschaftsprüfungsstandards.
Abgesehen von den Geldbußen sehen sich Unternehmen auch mit wirtschaftlichen Nachteilen wie beispielsweise einem schlechteren Kreditrating, zivilrechtlichen Schadensersatzansprüche von Geschädigten, Verlust des Versicherungsschutzes oder dem Ausschluss bei der Vergabe öffentlicher Aufträge konfrontiert. Damit nicht genug, denn der Missbrauch von IT-Infrastruktur und der Datendiebstahl kann nach verschiedenen Vorschriften strafbar sein: Darunter fallen beispielsweise das Verletzen des Post- oder Fernmeldegeheimnisses oder der Verrat von Geschäfts- und Betriebsgeheimnissen. Haben Sie noch Zweifel, eine DLP-Lösung in Ihrem Unternehmen installieren zu lassen?
Ein Problem, verschiedene Lösungen
Vor externen Bedrohungen wie etwa Hacker-Angriffen oder sonstigen Attacken schützen sich viele Unternehmen mit Firewalls, Anti-Spyware-Programmen, Intrusion-Prevention- oder Intrusion-Detection-Systemen, Virenscannern und Scannern zum Erkennen von Keyloggern. Allerdings genügen herkömmliche Schutzmechanismen nicht, um auch den Datenabfluss aus dem Unternehmen heraus zu kontrollieren.
Vor diesem Hintergrund musste schon vor Jahren eine praktikable Lösung entwickelt werden, um die Nutzung und Verbreitung von Firmendaten zu kontrollieren beziehungsweise zu überwachen: Data Leakage Prevention war geboren. Immer weiter entwickelt, gibt es heute verschiedene Lösungsansätze, vertrauliche Daten im Unternehmen aufzuspüren und unter Kontrolle zu halten. So gibt es Hersteller, die vorzugsweise auf die Verschlüsselung von Daten auf Festplatten oder Mobile Devices setzen, andere haben Anwendungen zur Kontrolle von Wechselmedien entwickelt oder Mailverschlüsselungs-Gateways.
Wir von GBS konzentrieren uns auf E-Mails, da mit ihnen vertrauliche Daten am einfachsten und schnellsten ein Unternehmen verlassen. Dabei muss es sich nicht einmal immer um vorsätzlich begangenen Datendiebstahl handeln. Auch das sorglose Weiterleiten einer E-Mail mit sensiblen Dateianhängen an eine Empfängergruppe kann Daten schnell in die falschen Hände spielen. Und genau vor einer solch unsachgemäßen Nutzung des Mediums E-Mail sollen Anwender gehindert werden.
Die Techniken: Mit Keyword-Matching und Fingerprint Datenabfluss verhindern
Um den sorglosen Umgang mit E-Mails und den daraus resultierenden Datenverlust zu unterbinden, müssen natürlich andere Techniken eingesetzt werden, als beispielsweise bei Verschlüsselungslösungen. Denn hier geht es schließlich darum, den Versand vertraulicher Informationen zu verhindern. Dazu zählt das Filtern sensibler Inhalte aus E-Mail Text und Anhängen. Hierbei wird gezielt nach fest definierten Schlüsselworten, Dateitypen, Anhängen, dem Kommunikationspartner oder der Zeit – sprich nach allem, was verdächtig sein könnte – gesucht. Unterschiedliche Techniken kommen dabei zum Einsatz: Beim Keyword-Matching beispielsweise werden die übermittelten Daten nach bestimmten Schüsselworten, wie etwa „Vertraulich“ oder „Geheim“ durchsucht. Beim Fingerprinting werden eindeutige Merkmale der Daten, ähnlich einem Fingerabdruck, ermittelt. Auch wenn die Daten kopiert werden, bleibt ihr Fingerabdruck erhalten und sie sind weiterhin zu erkennen.
Das tut iQ.Suite DLP für Sie
Um vertrauliche Daten in E-Mails zu entdecken haben wir eine DLP-Lösung für unsere iQ.Suite entwickelt. Ausgehende E-Mails werden in Echtzeit analysiert und vertrauliche Inhalte und Verhaltensanomalien, wie ein verdächtig starker Anstieg des E-Mail-Volumens oder der plötzliche Versand großer Datenmengen, erkannt.
