2010/9 | Fachbeitrag | Digitaler Fingerabdruck
Datenlecks verhindern - Kommt bald der digitale Fingerabdruck?
Inhaltsübersicht:
- Datenlecks – eine wachsende Herausforderung
- Data Loss Prevention in drei Schritten
- Die PreciseID-Technologie
- Content und Kontext
- Lokalisieren und überwachen
Die mangelhafte Sicherheit vertraulicher Daten ist ein massives Problem. Belege dafür liefern die Vielzahl von Berichte über Datenpannen bei Behörden und Unternehmen. Immer wieder tauchen USB-Sticks oder Festplatten mit unverschlüsselten Kundendaten auf. Mitarbeiter können ungehindert sensible Informationen auf beliebige mobile Speichermedien kopieren.
Datenlecks – eine wachsende Herausforderung
Allein aus Unachtsamkeit geschehen tagtäglich Datenpannen, weil vertrauliche Dokumente mit zu einfachen Passwörtern geschützt sind. Wenn etwa Outlook oder Notes automatisch die E-Mail-Adresse eines Empfängers ergänzen, und Mitarbeiter überprüfen sie nicht jedes Mal, haben schon oft vertrauliche Geschäftsunterlagen das Unternehmen ungewollt verlassen. Datenpannen aus Unachtsamkeit sind das eine Problem, noch viel gravierender sind allerdings die Fälle von Datendiebstahl. Und gerade in Zeiten der Wirtschaftskrise haben Datenklau und Wirtschaftsspionage Hochkonjunktur.
Verhindern lassen sich Datenpannen mit einer Lösung für Data Loss Prevention (DLP). Vor der Einführung einer DLP-Lösung muss ein Unternehmen zunächst einmal die vorhandenen Daten ermitteln und klassifizieren. Dabei wird entschieden, welche Informationen allgemein zugänglich, welche vertraulich und welche streng geheim sind. Ergänzt wird die Datenklassifikation um eine Dokumentation der Geschäftsprozesse, in denen sensible Daten verwendet werden.
Data Loss Prevention in drei Schritten
Data Loss Prevention besteht aus drei Schritten:
- Erstens wird festgestellt, wo sensible Daten im Unternehmen einem Risiko ausgesetzt sind.
- Im zweiten Schritt wird ermittelt, wie diese vertraulichen Daten das Unternehmen verlassen.
- Drittens – und das ist das zentrale Ziel von DLP – geht es darum, eine fahrlässige Weitergabe und den Diebstahl unternehmenskritischer Daten zu verhindern. Das gilt für alle Kommunikationskanäle.
Um einen digitalen Fingerabdruck der Daten zu erstellen, wird für alle digital gespeicherten vertraulichen Daten eine eindeutige Kennung erzeugt (PreciseID-Technologie). Dabei handelt es sich um die mathematische Darstellung von Zeichen, Wörtern, Sätzen oder Datenfeldern eines Dokuments, einer Nachricht oder einer Datenbank. Anwenden lässt sich die Fingerabdruck-Technologie auf strukturierte, aber auch auf unstrukturierte Informationen wie betriebswirtschaftliche Kennzahlen, Quellcode, Businesspläne und Produktdesigns. Die PreciseID-Technologie nutzt eine Kombination mehrerer patentierter Verfahren. Dazu gehört etwa ein Vergleich mit Stichworten oder Schlüsselwörtern. Zur eindeutigen Markierung nutzt die PreciseID-Technologie beispielsweise auch Angaben wie Ausweis-, Kreditkarten- oder Personalnummern.
Der mit mathematischen Methoden erzeugte digitale Fingerabdruck erlaubt eine sofortige Identifizierung der Informationen, auch wenn diese durch Cut-and-Paste in ein neues Dokument oder eine Nachricht eingefügt wurden. (Quelle: Websense)
Der Fingerabdruck wird jedoch nicht über das gesamte Dokument berechnet, sondern nur über charakteristische Fragmente; meist genügen 30 bis 50 Zeichen eines strukturierten Datensatzes oder eines unstrukturierten Textes. Die PreciseID-Technologie ist in der Lage, die Fragmente mit der größten inhaltlichen Relevanz herauszufinden, und nur über die eine ID, also eine eindeutige Kennung, zu berechnen. Mit dieser ID soll gleichzeitig verhindert werden, dass bei einem Datenexport Teile von Dateien oder Tabellen per Copy & Paste unbefugt weitergegeben werden.
Die digitalen Fingerabdrücke aller sensiblen Dokumente sind in einer eigenen zentralen Datenbank gespeichert. Sie dient als Referenz für die Überwachung aller Lese- und Schreibvorgänge, die mit den vertraulichen Daten vorgenommen werden.
Zusätzlich zu einem digitalen Fingerabdruck muss definiert werden, welcher Mitarbeiter im Rahmen welcher konkreten Geschäftsprozesse die geschützten Daten benutzen darf. Vervollständigt werden die Sicherheitsregeln durch die Festlegung, wohin und auf welchem Weg sensitive Daten – bei Bedarf zusätzlich verschlüsselt – sicher versandt werden können.
Mit Hilfe der digitalen Fingerabdrücke werden die internen und externen Bewegungen der kategorisierten Daten in Echtzeit kontrolliert, also mit den Einträgen in der zentralen Datenbank verglichen. Dabei wird nach gespeicherten Daten (Data-at-Rest), bearbeiteten Daten (Data-in-Use) und in Übertragung befindlichen Daten (Data-in-Motion) unterschieden. Reports über die Datenbewegungen zeichnen auf, wer die Daten in welchem Kontext verwendet.
Data Loss Prevention sorgt für eine detaillierte Kontrolle von Sicherheitsregeln für Benutzer, Daten, Empfänger und die verschiedenen Kommunikationskanäle. (Quelle: Websense)
Die DLP-Lösung wird dann aktiv, wenn als vertraulich charakterisierte Daten oder Dokumente das Unternehmen – auf welchem Kommunikationsweg auch immer – das Unternehmen verlassen sollen. Zunächst berechnet die DLP-Lösung die Fingerprints dieser Daten und Dokumente. Das Ergebnis wird mit den Werten in der ID-Datenbank und den damit verknüpften Sicherheitsregeln verglichen. Wenn kein Regelverstoß vorliegt, können die Daten verschickt werden. Zeigt sich dagegen, dass der Mitarbeiter diese Daten nicht versenden darf, erhält er eine Benachrichtigung und der Exportvorgang wird gestoppt. Fazit: Durch die Verbindung der digitalen Fingerabdrücke mit einer Kontrolle der Sicherheitsregeln, die festlegen, wer welche Daten wohin versenden darf, verhindert eine DLP-Lösung Datenpannen.
Mit einer Lösung für Data Loss Prevention werden vertrauliche Daten lokalisiert, die Datenbewegungen überwacht und Datenpannen oder -missbrauch verhindert. (Quelle: Websense)