Data Loss Prevention (DLP) – Datenverluste effektiv vermeiden

Was ist Data Loss Prevention (DLP)?

Der Begriff Data Loss Prevention (DLP) umfasst alle Konzepte und Lösungen, die darauf abzielen, den unberechtigten Zugriff auf und den unwiederbringlichen Verlust von Unternehmensdaten zu verhindern. Solche DLP-Lösungen können sowohl (potenzielle) Sicherheitsverstöße melden als auch die Übertragung kritischer Daten aktiv blockieren. So werden Risiken durch unbeabsichtigte Compliance-Verstöße oder auch bewusste Angriffe auf die IT-Infrastruktur reduziert.

Unterschiede zwischen Data Loss Prevention und Data Leakage Prevention

An dieser Stelle ist es sinnvoll, den Begriff Data Loss Prevention gegen die Data Leakage Prevention abzugrenzen. Denn obwohl diese beiden Formulierungen häufig synonym genutzt werden, sind die Schwerpunkte nicht identisch:

• Data Leakage Prevention: Hier geht es darum, den Abfluss von Daten aus dem Unternehmen aktiv zu unterbinden. Im Fokus steht dabei, potenzielle Lecks frühzeitig zu erkennen und aktiv sicherzustellen, dass keine Daten über diese Schwachstellen das Unternehmen verlassen – ob bewusst oder unbewusst.
• Data Loss Protection: Hier steht eher der generelle Schutz der Unternehmensdaten im Vordergrund. Gefährdungsszenarien umfassen nach wie vor die fahrlässige sowie mutwillige Weitergabe durch Insider, aber auch Datenverluste durch Systemausfälle oder andere Gegebenheiten wie etwa Katastrophen.

DLP-Lösungen sind also insgesamt umfassender und ganzheitlicher ausgerichtet als Leakage-Maßnahmen, die vor allem auf aktiv herbeigeführte Datenverluste abzielen. Und ein solcher ganzheitlicher Ansatz wird für Unternehmen heutzutage zunehmend wichtiger.

Die Relevanz von Data Loss Prevention 

Die Notwendigkeit, sich mit dem Risiko möglicher Datenverluste auseinanderzusetzen, ist für Unternehmen in den vergangenen Jahren immer drängender geworden. Dies ist gleich auf mehrere Faktoren zurückzuführen:

• Anstieg der Datenmengen
  Selbst kleine Unternehmen sammeln und verwerten vielfach enorme Datenmengen. Dank der immer stärkeren Vernetzung von Geräten, Maschinen und Anlagen untereinander (IIoT / Industrie 4.0) wird sich dieser Trend auch auf absehbare Zeit fortsetzen. 
• Zunahme von Cyberangriffen
  Je umfassender die Datenbestände von Unternehmen ausfallen, desto eher werden sie zu lukrativen Zielen für Cyberkriminelle. Angriffe mit Ransomware oder Phishing-Attacken machen DLP-Lösungen und Investitionen in den Bereich Cybersicherheit zu einer realen Notwendigkeit.
• Strengere Compliance-Vorgaben
  Durch Regelwerke wie die DSGVO werden Unternehmen dazu verpflichtet, sehr bewusst mit Daten umzugehen und vor allem deren Sicherheit zu gewährleisten. Bei Datenschutzverstößen drohen ansonsten empfindliche Strafen.

Wirksame DLP-Lösungen sind vor dem Hintergrund dieser Entwicklungen gleich in mehrfacher Hinsicht ein Muss für Unternehmen. Die Schäden, die selbst weniger schwerwiegende Datenverluste mit sich bringen, können potenziell verheerend ausfallen.

