Data-Leakage/Loss-Prevention 2022
Um Data-Leakage/Loss-Prevention (DLP) ist es eher still geworden. Die
Angesichts der zahlreichen Berichte über Datenlecks und Sicherheitsbrüche in den vergangenen Jahren hätte man vielleicht erwartet, wieder häufiger von Lösungen zu hören, die – zumindest dem Namen nach – genau solche Vorkommnisse verhindern sollen. Doch um Data-Leakage/Loss-Prevention (DLP) blieb es eher ruhig. Die hat daher Expert:inn:en bei Behörden, Verbänden und Anbietern gefragt, welchen Stellenwert DLP in einer modernen Strategie/Architektur zur Informations-Sicherheit hat oder haben sollte und wie es um Verbreitung, Produktreife, Probleme und Zukunftsaussichten solcher Lösungen steht.
Stellenwert
„DLP ist in heutigen komplexen IT-Verbünden ein wichtiges Thema. Relevant ist sie für alle Unternehmen, die sensible Daten vorhalten. Der IT-Grundschutz des BSI empfiehlt daher, DLP-Systeme bei erhöhtem Schutzbedarf einzusetzen“, erläutert Joachim Wagner, Stellvertretender Pressesprecher des BSI. Zustimmung kommt von Tim Müller, Technology Analyst bei der Deutschen Cyber-Sicherheitsorganisation (DCSO): „DLP kann einen effektiven Schutz gegen versehentlichen und mutwilligen Informationsabfluss darstellen und sollte Teil jeder Architektur mit schutzbedürftigen Informationen sein. DLP ist oft Teil des ISMS und gerade bei datenzentrischen Sicherheitsarchitekturen unverzichtbar.“
Für Christine Schönig, Regional Director Security Engineering CER bei Check Point ist DLP „ein kritischer Teil der IT-Sicherheitsstrategie – neben Diensten der nächsten Generation wie Virenabwehr, URL-Filtering, Application-Control und so weiter“. Wichtig sei, dass die IT-Sicherheits-Dienste zusammenarbeiten und von einer zentralen Threat-Intelligence-Datenbank unterstützt würden.
„DLP sollte fester Bestandteil einer Sicherheitsarchitektur sein“, sagt auch Derk Fischer, Partner und Cyber-Security-Experte bei PwC Deutschland: „Vom versehentlichen Versand über Insider-Threats bis hin zu extern verursachten Datenlecks müssen sich Unternehmen auf Risiken einstellen. Daher wurde DLP nun erstmals in der ISO 27001:2021 in Form eines eigenen Controls abgebildet.“ Zur Verbreitung berichtet Fischer: „Vor allem Nachrichtendienste sowie hochsensible Daten verarbeitende Behörden und Unternehmen setzen DLP-Lösungen seit Jahren erfolgreich ein. In der freien Wirtschaft gibt es systematische DLP-Lösungen bisher nur vereinzelt.“ DLP könne generell nur auf Basis einer umfassenden Risikobewertung und entsprechenden Klassifizierung der betroffenen Daten erfolgreich sein. Ein wichtiger Nebeneffekt dieses Vorgehens sei die Sensibilisierung der Informationseigentümer zum Wert der Informationen und der Tragweite eines Verlusts.
Ramon Mörl, Geschäftsführer von itWatch ergänzt: „Im Zuge von Ransomware kommt DLP eine neue Bedeutung zu, da Angreifer betriebswirtschaftliche Daten exfiltrieren und genau analysieren, um die maximale Lösegeldsumme zu ermitteln, die sich das Unternehmen gerade noch leisten kann.“ Allerdings stellen sowohl DLP als auch die Infiltration selbst die Frage nach den Grenzen des Perimeters: „Diese Frage wird immer komplexer, denn ein verschlüsselter oder geeignet verschleierter, eingebetteter Inhalt kann erst auf seinen Vertraulichkeitsbedarf untersucht werden, wenn er im Klartext vorliegt. Insofern kommt dem Lifecycle von Informationen und dem Management der verarbeitenden Anwendungen eine große Bedeutung zu, der bisher nicht genug Aufmerksamkeit geschenkt wurde.“
„Obwohl das Bewusstsein für die Risiken von ungewolltem Datenverlust zunimmt und auch Investitionen in die Cybersicherheit stetig steigen, besteht branchenübergreifend noch viel Nachholbedarf im Bereich DLP“, konstatiert Ari Albertini, Chief Operating Officer von FTAPI: „Branchen, die per Gesetz bestimmten Richtlinien unterliegen und entsprechende Anforderungen erfüllen müssen, verfügen bereits über eine Art von DLP – häufig greifen sie dabei allerdings auf analoge Medien und Übermittlungswege zurück. Vom Standpunkt der Digitalisierung aus ist das eher ein Rückschritt.“
Generell gehört DLP für Albertini zu den „zentralen Bausteinen einer modernen IT-Sicherheitsarchitektur“. Allerdings liege der Fokus vieler Konzepte häufig darauf, Festplatten oder Netzlaufwerke abzusichern – sichere Datenübermittlung oder die Verwaltung von Zugriffsrechten in Cloud-Speichern stünden häufig nur an zweiter Stelle: „Und das, obwohl der Datenaustausch mit Kunden, Lieferanten, Maschinen und Personen zu den Kerntätigkeiten vieler Unternehmen gehört und damit ein großes Risiko für den ungewollten Verlust von Daten darstellt. Meiner Einschätzung nach entspricht eine moderne DLP-Strategie nur dann dem aktuellen Stand der Technik, wenn geeignete Tools eingesetzt werden, um auch‚ Data in Motion‘ entsprechend zu schützen.“
„Für die Kontrolle und den Schutz von gespeicherten Daten und Daten in Bewegung in Zero-Trust-Architekturen ist DLP eine der wesentlichen und wichtigsten Möglichkeiten der technischen Umsetzung“, bestätigt Michael Kynast, Technology Analyst bei der DCSO.
