Tipps für eine erfolgreiche Data Leakage Prevention

Anforderungsanalyse unumgänglich

Eine tragfähige Exportkontroll-Policy auf Basis eines DLP-Produkts setzt eine sorgfältige Anforderungsanalyse voraus. Innerhalb von Abteilungen unterscheiden sich diese Anforderungen mitunter gravierend: Während in der Kundenbetreuung Stichworte und reguläre Ausdrücke wie etwa „Kundennummer“ eine entscheidende Rolle spielen, zählt „Fingerprinting“ im Engineering zu den wichtigen Begriffen im Zusammenhang mit technischen Dokumenten oder Quellcodes.

False Positives minimieren

Bei DLP handelt es sich nicht um eine exakte Wissenschaft. Dies gilt sowohl für die Inhaltsanalyse als auch für die Exportkontrolle. False Positives drohen in punkto Inhaltsanalyse häufig aufgrund von Doppeldeutigkeiten bei Stichworten. Beispiel: Das Wort „Einstellung“ besitzt im Personalwesen eine völlig andere Bedeutung (Anstellung), als im technischen Umfeld (Abstimmung, Beendigung). Hier müssen klare Unternehmensregeln definiert werden.

Exportkontrollen reichen nicht aus

Exportkontrollen alleine schützen nicht immer vor IT-Spezialisten unter den Innentätern. Ein Text etwa, der mit dem bei Usenet-Newsreadern populären ROT-13-Algorithmus verschleiert wurde, lässt sich recht problemlos durch gängige DLP-Produkte schleusen. Das Prinzip: ROT-13 verschiebt das Alphabet um 13 Zeichen. Eine Entschleierung erfolgt später beispielsweise per Add-ons in populären E-Mail-Programmen (z. B. Thunderbird von Mozilla)

Instant Messenger meiden

Probleme beim Schutz vor Data Leakage entstehen häufig über abgesicherte Exportkanäle auf dem Endpoint, wie etwa mit Instant Messengern (ICQ, Yahoo Messenger, MSN Messenger). Hersteller von DLP-Produkten können auf die jeweils aktuellen Messenger-Releases oft nur reagieren und eine Unterstützung für eine kommende Version von DLP-Lösungen anbieten. Administratoren sollten deshalb die Nutzung derartiger Programme im Unternehmen unterbinden.

Aufklärung der Mitarbeiter

Die Einführung einer umfassenden DLP-Lösung erfordert es, dass Mitarbeiter des Unternehmens miteinbezogen werden. Eine sanfte Durchsetzung ist hier meist effektiver, als harte Maßnahmen gegen den Datenmissbrauch. Letzteres führt nicht selten dazu, dass Angestellte die Richtlinien schlichtweg ignorieren.

Ruhig Blut bewahren – auch während eines Alarms

Nicht jede Aktion gegen DLP-Schutzvorkehrungen sollte unweigerlich zum Alarm beziehungsweise zu Sanktionen führen. Zuweilen geschieht ein Export eines vertraulichen Dokuments in legitimer Absicht. Bei einer Ausweisnummer kann es sich beispielsweise auch um eine verunstaltete Telefonnummer handeln. Ratsam ist es, Übereinstimmungen innerhalb der einzelnen Kategorien (Stichworte, reguläre Ausdrücke, Ähnlichkeit) zu gewichten, die Deckungen mit dem entsprechenden Faktor aufzuaddieren und erst beim Erreichen eines definierbaren Schwellwertes eine Sanktion auszulösen.

Richtige Sanktionen

Wird ein unbefugter Export eines vertraulichen Dokuments festgestellt, so kommt es – je nach gesetzten Policy-Einstellungen – zu entsprechenden Sanktionen. Diese können das Logging der Operation umfassen, um Administratoren einen Überblick über die aktuelle Sicherheitslage des Unternehmens zu ermöglichen. Ebenso lassen sich bestimmte Operationen blocken. Zu den intelligenten Varianten gehört der interaktive Dialog mit dem Benutzer: Das System weist den Anwender per Dialog auf Sicherheitsbedenken hin, und fordert ihn auf, eine Begründung für den Export anzugeben