• Wirtschaftliche Schäden
  Die Wiederherstellung von Daten ist – sofern überhaupt möglich – meist aufwändig und kostspielig. Zudem stehen diese temporär oder dauerhaft verlorenen Daten offensichtlich nicht für Geschäftsprozesse zur Verfügung.
• Rechtliche Konsequenzen
  Sind Daten etwa in Folge eines Hackerangriffs verloren gegangen und stellt sich heraus, dass mangelnde Sicherheitsvorkehrungen seitens des Unternehmens solche Datenlecks begünstigt haben, kann dies gemäß DSGVO bzw. BDSG einen schweren Verstoß darstellen. Solche können erhebliche Geldstrafen nach sich ziehen. 
• Reputationsverlust
  Wird bekannt, dass Daten aus einem Unternehmen entwendet wurden, rückt dies die Kompetenz und Glaubwürdigkeit des betroffenen Unternehmens in Sachen Datensicherheit in ein sehr schlechtes Licht. Potenzielle Kunden könnten sich etwa – aus Sorge um ihre Daten – gegen eine Zusammenarbeit entscheiden. 

Ursachen für Datenverlust – Wo DLP ansetzen muss

Maßnahmen zum Datenschutz müssen umfassend gedacht werden – dies liegt daran, dass die Bandbreite potenzieller Sicherheitslücken und Angriffsziele im Unternehmen enorm ist. Einige der häufigsten Ursprünge solcher Datenlecks haben wir nachfolgend aufgelistet:

Menschliche Fehler

Eine der größten Sicherheitsrisiken ist und bleibt der Nutzer selbst – zu diesem Schluss kommt auch der 2024 Data Loss Landscape Report. Klassische Szenarien sind etwa der Versand von Dateien an die falsche E-Mail-Adresse, das Teilen falscher Ordner via Link oder auch die Freigabe von wichtigen Informationen über Tools, auf die externe Nutzer Zugriff haben. Viele dieser Fehler sind nur einen Mausklick entfernt und werden häufig nicht einmal sofort bemerkt.

Technische Fehlfunktionen

Technische Defekte können eine erhebliche Gefahr für Unternehmensdaten darstellen. Dies reicht von defekten Festplatten und ausgefallenen Servern (ohne Backup) bis hin zu Cloud-Umgebungen, in denen sich plötzlich neue Sicherheitslücken ergeben (Zero Day-Exploit von SharePoint), die es schnell zu schließen gilt. Hierfür braucht es sowohl eine ausdauernde Hardware als auch ein gutes Update- und Patch-Management.

Kriminelle Aktivitäten

Je wertvoller die Daten eines Unternehmens, desto höher natürlich auch die Gefährdung durch Cyberkriminelle und desto höher die Wahrscheinlichkeit, Ziel einer „Datenexfiltration“ zu werden. Durch ein gutes und vorausschauendes Sicherheits- und Berechtigungskonzept – welches notwendigerweise Data Loss Prevention-Maßnahmen einschließt – können sich Unternehmen gegen immer dynamischere Angriffsszenarien wappnen.

Unkontrollierte IT-Systeme

Ob aus Bequemlichkeit oder Unkenntnis – häufig nutzen Mitarbeiter alternative Anwendungen oder Tools, von denen die Unternehmens-IT nichts weiß und die damit auch keiner Kontrolle unterliegen. Dadurch können sich schnell IT-Parallelstrukturen entwickeln. Eine solche Schatten-IT kann ein erhebliches Risiko für die Datensicherheit im Unternehmen darstellen.

Data Loss Prevention – Bewährte DLP-Ansätze

Ein wirkungsvoller Schutz gegen Datenverluste kann – und sollte – auf mehreren unterschiedlichen Ansätzen basieren. Die gängigsten DLP-Ansätze haben wir hier einmal zusammengefasst:

• Content-basierte DLP-Maßnahmen

  Bei diesem Ansatz kommt Software zum Einsatz, die innerhalb des Unternehmens-Netzwerks Inhalte darauf prüft, ob sie Muster aufweisen, die typisch für sensible Daten sind oder als unternehmenskritisch definiert wurden.

  Dies können etwa Zahlen-/Nummernfolgen sein (IBAN / Kreditkarte / Personalausweis) Dateibezeichnungen mit bestimmten Schlagwörtern (Projektname), Anlagen mit besonderer Kodierung (Hash-Werte) oder (exakte) Kopien klassifizierter Dokumente.