„DLP wird oft zwar nicht als Allheilmittel, aber doch als wichtiger‚ Pfeil im Köcher‘ eines modernen Security-Programms genannt“, sagt David Fuhr, Head of Research & Innovation bei HiSolutions. „Für die Compliance kann es sinnvoll und effizient sein, bestimmte Funktionen einer DLP-Lösung mit ins Portfolio zu nehmen. Das Risiko von Datenabflüssen insgesamt senken kann DLP allein heute aber nur sehr begrenzt“, gibt Fuhr zu bedenken. Ohnehin sei DLP bisher nur in den wenigsten Branchen flächendeckend im Einsatz.
Zwiespältig sieht es auch Andreas Riepen, Head Zentraleuropa bei Vectra AI: „Die Priorisierung von DLP innerhalb einer Sicherheitsstrategie schwankt stark zwischen intensiver Fokussierung und Apathie – und wieder zurück.“ Das sei hauptsächlich auf zwei Faktoren zurückzuführen: externe Vorschriften und das Bemühen, geistiges Eigentum vor staatlichen Angreifern zu schützen. „DLP als Technologie hat mittlerweile einen schweren Stand und wird von vielen Sicherheitsverantwortlichen schlicht als Compliance-Checkbox abgehandelt“, so Riepen: „Tatsächlich ist ein pragmatischer Ansatz nötig, bei dem die Informationssicherheit davon ausgehen muss, dass ihre Daten bereits verloren sind. Die meisten Sicherheitsteams haben sich daher von einem technisch orientierten DLP-Programm auf eine prozessorientierte Datenrisikomanagementstrategie verlagert, die auf Sichtbarkeit und Priorisierung statt auf Prävention setzt.“
„DLP ist ein Thema, das in Deutschland nie so richtig Fahrt aufgenommen hat“, kommentiert Stefan Strobel, Geschäftsführer von cirosec: „Das liegt vor allem daran, dass sich der Abfluss vertraulicher Daten nur sehr begrenzt technisch verhindern lässt. Unternehmen, die bisher in eine DLP-Lösung investiert haben, haben das vermutlich primär nicht aus technischen, sondern eher aus Compliance-Gründen getan: Wenn man Geld für DLP ausgegeben hat, kann später keiner behaupten, man hätte nichts getan.“
Gehört DLP zum „Stand der Technik“?