Die von uns eingesetzte Fingerprint-Technologie erkennt bestimmte, durch sie definierte Textinhalte wie Kundennummern oder Kredikartendaten, aber auch bestimmte Dateiformate wie beispielsweise Excel-Dateien. Verlässt nun eine verdächtige E-Mail das Unternehmen, wird der Versand angehalten und die E-Mail in Quarantäne gestellt. Erst nach einer Vier-Augen-Prüfung durch autorisierte Personen erfolgt die finale Freigabe zum Versand. Entwickelt haben wir auch ein Dashboard, welches die Daten visualisiert. Das integrierte Rechte- und Rollenkonzept garantiert dabei, dass nur autorisierte Personen auf die relevanten Informationen zugreifen können. In Verbindung mit der konfigurierbaren Datenlöschung nach einem festgelegten Zeitraum wird außerdem sichergestellt, dass geltende Datenschutzbestimmungen eingehalten werden.
Erfahren Sie mehr über iQ.Suite DLP
Achtung: Phishing!
Nun sind (un)beabsichtigte Datenabflüsse aus dem Unternehmen nur eine Seite der Medaille. Datenklau erfolgt natürlich auch von außen. Ein beliebtes Mittel, Daten abzugreifen sind Phishing- Mails. Kriminelle täuschen beispielsweise vor, ein vertrauenswürdiger Absender zu sein und bringen den Empfänger dazu, persönliche Informationen, wie Kreditkartendaten oder Passwörter, preiszugeben oder sie verleiten ihr Opfer dazu einen Anhang zu öffnen. Ein Klick kann jedoch schon ausreichen um im Hintergrund die Installation eines Trojaners einzuleiten, der entweder direkt Daten sammelt und dem Datendieb zusendet oder der Hackern Zugang zum Unternehmensnetzwerk verschafft. Data Leakage Prevention muss daher zwangsläufig auch den Schutz vor Phishing-Angriffen umfassen. Die besten DLP-Schutzmechanismen können nur ihr volles Potenzial entfalten, wenn Sie von den eigenen Mitarbeitern auch gelebt werden. Regelmäßige Schulungen zum richtigen Umgang mit sensiblen Informationen und eine Sensibilisierung für aktuelle Gefahren sind daher unerlässlich.
Verschlüsselung gehört zum DLP-Konzept
Auch wenn sichergestellt wurde, dass keine unerwünschten Daten das Unternehmen verlassen, können findige Datendiebe die Kommunikation auf dem Weg vom Absender zum Empfänger abfangen und lesen. Der einzige Weg, um dies zu unterbinden ist ein verschlüsselter Informationsaustausch. Nur mit seiner Hilfe kann sichergestellt werden, dass weder „Man-in-the-Middle“ Angreifer noch der E-Mail-Provider selbst Zugriff auf die versendeten Daten erlangen können. Wurde die E-Mail zusätzlich signiert, kann ebenfalls überprüft werden, ob die Nachricht auf dem Weg durch das Internet manipuliert wurde und der Absender tatsächlich der ist, der er vorgibt zu sein. Auch wenn sich Verschlüsselungslösungen in Ihrer Sicherheit und ihrer Komplexität unterscheiden, so gilt: Jede Verschlüsselung ist besser als keine.
Fazit
Die Unterbindung von Datenabflüssen aus Unternehmen ist die Aufgabe von Data Leakage Prevention (DLP)-Tools. Bedenken Sie aber bitte: DLP-Tools sind Werkzeuge zur Risiko-Verminderung. Sie sind keine unfehlbaren Security-Kontroll-Mechanismen, denn sie kümmern sich lediglich um die Daten, die Sie in der Konfiguration bestimmen. Das heißt, Sie müssen wissen und ermitteln, welche sensiblen Daten in Ihrem Unternehmen anfallen. Ein umfassender Schutz der wichtigsten Geschäftsgeheimnisse besteht deshalb aus einer Kombination von Werkzeugen zur Netzwerküberwachung, der Kontrolle der Endgeräte und den Regelwerken für den Umgang mit den Daten.
Der Beitrag Data Leakage Prevention – Wo sind all die Daten hin? erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.