  In diesem Kontext muss festgelegt werden, wie mit solchen erkannten Dateien zu verfahren ist und wie streng die „Filterregeln“ jeweils ausfallen, damit nicht jede Kopie einer Datei ein vermeintlich sicherheitsrelevantes Ereignis darstellt. 

• Kontext-basierte DLP-Maßnahmen

  Bei diesem Data Loss Prevention-Ansatz geht es um die Einordnung, welche User welche Handlungen in einem bestimmten „Kontext“ durchführen. Anhand des Kontext wird entschieden, wie mit den jeweiligen Vorgängen zu verfahren ist.

  Ein Beispiel wären etwa größere Aktivitäten außerhalb der Arbeitszeiten, eine ungewöhnliche Menge an Druckaufträgen für als vertraulich eingestufte Dokumente, Anmeldungen von Usern aus unbekannten Ländern oder der massenhafte Download bestimmter Dateien, der auf einen Hackerangriff hindeuten mag.

  Wann solche Aktivitäten als Auffälligkeit oder gar als Verstoß gegen Richtlinien zu werten sind, muss natürlich unternehmensspezifisch fein ausgestaltet und geprüft werden. 

• Deep Integration in die IT

  Für alle Ebenen innerhalb der eigenen IT braucht es passenden Maßnahmen zur Data Loss Prevention. So müssen im Mail-Programm etwa ein- und ausgehende Mails geprüft werden. Identische Prüfungen und Validierungen (von Dateien) sind für das gesamte Unternehmensnetzwerk erforderlich.

  Über API-basierte Scans können auch Cloud-Services darauf geprüft werden, ob dort notwendige Konfigurationen zum Schutz vor Datenverlusten gegeben sind. So behalten Unternehmen von der Einpflege von Datensätze bis zum Export die volle Übersicht.

• Verschlüsselung / Rechteverwaltung / Zugriffskontrolle

  Tools zur Data Loss Prevention sollten so aufgesetzt sein, dass sie aktiv Maßnahmen durchsetzen und steuern können. Hierzu zählt etwa die standardmäßige Verschlüsselung bei der Übertragung / Aufbewahrung von Daten.

  Idealerweise erhalten Mitarbeiter immer nur rollenbasiert Zugriff auf Dokumente oder Informationen, die für sie aktuell und in einem spezifischen Kontext wichtig sind (Least Privilege). Breite Berechtigungen sollten für die wenigsten Mitarbeiter gelten.

  Zu den wichtigsten DLP-Maßnahmen zählt auch eine konsequente Zero Trust-Politik – diese verlangt die Verifizierung aller Nutzer oder Geräte, die mit dem Netzwerk insgesamt kommunizieren oder auf Daten zugreifen möchten. So werden sowohl versehentliche als auch mutwillige Datenexfiltrationen wirkungsvoll unterbunden.

Umsetzung von DLP im Unternehmen – Best Practices

Die Effektivität von Maßnahmen zum Schutz gegen Datenverluste steht und fällt natürlich mit der Einbindung in die jeweiligen Prozesse im Unternehmen. Damit dies wirkungsvoll gelingt, ist es sinnvoll, die Umsetzung gut zu planen und Schritt für Schritt anzugehen:

1. Klassifikation sensibler Daten

An erster Stelle sollten Unternehmen den eigenen Datenbestand auswerten und prüfen, welche Daten welche Wichtigkeit bzw. Wertigkeit besitzen. Eine solche Klassifizierung hilft auch dabei, Stellen innerhalb der IT zu definieren, in denen eine „Ballung“ besonders wertvoller Daten vorliegt – und die potenziell für Angreifer sehr interessant sein könnte.

Hierfür sollten im Vorfeld passende Kriterien und Ansätze zur Kennzeichnung definiert werden (Content / Kontext), um besonders sensible bzw. vertrauliche Daten von weniger geschäftskritischen Datenströmen zu unterscheiden.