„Je konkreter man technisch betrachtet, wie Daten abfließen und welche Maßnahmen wie stark dagegen wirken, umso mehr Probleme oder auch Ansatzpunkte findet man, die wichtiger sind als eine DLP-Lösung“, gibt Strobel zu Bedenken. So gesehen wäre es wenig hilfreich, eine Umsetzung von DLP als „Stand der Technik“ zu fordern: „Sinnvoller wäre es, die grundlegende Verschlüsselung von sensiblen Daten voranzutreiben, was auch eher einem modernen Zero-Trust-Ansatz entsprechen würde – denn DLP-Lösungen gehen ja in der Regel gedanklich immer noch von einem existierenden Perimeter aus.“
Petra Nietzer, Vorständin des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V. betont, dass bei Maßnahmen zum Schutz personenbezogener Daten nach „Stand der Technik“ nicht nur Cyberangriffe oder gezielter Datenklau im Fokus stehen dürften: „Auch unwissentlich werden personenbezogene Daten anderen offengelegt oder in ungeschützte Umgebungen gebracht – sei es durch Kopieren in Laufwerke mit unzureichenden Zugriffsschutz, Speichern auf unsichere mobile Datenträger oder unbedachtes Versenden in E-Mails. Diese Gefährdungen sind Unternehmensalltag und können zu Datenschutzverletzungen führen – DLP kann den Nutzer und damit das Unternehmen davor bewahren. Auch für den Datenschutz ist DLP also ein wichtiger Baustein in einer modernen IT-Sicherheitsstrategie.“
„Das IT-SiG und die DSGVO verlangen einen besonderen Schutz sensibler Daten – dazu müssen Unternehmen aber erst einmal wissen, welche sensiblen Daten sie überhaupt haben, wo sie liegen und was die Mitarbeiter damit machen“, unterstreicht Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint: „DLP ist das erfolgreichste Werkzeug, wenn es darum geht, solche Daten aufzuspüren, in Echtzeit zu überwachen und einen ungewollten Abfluss zu unterbinden – deshalb spielt es eine zentrale Rolle für Informationssicherheit.“
Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein erklärt: „Nach der DSGVO muss der Verantwortliche ein dem Risiko angemessenes Schutzniveau gewährleisten und dafür geeignete technische und organisatorische Maßnahmen treffen. Dazu gehört auch, mit einem geeigneten Set an Maßnahmen den Abfluss schutzbedürftiger (personenbezogener) Daten zu verhindern. Zu diesen Maßnahmen können auch DLP-Systeme gehören, jedoch ist dies kein Muss. Die Wirksamkeit der gesamten Menge der technischen und organisatorischen Maßnahmen ist entscheidend.“ Hinzu komme, dass der Einsatz von DLP-Systemen selbst datenschutzgerecht erfolgen müsse.
Als typische datenschutzrechtliche Spannungsfelder nennt Hansen die Einbindung von Dienstleistern für DLP Zwecke (gerade aus Drittstaaten ohne angemessenes Datenschutzniveau) sowie die Natur von DLP-Lösungen, die durch eine Beobachtung der IT-Systeme und allem voran auch des Nutzungsverhaltens charakterisiert sei „Damit ist zum Beispiel das Risiko verbunden, dass Beschäftigte übermäßig überwacht werden oder es zu einer Verhaltens- und Leistungskontrolle kommt – hier läge eine Mitbestimmungspflicht vor. Zu klären wäre auch, wie ein Reporting von Compliance-Verstößen geschehen könnte, bei dem einem Mitarbeitenden, der irrtümlich etwas falsch macht, nicht automatisch ein vorsätzliches Fehlverhalten unterstellt wird. Hier wäre rechtlich geboten, dass Beschäftigte ausreichende Informationen zu den Regeln, Reporting- und Meldeprozessen erhalten. Dies hat auch Auswirkungen auf die Unternehmenskultur.“ Relevant sei überdies die Transparenz des DLP-Systems selbst, besonders wenn KI zum Einsatz komme, betont Hansen.
Probleme und Hindernisse
„Eine Herausforderung, der sich Kunden stellen müssen, sind die komplexe Implementierung (Integration in bestehende Informationsflüsse und andere Sicherheitssysteme oder die Schulung des Personals) und die Pflege des Systems (Aktualität von Stichwortlisten, Klassifikationen, Vermeidung von fehlerhaften Detektionen usw.) – aufgrund dieser Problemstellungen ist ein unternehmensweiter Einsatz seltener zu beobachten“, berichtet Kynast (DCSO).
Datenklassifikation – eine große Hürde?
Sein Kollege Müller (DCSO) ergänzt: „Alle gängigen DLP-Produkte werden mit automatisierten Klassifizierungsmechanismen ausgeliefert. Die Erkennung funktioniert grundsätzlich zuverlässig, benötigt aber eindeutig zu identifizierende Merkmale innerhalb der zu schützenden Daten, um falsch-positive Erkennungen zu verhindern.“ Zudem sei schwierig, dass alle DLP-Techniken auf unverschlüsselte und textbasierte Dateiformate beschränkt sind: „Eine optische Zeichenerkennung wird bei einigen Produkten angeboten – verschlüsselte Informationen sind prinzipbedingt nur anhand ihrer Metadaten klassifizierbar oder müssen extra entschlüsselt werden. Das verursacht bei tendenziell zunehmender Verschlüsselung von Daten einen relevanten und zunehmend größer werdenden Mehraufwand – oder falls verschlüsselte Daten nicht betrachtet werden, eine ernst zu nehmende Lücke“, warnt der Analyst.
