
Was ist Data Loss Prevention (DLP)?
Der Begriff Data Loss Prevention (DLP) bezieht sich auf die Praxis, das Entweichen vertraulicher Daten aus einer Organisation zur unbefugten Nutzung zu erkennen und zu verhindern. Die Daten können in physischer oder computergestützter Form absichtlich oder unabsichtlich aus der Organisation herausgelangt sein.
Die Sorge um den Datenschutz ist nicht neu, wie der sehr interessante Bericht von Ernst & Young "The evolving IT risk landscape" aus dem Jahr 2011 zeigt.
Inwiefern unterscheidet sich DLP von anderen Technologien?
Sensibilisierung der Nutzer
Ihre Strategien zur Verhinderung von Datenverlust müssen so breit angelegt sein wie die Ursachen des Datenverlusts.
Hier sind einige der häufigsten:
- Menschliches Versagen: Die meisten Datenverluste werden durch menschliches Versagen verursacht. Dazu gehören z. B. das Öffnen einer bösartigen E-Mail, das Erstellen von leicht zu erratenden Passwörtern, das Einloggen auf "falschen" Websites, das Verlassen des Computers ohne sich abzumelden oder das Zulassen des Zugriffs durch Unbefugte.
- Unzureichende Zugriffskontrolle: In vielen Organisationen wird der Zugriff zu leicht gewährt. Personen, die die Daten nur lesen müssen, dürfen sie auch verändern. Wenn zu viele Konten einen zu breiten Zugriff haben, nutzen Datendiebe die Gelegenheit, ein Konto zu kompromittieren.
- Physischer Diebstahl: Mobiltelefone, Tablets, Laptops usw. sind leicht zu stehlen und stellen, wenn sie nicht gut geschützt sind, eine Goldmine für Informationen dar.
- Software, die bösartig ist: Infizierte Systeme senden vertrauliche Informationen und die Systeme können monatelang so weiterlaufen, bevor das Problem erkannt wird.
Wie kann man seine Daten konkret schützen?
Zusätzlich zu all den Punkten, die wir zuvor besprochen haben, wird die Einführung spezieller Software für den Informationsschutz dazu beitragen, einen Überblick über sensible Daten zu erhalten und ihre Verwendung zu kontrollieren.
Zuallererst wird ein Audit der Organisation ermöglichen, diese drei grundlegenden Fragen zu beantworten:
1.
Welche sensiblen Daten haben Sie?
Gängige Datentypen sind von Typ:
- Identifizierbare persönliche Informationen (AHV-Nummer, Name, Adresse,..)
- Informationen zu Zahlungskarten
- Kundeninformationen
- Geistiges Eigentum / proprietäre Informationen
- Allgemeine Informationen nur für den internen Gebrauch
- Informationen für den öffentlichen Gebrauch (Marketing,..), die weniger Einschränkungen erfordern.
2.
Wo befinden sich Ihre sensiblen Daten, sowohl intern als auch bei Dritten?
Gängige Orte für die Datenspeicherung sind:
- Speicherung vor Ort / im Netzwerk
- Speicher Cloud, SaaS (Software as a Service)
- Hardware-Speicher, einschließlich Laptops und Desktop-Computer, mobile Geräte, externe Festplatten,...
3.
Wohin gehen Ihre Daten?
Festlegen von Kriterien und Unternehmensrichtlinien
Sie sollten auch die Kriterien und Richtlinien entsprechend den Bedürfnissen der Organisation festlegen (wenn z. B. ein Mitarbeiter der Personalabteilung eine Gehaltsabrechnung einsieht, ist dies ein normaler Vorgang; wenn dieses Dokument von einer Person außerhalb der Abteilung geöffnet wird, sollte eine Warnmeldung angezeigt und nachverfolgt werden). Man kann das Programm auch so anpassen, dass ein Mitarbeiter, der ein Dokument unsachgemäß verwendet hat, eine E-Mail erhält, in der er über seine Handlung informiert wird, ebenso wie ein Mitarbeiter, der Kreditkartendaten in ein Word-Dokument kopiert, eine Benachrichtigung erhält.
Eine korrekte Umsetzung von DLP ermöglicht es daher, Daten als sensibel zu markieren und eine hohe kritische Bewertung zu vergeben. Häufige Ausgangspunkte für diese Art von Datenverletzungen sind Firmen-E-Mail, Webmail, FTP, Wechseldatenträger und Drucken. An jedem dieser Ausgangspunkte kann DLP diese Aktivität melden.
Die Programme
Schließlich helfen Ihnen unsere Experten dabei, die richtigen Werkzeuge wie Microsoft Information Protection (MIP) oder Windows Information Protection (WIP) einzusetzen.
Erzählen Sie uns von Ihrem Projekt!
Für weitere Informationen können Sie sich gerne an uns wenden. Unsere Experten werden Sie durch Ihr Projekt führen, vom Audit bis zur Implementierung, Ihre Daten werden in guten Händen sein.