Thought Leadership
Controlware hat eine detaillierte Checkliste für die Umsetzung unternehmensweiter Data-Leakage-Prevention-Konzepte entwickelt. Der Leitfaden gibt Unternehmen bewährte Best Practices an die Hand, um Datenbestände effizient zu klassifizieren und Datenverluste zuverlässig zu unterbinden.
Data Leakage Prevention ist ein unverzichtbarer Bestandteil moderner Datenschutz- und IT-Security-Strategien – nicht zuletzt im Hinblick auf die erfolgreiche Umsetzung der DSGVO.
„Mit modernen DLP-Technologien können IT-Abteilungen die Zugriffe auf kritische Daten überwachen und Richtlinien-basiert steuern, wer Zugang zu welchen Informationen erhält“, erklärt Rainer Funk, Solution Manager Information Security, Business Development bei Controlware. „Die Implementierung einer solchen Lösung erfordert auf jeden Fall eine tiefe Integration in die IT-Infrastruktur und in die Prozesse – und stellt Unternehmen oft vor erhebliche Probleme. Daher haben wir eine kompakte Checkliste entwickelt, die Kunden hilft, ihre kritischen Daten angemessen zu schützen.“
Definieren Sie realistische Ziele
Viele DLP-Projekte scheitern, weil das Projektteam und die Stakeholder mit falschen Erwartungen in die Umsetzung starten: DLP-Lösungen sind in der Regel nicht in der Lage, Datendiebstahl – etwa durch Malware oder Exploits – zu verhindern, sondern dienen ausschließlich dazu, die Verbreitung kritischer Daten zu unterbinden. Achten Sie darauf, diese Unterscheidung klar zu kommunizieren, um Missverständnisse im Projektverlauf zu vermeiden.
Binden Sie die Mitarbeiter ein
Ein zentraler Erfolgsfaktor jedes DLP-Projekts ist es, die Mitarbeiter frühzeitig im Umgang mit kritischen Informationen zu sensibilisieren. Holen Sie alle Dokumentenersteller mit ins Boot, und erläutern Sie klar die Projektziele, wobei die Kenntnisse bei regelmäßigen E-Learning-Maßnahmen wieder aufgefrischt werden sollten.
Erfassen Sie Ihren gesamten Datenbestand
Ermitteln und dokumentieren Sie zu Projektbeginn den gesamten Datenbestand Ihres Unternehmens. Berücksichtigen Sie dabei sowohl die historischen als auch die aktuellen Daten. Ratsam ist es darüber hinaus, im Zuge der Datenerfassung eine detaillierte Analyse der Cloud-Anwendungen durchzuführen, um ausgelagerte Office- und Filesharing-Apps abzudecken.
Kategorisieren Sie die Daten nach Schutzbedarf
Im nächsten Schritt gilt es, die Daten nach Schutzbedarf und Risikopotenzial zu klassifizieren. Hier hat es sich bewährt, mit drei Kategorien zu starten: Public, Private und Restricted. Auf diese Weise stellen Sie einen einfachen und schnellen Rollout sicher und behalten durchgehend den Überblick.
Definieren Sie eine Policy für das Handling schützenswerter Daten
Für den Umgang mit den drei oben genannten Kategorien müssen klare Richtlinien entwickelt werden. Die Policies regeln, welche Zugriffe und Bewegungen für die unterschiedlichen Klassen und Rollen jeweils zulässig sind und legen für Data-at-Rest, Data-in-Motion und Data-in-Use verbindliche Handlungsanweisungen fest.
Automatische Kategorisierung von Data-at-Rest
Auf Servern, Storage-Systemen, Netzlaufwerken oder in der Cloud gespeicherte, historische Daten werden von den meisten DLP-Lösungen automatisiert klassifiziert. Dabei kommen zum einen Content-basierte Analysen zum Einsatz, die kritische Daten anhand von Schlüsselwörtern („vertraulich“, „geheim“ oder „nur für den internen Gebrauch“) oder Formatvorlagen (etwa Kreditkartennummern) kategorisieren. Zum anderen unterstützen moderne Lösungen lernende Verfahren, bei denen die Klassifizierung zum Beispiel anhand des Speicherorts oder des Datentyps erfolgt.
Vorsicht bei der Übertragung von Daten
Um kritische Daten auch während der Übertragung im Netzwerk zu schützen, sollten Sie die DLP-Lösung nahtlos in Ihre Groupware-, E-Mail- und Instant-Messaging-Anwendungen integrieren. Dies erlaubt es, vor dem Versand automatisiert zu prüfen, ob alle Empfänger über die entsprechende Autorisierung verfügen. Anderenfalls wird der Zugriff Richtlinien-basiert unterbunden.
Schützen Sie Daten auf den Endpoints
Eine erfolgreiche DLP-Einführung hängt maßgeblich davon ab, wie transparent und nahtlos die Integration auf den Endgeräten ist. Im Idealfall sollten die DLP-Features für die Mitarbeiter im Alltag unsichtbar sein und weitgehend automatisiert erfolgen. Die einzige Aufgabe, von der Sie Ihre Kollegen nicht entbinden können, ist die manuelle Kategorisierung neu angelegter oder bearbeiteter Dateien. Alle weiteren Schritte – etwa die automatische Verschlüsselung klassifizierter Dokumente oder die Validierung der Empfänger beim Versand – lassen sich mit zeitgemäßen DLP-Tools automatisiert abwickeln.
Aktualisieren Sie den Datenbestand und die Klassifizierung
Überprüfen Sie regelmäßig, ob die DLP-Klassifizierung aktuell ist. Viele Daten, die anfangs eine hohe Vertraulichkeitsstufe erfordern, verlieren diese mit der Zeit. Denken Sie auch daran, Daten ohne Wert für das Unternehmen zeitnah zu löschen, um das Datenvolumen zu minimieren.
Schließen Sie interne Lücken mithilfe externer Experten
DLP-Projekte wirken sich auf die gesamte IT-Infrastruktur und den gesamten Datenbestand aus und sind vergleichsweise komplex. In der Praxis ist es daher sinnvoll, frühzeitig externe Experten einzubeziehen. Erfahrene Systemintegratoren verfügen über Umsetzungserfahrung aus verschiedensten Projekten – und sind mit ihrer themenübergreifenden Herangehensweise ein zuverlässiger Partner.
Fazit
DLP gehört zu den Kernbausteinen jeder IT-Security-Strategie. Um zuverlässigen Schutz kritischer Daten zu gewährleisten, müssen Unternehmen die Assets sorgfältig analysieren und klassifizieren und den Zugriff auf regulierte Informationen Richtlinien-basiert steuern.
www.controlware.de
