Mehr als nur Schutz vor Datenverlust: Was leisten DLP-Lösungen?

Sensible Daten schützen!

Herkömmliche Lösungen zur Data Loss Prevention (DLP) konzentrieren sich hauptsächlich darauf, den Abfluss von sensiblen Daten (hier ein aktueller Fall, der Wahlberechtigte in Dresden betrifft) über Schnittstellen zu verhindern. Dazu überwachen sie den Datenfluss innerhalb eines Netzwerks und lassen nur kontrolliert Daten nach außen gelangen, was dank ausgereifter DLP-Lösungen auch gut gelingt. 
Jedoch reicht das angesichts raffinierter Cyberangriffsmethoden und des Wandels in IT- und Arbeitswelt oft nicht mehr aus. Es ist sinnvoller, anstatt DLP alleine, auch Schwachstellen Management (Vulnerability-Management) und EDR (Endpoint Detection & Response) auf den Endgeräten zu etablieren. Am besten kombiniert in Form eines modularen Clients, der alle Anforderungen umsetzen kann.

Herkömmliche Lösung versus next-gen DLP Plattformlösung

Die meisten DLP-Lösungen konzentrieren sich zwar auf ihre Kernaufgabe, aber eben auch nur darauf.
Dagegen gibt es Plattformlösungen, welche Endpoints ganzheitlich und damit umfassender schützen können, als eine traditionelle DLP-Lösung dies kann.

Die folgenden Gründe zeigen, weshalb der Umfang konventioneller DLP-Lösungen nicht mehr ausreicht:

Remote-Arbeit immer und überall

In den meisten Unternehmen ist es mittlerweile Standard, dass Anwender regelmäßig im Home-Office oder unterwegs arbeiten. Jedoch ist nicht jede herkömmliche DLP-Lösung auf Remote-Arbeit ausgelegt, damit können Geräte außerhalb des eigenen Netzwerks nur begrenzt kontrolliert werden.
Ein Beispiel: Der Außendienst-Mitarbeiter lässt sein Laptop offen am Café-Tisch stehen, während er frische Luft schnappt. Ein Datendieb kann nun sehr einfach sensible Daten vom Laptop auf einen USB-Stick kopieren.

Die Cloud und ihre durchlässigen Ränder

Cloud-Dienste stellen große Herausforderungen dar: Sobald sensible Daten in Cloud-Speichern hochgeladen worden sind, liegen sie außerhalb der Reichweite traditioneller DLP-Lösungen. Oftmals können diese den Upload sensibler Daten über virtuelle Schnittstellen in Cloud-Speicher nicht verhindern.
Hier ist eine moderne DLP-Lösung gefragt, welche Cloud-Anwendungen integriert und den Datentransfer in die Cloud überwacht. Damit stellt man sicher, dass sensible Daten nicht in private Cloud-Speicher kopiert werden und Daten auch in der Cloud verschlüsselt und unter Kontrolle sind.

Unzureichender Schutz vor modernen Bedrohungen

Ausgeklügelte Cyberangriffsmethoden oder auch Insider-Bedrohungen entwickeln sich ständig weiter. Klassische DLP-Systeme können darauf nicht angemessen reagieren.
Ein Beispiel: Ein Mitarbeiter wechselt zur Konkurrenz und wird zum Industriespion – er verschickt geheime Baupläne gezielt via Screenshot über einen Messenger-Dienst an seinen neuen Arbeitgeber. Dieser Innentäter kann von klassischer DLP nicht oder nur zu spät entdeckt werden.

Manche moderne Lösungen erkennen via OCR sensible Code-Wörter und blockieren den Screenshot. Andere Lösungen blockieren die copy & paste-Funktion für Messenger, bzw. kann man damit diese Funktion nur für bestimmte Anwendungen zulassen.

