Data Leakage Prevention – Datendieben auf der Spur

bei

 / 16. October. 2017

Nie waren sie so wertvoll wie heute: unsere persönlichen Daten. Seien es personenbezogene Daten oder geschäftsrelevante Informationen, die in all den täglichen Kundenanfragen, internen E-Mail-Korrespondenz oder in digitalen Personalakten schlummern. Für Hacker und Datendiebe sind diese Inhalte das Gold des 21. Jahrhunderts. Das belegen auch die aktuellen Zahlen der Bitkom: Laut der im Juli dieses Jahres veröffentlichten Studie „Wirtschaftsschutz in der digitalen Welt“ war in den letzten beiden Jahren jedes zweite Unternehmen in Deutschland von Datendiebstahl, Industriespionage oder Sabotage betroffen. Im Fokus der Angreifer standen dabei meist Kommunikationsdaten wie E-Mails (41 Prozent), Finanzdaten (36 Prozent) und Kundendaten (17 Prozent).

Mit der Zunahme der digitalen Kommunikation in allen Lebensbereichen muss deshalb davon ausgegangen werden, dass sich dieser Trend weiter verstärkt. Etablierte Schutzmaßnahmen wie beispielsweise Virenscanner, Spamschutz oder Firewalls reichen dann nicht mehr aus. Denn Angreifer, die es auf geschäftskritische Daten abgesehen haben, gehen bereits jetzt sehr viel gewiefter vor. Denken Sie nur an beliebte Einfallstore wie täuschend echt aufgemachte Phishing E-Mails, mit Trojanern verseuchte Webseiten oder auch die personalisierte Manipulation durch Social Engineering. Um an Firmeninterna zu kommen, nutzen Betrüger unter Vortäuschung eines Vertrauensverhältnisses menschliche Eigenschaften, insbesondere Hilfsbereitschaft oder Respekt vor Autoritäten, aus, um sensible Daten zu erlangen.

Probleme, den Datenklau zu erkennen

Dabei stehen viele Unternehmen vor der Herausforderung, Datendiebstahl und Compliance-Verstöße überhaupt zu erkennen – insbesondere dann, wenn die Datendiebe bereits im Haus sind, weil sie die Firewall überwunden haben oder es sich bei ihnen sogar um Mitarbeiter des Unternehmens handelt. Tatsächlich belegt der Bitkom in seiner bereits eingangs zitierten Studie, dass immer mehr Mitarbeiter zum Datenleck in Unternehmen werden – ob nun beabsichtigt oder ungewollt: In 62 Prozent aller Datenvorfälle der letzten zwei Jahre waren aktuelle oder ehemalige Mitarbeiter involviert. Warum es so viele Mitarbeiter sind? Nun, denken Sie zum Beispiel an die täglich hunderte E-Mails, die gesendet werden: Sie können sich also vorstellen, dass es gerade in großen Organisationen ein sehr komplexes Unterfangen ist, potentiellen Datenabfluss frühzeitig zu erkennen. Stellen Sie sich doch einfach einmal diese Fragen: Wissen Sie, welche Daten ihr Unternehmen per E-Mail verlassen? Können sie ausschließen, dass schützenswertes Know-how dabei ist? Sind Mechanismen etabliert, die den illegalen Versand – ob beabsichtigt oder versehentlich – von Kundendaten blockieren? Und: Gibt es ein Notfallplan, der im Falle einer Datenpanne genau regelt, was wann von wem zu tun ist?

Ausgehende Korrespondenz zu wenig beachtet

Unternehmen achten meist sehr umfänglich und mit mehrstufigen Sicherheitsmechanismen auf ihre eingehende Kommunikation, schenken aber ihrer ausgehenden zu oft zu wenig Beachtung. Wer an E-Mail Sicherheit denkt, verbindet damit häufig nur Viren- und Spamschutz. Generell liegt in vielen Unternehmen der Fokus auf der eingehenden Kommunikation. Risiken, die bei unkontrollierter Kommunikation von innen nach außen lauern, werden nur selten wahrgenommen. Die Praxis zeigt aber, dass gerade der Verlust von sensiblen Informationen, das arglose Versenden von personenbezogenen Daten und die Missachtung von Vorschriften, beispielsweise zum Schutz von Kundendaten, immer größere Probleme bereitet. Wo früher der Diebstahl von Kundendaten noch via USB-Stick oder selbst gebrannten DVDs stattfand, haben es Datendiebe heute dank E-Mail leider sehr viel leichter. Kundendaten mit einem sehr viel größeren Umfang lassen sich mit nur einem Klick als Anhang an eine E-Mail anfügen und versenden.