„Datenklassifikation, Risikoanalyse, Komplexitätssteigerung durch digitale Transformation, der Faktor Mensch und eingeschliffene Arbeitsweisen sind Herausforderungen, die jedes Unternehmen individuell angehen und lösen muss“, warnt Fischer (PwC): „Leider stehen viele Unternehmen noch am Anfang einer belastbaren Anforderungsdefinition an DLP-Dienste – ob bestehende Lösungen schon alle Anforderungen erfüllen können, wird sich erst noch zeigen.“
„Trotz steigenden Sicherheitsbewusstseins fehlt vielen Unternehmen noch ein umfassendes Verständnis für das Thema DLP“, unterstreicht Albertini (FTAPI): „Einerseits werden die Risiken oft noch unterschätzt, andererseits erkennen Unternehmen die Chancen von guten, innovativen DLP-Lösungen häufig noch nicht.“ Dabei bestehe hier großes Potenzial: Damit könne man selbst kritische Workflows mit hinreichender Datensicherheit digitalisieren und automatisieren.
Wagner (BSI) sieht zunächst organisatorische Maßnahmen als Grundlage für eine funktionierende DLP: „Institutionen müssen ihre Daten klassifizieren und entsprechend Richtlinien erstellen und durchsetzen. Wenn es eine gute Datenklassifizierung und entsprechende Richtlinie gibt, dann können technische DLP-Lösungen einen guten Beitrag zur Durchsetzung und Überwachung solcher Richtlinien leisten und Verstöße verhindern oder zumindest begrenzen. Dabei ist wichtig, dass die Auswirkungen technischer Lösungen auf den gesamten IT-Verbund bewertet werden.“
„Die Integration einer DLP-Lösung ist mit einer Datenkategorisierung verbunden – eine Tätigkeit, mit der sich viele Unternehmen schwertun“, schätzt auch Schönig (Check Point): „Während die Integration einer DLP-Lösung also ein Muss ist, geht sie auch mit einer Überprüfung der Geschäftsprozesse einher.“ Außerdem sei es wichtig, dass die DLP-Lösung über die gesamte Kundeninfrastruktur hinweg funktioniere: gleichermaßen on Premises, am Endpoint sowie für Cloud-Anwendungen und hybride Lösungen: „Ist dies nicht gewährleistet, sind die Daten gefährdet!“
Soll: überall – Ist: punktuell?
Riepen (Vectra AI) bemängelt: „DLP-Lösungen sind wirklich nur innerhalb einer ganz bestimmten Referenzarchitektur wirksam. Wenn ein Unternehmen zum Beispiel für die gesamte Kommunikation und den Datenaustausch ausschließlich Collaboration- und Messaging-Tools von Microsoft einsetzt, dann gibt es durchaus brauchbare Lösungen. Sobald jedoch Daten außerhalb dieser Umgebung gespeichert oder verarbeitet werden müssen, ist die Wirksamkeit der Kontrollen eingeschränkt.“ Das größte Hindernis liege damit in der Diversifizierung der Systeme und der Geschwindigkeit begründet, mit der Unternehmen neue Anwendungen entwickeln müssen.
Auch Mörl (itWatch) sieht hier Probleme: „An den Schnittstellen zwischen Technologien und dort, wo der aus eigenen Risikobetrachtungen resultierende individuelle Schutzbedarf eines Unternehmens umgesetzt werden soll, bestehen noch große Lücken. Insbesondere fehlt Fachpersonal, das die Risikoeinschätzung versteht und diese Technologien so integrieren kann, dass tatsächlich der gewünschte Schutz entsteht.“ Überdies ließen sich DLP-Lösungen meist nicht gut in die gesamte IT und vor allem nicht in Security-Lösungen integrieren.