Keine automatisierte Schwachstellenerkennung

Schwachstellen und Sicherheitslücken in gängigen Applikationen sind für Angreifer ein einfaches und beliebtes Einfallstor. Umso gravierender, dass manchmal sogar verfügbare Patches nicht flächendeckend aufgespielt werden. Traditionelle DLP-Systeme beinhalten kein Vulnerability Management, um derartige Schwachstellen und gefährdete Software-Versionen auf Computern im Netzwerk zu erkennen.

Beispiel: Moderne Lösungen wie DriveLock greifen auf CVE-Datenbanken zu und können so etwa die bekannte Sicherheitslücke einer veralteten Browser-Version erkennen, und zudem die betroffenen Endpoints markieren.

Fehlende Granularität bei der Zugriffskontrolle

Herkömmliche DLP-Systeme bieten oft nur eingeschränkte, meist gruppenbasierte Einstellungsmöglichkeiten, um den Zugriff auf sensible Daten zu steuern.
Next-gen DLP-Lösungen, wie z. B. jene von DriveLock, erlauben mittels Device Control Funktion eine feingranulare Kontrolle darüber, welche Nutzer auf welche Daten zugreifen dürfen – basierend auf ihrer Identität, auf Kontext und Gerät – dann unabhängig davon, wo diese Daten physisch liegen.

Beispiel: Herr Müller soll nur während seiner Arbeitszeiten zwischen 8 und 17 Uhr einen bestimmten, freigegebenen USB-Stick nutzen dürfen, nachdem dieser einem Virenscan unterzogen wurde. Das lässt sich mit einer klassischen DLP-Lösung nicht konfigurieren. Moderne Lösungen wie die von DriveLock lassen solch eine Einschränkung zu und erkennen außerdem, ob fremde bzw. unbekannte Geräte angeschlossen werden.

Keine integrierte Verschlüsselung

Klassische DLP-Lösungen fokussieren sich oft nur auf das Überwachen und Blockieren von Datenflüssen, sie können jedoch die Verschlüsselung der Daten selbst nicht leisten. Moderne DLP-Lösungen integrieren daher Verschlüsselung direkt in den Schutzmechanismus. Sensible Daten sind damit sowohl während der Übertragung als auch durch die verschlüsselte Speicherung geschützt.
Denn: Ein verlorener USB-Stick mit unverschlüsselten Unternehmensdaten stellt ein enormes Datenverlust-Risiko dar. Der Verlust eines verschlüsselten Geräts ist zwar ärgerlich, aber verschmerzbar – der Finder hat dank vorgegebener Encryption keinen Zugriff auf die darauf abgespeicherten, sensiblen Informationen.

„No-Backdoor“-Garantie: Die HYPERSECURE Platform von DriveLock

Der aktuelle ISG Provider Lens Report positioniert DriveLock als führenden deutschen Anbieter von DLP-Lösungen. Cloud-native Lösungen und Remote-Arbeitsmodelle bringen neue Herausforderungen mit sich, die durch flexible DLP-Lösungen wie jene von DriveLock adressiert werden. Insbesondere die „No-Backdoor“-Garantie von DriveLock hebt der Report hervor.
DriveLock ist nach ISO/IEC27001:2022, und die Lösungen Application Control und Device Control sind nach Common Criteria EAL3+ zertifiziert.

FAZIT

Für das heutige IT-Umfeld reichen klassische DLP-Lösungen nicht mehr aus. Stattdessen sind moderne, flexible und ganzheitliche Lösungen wie die HYPERSECURE Platform des deutschen Herstellers DriveLock gefordert, welche neben DLP auch mobile und Cloud-Umgebungen, Zero-Trust-Modelle und automatisierte Bedrohungserkennung integriert abdecken können.

Die ProSoft-Experten beraten Sie gerne zum Thema – sprechen Sie unverbindlich mit uns.

Im zweiten Teil dieses DLP-Beitrags erfahren Sie mehr über die zeitgemäße DLP-Lösung von DriveLock.