Vertrauen ist gut, Kontrolle ist besser

Regelmäßig enthalten E-Mails samt ihrer Dateianhänge sensible Informationen und Unternehmenswissen – seien es Angebote, Verträge oder beispielsweise Spezifikationen. Um den unkontrollierte Versand dieser Daten zu verhindern brauchen Unternehmen Mechanismen, die solch einen Datenabfluss entdecken und unterbinden. Das beginnt mit der Kontrolle der zu versendenden Dateianhänge, geht über die Kontrolle ausgehender Textinhalte bis hin zur umfassenden Echtzeit-Analyse des E-Mail-Verkehrs für das gesamte Unternehmen oder einzelne Abteilungen.

Eine zeitgemäße DLP-Lösung (Data Leakage Prevention) erkennt beispielsweise Schlüsselbegriffe, die den branchenspezifischen Sprachgebrauch im Unternehmen prägen und die sich im E-Mail-Text oder Anhang befinden können. Das können bei Unternehmen aus dem Finanzsektor oder bei Online Shops Finanzdaten, Kreditkarteninformationen und Kundennummern sein, bei Unternehmen aus der Gesundheitsbranche Versicherungsdaten und definierte Patientendaten. Zudem kann eine auf elektronischen „Fingerprints“ basierende Technologie Dateiformate unabhängig von ihrer Benennung oder Dateiendung zuverlässig erkennen. So sind beispielsweise Office-Formate eindeutig identifizierbar. Im Rahmen einer automatisierten Prüfung lässt sich der Versand solcher E-Mails vereiteln.

Schon diese Maßnahmen können eine erste Hürde sein, den Versand vertraulicher Daten zu verhindern, können aber im Zweifel nicht alle Schlupflöcher abdecken. Deshalb gehen einige DLP-Lösungen noch einen Schritt weiter, indem innovative Erkennungstechnologien sogenannte Anomalien im E-Mail-Fluss aufdecken. Oder anders ausgedrückt: Abweichungen vom Standard-Verhalten beim E-Mail-Versand sollen erkannt und entsprechend darauf reagiert werden. Dazu können Informationen, wie E-Mail-Anzahl oder -Größe, über einen definierten Zeitraum gesammelt und mit dem aktuellen Verhalten der Anwender abgeglichen werden. Im Ergebnis ist beispielsweise der plötzliche Versand großer Datenmengen oder ein überproportionaler Anstieg des E-Mail-Volumens ersichtlich. Dies können mögliche Anzeichen für den Versand vertraulicher Inhalte sein.

Verdächtige E-Mails blockieren

Die erfassten Daten können auf verschiedene Art und Weise ausgewertet werden. Bereits die Visualisierung gibt einen detaillierten Einblick in die ausgehende E-Mail-Kommunikation. Darüber hinaus sind durch Einführung bestimmter Regeln und Grenzwerte verschiedene Aktionen möglich, wie mit potentiell vertraulichen Inhalten umgegangen wird. Denkbar ist beispielsweise, den Versand anzuhalten und die E-Mail in einem geschützten Bereich abzulegen oder die IT-Verantwortlichen zu benachrichtigen. Sollten Zweifel über die Legitimität des Versandes oder Vertrauenswürdigkeit der Daten bestehen, kann auch das 4-Augen-Prinzip helfen: Eine E-Mail wird in der Quarantäne geparkt und der Absender informiert. Es folgt die 4-Augen-Prüfung durch eine zweite Instanz, zum Beispiel den Datenschutzbeauftragten oder Compliance-Verantwortlichen, und damit die Entscheidung über die endgültige Blockade oder den Versand der E-Mail.

In jedem Fall ist es aufgrund der steigenden Datenmengen entscheidend, dass die eben skizzierten Szenarien zu einem Großteil automatisiert ablaufen, da sich sonst ein solcher DLP-Prozess nicht wirtschaftlich umsetzen lässt. Im Zusammenspiel mit organisatorischen Maßnahmen wie der Sensibilisierung der Mitarbeiter durch Schulungen oder konkrete Betriebsanweisungen sowie unter Berücksichtigung geltender Datenschutzbestimmungen lässt sich auf diese Weise Datenklau nicht nur erkennen, sondern auch wirkungsvoll verhindern.

Andreas Richter, der Autor des Artikels über die Erkennung von Datenklau im Unternehmen.

Der Autor: Andreas Richter ist Mitglied der Geschäftsleitung bei GBS (www.gbs.com) und verantwortet die gesamte Marketing- und Produktstrategie. In seiner Arbeit verknüpft er umfassende Marketing-Expertise mit einem breiten Know-how in Bereichen wie IT-Sicherheit, E-Mail-Management, Collaboration, Social Business, Cloud und Compliance.

Vorheriger ArtikelBetter sorry than safe – wir erziehen unsere Gesellschaft zur Unsicherheit
Nächster ArtikelCybersicherheit im Mittelstand mit SIEM