Werbung und Wirklichkeit
Fuhr (HiSolutions) beklagt: „Die meisten DLP-Produkte können heute den Werbeversprechen noch nicht gerecht werden. Im Bereich Klassifizierung können sie die gesetzten Ziele bei guter Planung und Konfiguration vielleicht noch erreichen, spätestens aber bei der Detektion und Reaktion werden sie längst nicht alle Bedrohungsvektoren abdecken können.“ Eine höhere Chance, in bestimmten Bereichen ein durchgängiges DLP zu implementieren, gebe es in der Cloud, wenn die entsprechenden Services von Anfang an in die Gesamtarchitektur mit einbezogen würden: „Das gelingt aber nur in dem Maße, wie insgesamt eine saubere (Daten-)Architektur und -Governance aufgesetzt wird – auf der meist ‚nicht mehr ganz grünen Wiese‘ eine große Herausforderung.“
„DLP wurde zu Beginn falsch angeboten und hat dadurch unerfüllbare Erwartungen geweckt: Mit DLP lässt sich jeder noch so kleine Datenabfluss verhindern, so das Versprechen. DLP muss aber vor allem als Data-Protection-Competence-Platform verstanden werden“, stellt Limberger (Forcepoint) fest. Ein weiterer Hemmschuh sei, dass es in Deutschland nicht einmal eine Handvoll technischer Partner für eine DLP-Einführung gebe und: „Nicht zuletzt wird DLP häufig als Überwachungstool wahrgenommen, was es aber nicht ist: DLP schützt Mitarbeiter vor schwerwiegenden Fehlern.“
Fundamentale Kritik kommt von Kynast (DCSO): „Trotz der recht langen Existenz von DLP-Lösungen können diese nach wie vor nicht alle grundlegenden Anforderungen abdecken und lassen das auch für die nähere Zukunft nicht erwarten.“ So sei DLP etwa noch immer nicht in der Lage, Bedrohungen von (informierten) Insidern wirksam zu blockieren, alle Datenübertragungswege, -protokolle und -formate abzudecken sowie aktive Schutzmaßnahmen anzubieten, ohne Geschäftsprozesse zu sehr zu behindern. Außerdem fehle weiterhin ein akzeptables Verhältnis von Aufwand und Schutz. „Durch fehlerhafte Klassifizierung oder technische Inkompatibilität verursachte Ausfälle führen häufig zu Unmut in der Belegschaft – fehlt eine Grundakzeptanz bei den Endanwendern, kann eine Implementierung nicht gelingen. Auch die Datenklassifizierung muss dauerhaft gepflegt werden. Diese Aufwände werden häufig unterschätzt und behindern einen breiten Einsatz.“
Zukunftsaussichten
„Echte DLP-Lösungen für mehrere Umgebungen dürften sich kaum durchsetzen, da sie sehr komplex zu entwickeln sind und der Markt für solche Lösungen relativ klein bleiben wird. DLP-Lösungen werden plattformgebunden bleiben und sich als Erweiterung der bestehenden Datenzusammenarbeit und -verarbeitung verkaufen“, erwartet Riepen (Vectra AI). Längerfristig sei davon auszugehen, dass ursprüngliche DLP-Techniken langsam, aber sicher verschwinden und durch Risikomanagement-orientierte Lösungen abgelöst werden.
Auch nach Einschätzung der DCSO werden DLP-Fähigkeiten zukünftig weniger als distinkte Lösung bereitgestellt, sondern als Teil anderer Produkte ausgeliefert: „Endpoint-und Cloud-Security-Anbieter sowie Netzwerk-orientierte Lösungen werden hier die vorherrschende Rolle einnehmen. Alle etablierten Anbieter bieten bereits vollintegrierte Lösungen an, die eine komplexe Security-Architektur implementieren können und DLP-Funktionen umfassen“, kommentiert Müller.
Limberger (Forcepoint) prognostiziert: „DLP wird sich auch in Deutschland immer mehr durchsetzen. Den Entscheidern wird zunehmend bewusst, dass ihnen die digitale Transformation die Kontrolle über ihre Daten nimmt und sie sich diese Kontrolle mit DLP zurückholen können. Außerdem führt im Cloud-Zeitalter kein Weg mehr am Schutz vor Insider-Threats vorbei. DLP ist der einzig sinnvolle Einstieg in Lösungen für dieses komplexe Thema.“
„Der Bedarf an Überwachungs- und Analysemaßnahmen zur zeitnahen Abwehr von Cyberangriffen wird sich auch auf die Einführung von DLP-Lösungen auswirken. DLP wird als präventive und detektive Maßnahme in den nächsten Jahren das Sicherheitsniveau im Unternehmen verbessern und sich als doppeltes Netz zur Absicherung durchsetzen“, konstatiert Fischer (PwC).
„Der positive Trend, Sicherheit von Daten und Systemen ganzheitlich zu betrachten, wird weiter voranschreiten und Unternehmen dazu bewegen, DLP als festen Bestandteil in ihre Sicherheitsstrategie zu integrieren“, erwartet Albertini (FTAPI). Weniger optimistisch gibt sich Mörl (itWatch): „Durch die stärker werdenden Anforderungen an Cyber-Security in anderen Zielen wie Authentisierung, Nachweisbarkeit und vor allem organisatorische Änderungen werden die Investitionen in DLP weiter hinter den Möglichkeiten zurückbleiben.“