Wichtig: Diese Klassifikation von Daten findet nicht nur zu Beginn, sondern entlang des gesamten Prozesses statt. Alle zukünftigen Daten sind logischerweise ebenso zu klassifizieren, damit für diese auch identische Sicherheitsmaßnahmen gelten.

2. Definition von DLP-Richtlinien

Der nächste Schritt ist, für verschiedene Kanäle und Aktivitäten festzulegen, welche Richtlinien jeweils für welche Kategorien von Daten gelten. Darf etwa ein Anhang X einfach per Mail versandt werden? Darf ein Ordner mit Daten auf einen externen Datenträger kopiert werden? 

Oder weiter gedacht: Ist für den Zugriff eine bestimmte Autorisierungsstufe erforderlich? Welche „Sicherheitsstufe“ benötigt ein Mitarbeiter für welche Aktivitäten und Handlungen? All dies ist frühzeitig im Prozess zu spezifizieren.

Entsprechende DLP-Tools müssen so konfiguriert sein, dass sie – je nach Szenario – entsprechende Handlungen aufzeichnen, eventuell Warnungen ausgeben oder diese Handlungen komplett unterbinden. Wichtig ist, dass diese Richtlinien klar und nachvollziehbar definiert sowie auch entsprechend kommuniziert werden.

3. Integration in bestehende IT-Sicherheitsarchitektur

Alle Maßnahmen zur Data Loss Prevention müssen konsequent in die eigene IT-Infrastruktur integriert werden – gerade natürlich mit Blick auf die Sicherheit während der Speicherung und Übertragung. So sollte etwa die Verschlüsselung (sensibler) Daten zum Standard gehören, wenn dies nicht ohnehin schon im Unternehmen gilt.

Gleichzeitig muss geregelt sein, wann etwa Verstöße gegen DLP-Richtlinien bestimmte Konsequenzen (Sperren / Entzug von Freigaben) nach sich ziehen. Je früher solche Aspekte verbindlich und einheitlich definiert, desto sicherer sind anschließend auch die Mitarbeiter im Umgang.

4. Schulung und Sensibilisierung

Begleitend zu allen Tools und technischen Lösungen haben die Mitarbeiter eine ganz zentrale Funktion bei der erfolgreichen Umsetzung der Data Loss Prevention-Strategie. Diese sollten so früh wie möglich aktiv in den Prozess eingebunden und in der Nutzung entsprechender Software geschult werden, um diese im Geschäftsalltag auch richtig einsetzen zu können.

Neben der generellen Schulung braucht es begleitend auch eine Sensibilisierung für die DLP-Thematik insgesamt. In Verbindung mit einem stufenweisen Rollout im Unternehmen können Mitarbeiter so besser nachvollziehen, wie auch sie zum Datenschutz und zur Wahrung von Betriebsgeheimnissen beitragen können – oft schon mit vielen Kleinigkeiten.

Beim Einsatz im Unternehmen ist dann über ein Monitoring zu prüfen, welche Maßnahmen wie gut funktionieren oder wo es im Prozess noch Hindernisse gibt – ob technischer oder menschlicher Natur. Diese Punkte sollten regelmäßig aufgegriffen und optimiert werden. 

Data Loss Prevention – Für Sicherheit im Datenverkehr

Datenverluste im Unternehmen können verheerende Konsequenzen nach sich ziehen. Aus diesem Grund rechnet es sich für Firmen aller Größen, sich mit bewährten DLP-Strategien auseinanderzusetzen und deren Umsetzbarkeit für den eigenen Betrieb zu prüfen. Diese sind ein wichtiges und notwendiges Standbein der (digitalen) Unternehmenssicherheit.

Das Ziel muss es dabei sein, dass Data Loss Prevention als fortlaufender und sich stetig weiterentwickelnder Prozess gesehen und verstanden wird. Was funktioniert, das bleibt bestehen, was zu Komplikationen führt, wird angepasst. Durch diese inkrementelle Weiterentwicklung werden die unternehmenseigenen Informationen bestmöglich geschützt.