Vielen Unternehmen fällt es schwer, die Kontrolle über ihre Daten zu behalten, besonders seit Mitarbeiter vermehrt remote arbeiten und verschiedenste Cloud-Services und KI-Tools nutzen. Data Loss Prevention (DLP) kann den Abfluss sensibler Informationen verhindern, doch die Einführung gilt als komplex und zeitraubend. Der Sicherheitsspezialist Forcepoint erklärt, wie sich DLP-Projekte reibungslos durchführen lassen.
Datenabflüsse verhindern – in acht einfachen Schritten
Die Datenmengen in Unternehmen wachsen, und mit ihnen die Herausforderungen beim Schutz der Daten. Denn diese liegen nicht mehr vornehmlich auf gut gesicherten internen Servern, sondern fließen beständig zwischen Endgeräten innerhalb und außerhalb des Firmennetzwerks, lokalen Infrastrukturen und Clouds sowie neuen KI-Tools hin und her. Klassische Sicherheitskonzepte können mit dieser Vielfalt und Dynamik nicht mithalten – Unternehmen müssen die Daten selbst in den Mittelpunkt stellen und detailliert regeln, was mit ihnen getan werden darf und was nicht. Lösungen für Data Loss Prevention (DLP) helfen dabei. Bei ihrer Einführung hat sich nach Erfahrungen von Forcepoint folgendes Vorgehen bewährt:
Schritt 1: Ziele und Use Cases definieren
Zunächst müssen Unternehmen klären, welche Ziele sie mit der Einführung einer DLP-Lösung erreichen wollen: Geht es um den Schutz von wertvollem geistigem Eigentum oder regulatorische Vorgaben, etwa in Bezug auf den Datenschutz? Soll eine sichere Basis für hybride Arbeitsmodelle geschaffen werden oder steht die Einführung neuer Cloud-Services und KI-Tools im Vordergrund, die nicht zu Datenabflüssen führen soll? Darauf aufbauend können Unternehmen ein Risikoprofil erstellen, das unter anderem die verschiedenen Arten von zu schützenden Daten, die Kanäle, über die sie abfließen können, sowie die Konsequenzen von Datenabflüssen umfasst.
Schritt 2: Implementierungsplan aufsetzen
Steht fest, welche Daten und Kanäle geschützt werden sollen, lässt sich eine Roadmap für die DLP-Einführung festlegen. Dafür müssen Unternehmen alle Stakeholder an Bord holen und Verantwortlichkeiten klären, etwa wer sich um die Installation und Integration in die bestehende Infrastruktur kümmert, wer die Optimierung von Richtlinien und wer die Bearbeitung von Incidents übernimmt. Gemeinsam kann dann ein Zeitplan erarbeitet werden, der die verfügbaren personellen Ressourcen berücksichtigt und auch Zeit für Tests lässt.
Schritt 3: Richtlinien und Workflows definieren
Sind die Projektmanagement-Vorbereitungen erledigt, lassen sich die Richtlinien ausarbeiten, die die DLP-Lösung später durchsetzen soll. Dafür sollten Experten aus den Fachbereichen hinzugezogen werden, die bei der Einschätzung unterstützen, welche Auswirkungen ein Verlust oder Diebstahl der Daten hätte. Darauf basierend lassen sich für Aktivitäten – etwa den Versand der Daten per E-Mail oder das Hochladen in die Cloud – Aktionen festlegen. Bei unkritischen Daten reicht in der Regel eine Protokollierung, bei anderen Daten ist je nach Kanal und Kritikalität ein Warnhinweis, ein Freigabeprozess oder ein Blockieren der Aktion möglich. Auch eine Verschlüsselung kann erzwungen werden, beispielsweise beim Speichern von Dokumenten auf USB-Sticks. Wichtig ist, dass die Aktionen möglichst automatisiert eingeleitet werden, um das Sicherheitsteam zu entlasten und Verzögerungen für Anwender zu vermeiden. Lediglich Ereignisse mit unbekannten Auswirkungen sollten ein manuelles Eingreifen erfordern: Die entsprechenden Workflows – Wer schaut sich den Vorfall an? Wer entscheidet über die Maßnahmen? – werden ebenfalls in dieser Projektphase festgelegt.
Schritt 4: DLP einführen und für das Monitoring nutzen
Nun folgt die eigentliche Installation und Konfiguration der DLP-Lösung. Bevor diese vollständig scharf geschaltet wird und die Richtlinien durchsetzt, sollte sie zunächst weitgehend passiv genutzt werden – nur für ein Monitoring. Auf diese Weise erhalten Unternehmen einen Einblick in alle Datenbewegungen und die potenziellen Auswirkungen ihrer Richtlinien. Stellen sich diese als zu restriktiv heraus, können sie noch Anpassungen vornehmen. Lediglich Richtlinien, die hochkritische Aktivitäten wie den massenhaften Upload von Daten zu verdächtigen Zielen im Internet betreffen, sollten in dieser Phase tatsächlich durchgesetzt werden. Darüber hinaus ist es oft sinnvoll, den DLP-Einsatz nicht gleich unternehmensweit zu starten, sondern mit einem Kanal wie E-Mail oder Cloud, mit einem Fachbereich oder mit einer Region.
Schritt 5: Mit der Durchsetzung von Richtlinien beginnen
Ist das Feintuning der Richtlinien abgeschlossen, können sie schließlich durchgesetzt werden – auch hier empfiehlt es sich, schrittweise vorzugehen und beispielsweise mit den kritischsten Daten und Kanälen anzufangen. Ein genauer Blick auf das Monitoring ist jedoch weiterhin zu empfehlen, um sicherzustellen, dass Mitarbeiter nicht bei legitimen Aktivitäten behindert und Richtlinien bei Bedarf zügig angepasst werden. Ideal ist es zudem, wenn die DLP-Lösung nicht auf starre Richtlinien setzt, sondern den Kontext von Aktivitäten berücksichtigt und Richtlinien dem Risiko entsprechend verändert. Schließlich zeigt sich oft erst am Kontext, ob eine Aktion harmlos oder sicherheitskritisch ist, etwa weil der Nutzer zu ungewöhnlichen Zeiten oder von unüblichen Orten auf Daten zugreift oder plötzlich deutlich größere Datenmengen als im bisherigen Arbeitsalltag herunterlädt.
Schritt 6: Optimierungen vornehmen
Nachdem die eigentliche DLP-Einführung abgeschlossen ist, ist es an der Zeit für Analysen und Optimierungen. Zeigen sich beispielsweise bestimmte riskante Verhaltensmuster in der Belegschaft, können Unternehmen gezielt Schulungen hierzu ansetzen. Zudem sollte die Wirksamkeit der Richtlinien kontinuierlich überprüft werden. Letztlich ist Datensicherheit ebenso wie die DLP-Einführung keine einmalige Aktion, die irgendwann abgeschlossen ist, sondern sollte immer weiter optimiert werden, um neuen Technologien, Tools, Datentypen und Bedrohungen gerecht zu werden.
Schritt 7: DLP unternehmensweit einsetzen
Abgeschlossen wird die DLP-Einführung mit der Ausweitung des Schutzes auf die verbleibenden Datentypen und Kanäle, die in den Schritten 4 und 5 noch nicht berücksichtigt wurden. Wird eine moderne DLP-Lösungen eingesetzt, lassen sich die bestehenden Richtlinien leicht auf andere Kanälen anwenden, weshalb der Aufwand überschaubar ist. Gegebenenfalls lassen sich bestehende Richtlinien auch replizieren und anpassen, sollte ein Kanal besondere Anforderungen aufweisen.
Schritt 8: DLP zum DPSM erweitern
Der Ausbau einer DLP-Lösung zu einem vollständigen Data Security Posture Management (DSPM) kann die Effektivität der Richtlinien deutlich verbessern. DSPM bietet Funktionen für eine automatische Data Discovery und Datenklassifizierung, sodass Unternehmen keine Datenbestände übersehen und weniger manuellen Aufwand haben. Zudem hilft DSPM, übermäßige Berechtigungen für Dateien aufzuspüren und zu beseitigen und auf diese Weise das Risiko von Sicherheitsverletzungen weiter zu reduzieren. Damit erleichtert es die Umsetzung von Least-Privilege-Prinzipien. Und nicht zuletzt identifiziert ein DSPM auch Daten, die redundant, veraltet oder überflüssig sind und gelöscht werden können, um die Speicherkosten zu senken.
