DLP – Data Loss Prevention

Sicherheit an den Endgeräten durch Port- und Device Control, Verschlüsselung und Datenklassifizierung sowie DLP-Regeln für Data at Rest.

DLP Datenblatt

DLP – Data Loss Prevention

Nur was Sie kennen, können Sie schützen

Über 65% aller Datendiebstähle passieren hinter der Firewall durch Mitarbeiter — entweder versehentlich oder absichtlich. 36% aller Mitarbeiter wissen nicht, wann sie riskant handeln. Jeder zweite Virus gelangt über Schnittstellen direkt ins Unternehmensnetzwerk. Genug Gründe, um Sicherheitsmaßnahmen an den Endpunkten in Form einer DLP (Data Loss Prevention oder Data Leakage Prevention) einzuführen.

DLP Data Loss Prevention von CoSoSys

Neuer Hersteller – neue Lösung

Wir stellen unser DLP Angebot von Safend auf den Endpoint Protector von CoSoSys um! Unsere Kunden finden weitergehende Informationen hierzu in der entsprechenden Newsmeldung.

Während Hacker sich erst einen Weg durch die externen IT-Schutzmechanismen bahnen müssen, sitzen Mitarbeiter und Kollegen mit entsprechender Berechtigung als Schnittstelle zwischen Daten und Außenwelt. In vielen Fällen werden Anwender zu wenig sensibilisiert, um im Sinne des Unternehmens und des Datenschutzes richtig über die Weitergabe von schützenswerten Daten zu entscheiden. Das macht Mitarbeiter zur größten Sicherheitslücke Ihrer IT-Infrastruktur. In einigen Fällen werden vertrauliche Kundendaten, Pläne (Industriespionage) oder Preisinformationen aber auch absichtlich kopiert oder weitergegeben.

Die EU-DSGVO (EU-GDPR) verlangt technische und organisatorische Maßnahmen für die gesicherte Verarbeitung personenbezogener Daten. Zu den Maßnahmen zählen insbesondere auch dokumentierte Mitarbeiter-Unterweisungen.


Zu den ausgereiften technischen Maßnahmen gegen Datenlecks und Datenverluste zählt DLP Data Loss Prevention bzw. Data Leakage Prevention) und Endpoint Protection EPP. Die Funktion »Port- und Device-Control« als Basic-Funktion überwacht und regelt die Nutzung von physischen und virtuellen Schnittstellen wie USB oder Bluetooth, WLAN sowie tragbaren Speichergeräten wie USB-Sticks, Keylogger oder CD/DVD-Brenner sowie stationäre Multifunktionsdrucker oder Thin-Clients. Zusätzliche Richtlinien basieren auf Dateiherkunft, Dateityp, Dateiinhalt bzw. Schlüsselwörter.

Häufig wird Port- und Device Control noch mit einer Softwareverschlüsselung für mobile Speichergeräte angeboten. Deutlich aufwendiger ist die Klassifizierung der Daten. Damit ergänzen Sie zu jeder Datei die entsprechende Kritikalität. Werden sensible Daten über E-Mail, Chat bzw. Messenger, Webbrowser oder andere Anwendungen verschickt, entscheidet die Datenklassifizierung über die Freigabe des Vorgangs und nicht der Anwender. Endpoint Protector DLP kann modular gemäß Ihren Anforderungen eingesetzt werden.

Zusätzlich sinnvoll ist die Integration einer Festplattenverschlüsselung (siehe auch BitLocker Management). Mit DataLocker PortBlocker bieten wir zusätzlich eine sehr effiziente und preiswerte Port-und Device Kontrolle an.

CoSoSys DLP

Mit der Data Loss Prevention Software Endpoint Protector haben Sie modular alle Funktionen für sicheres DLP – egal ob im Unternehmen, mobil oder im Home Office. Die Funktionen reichen von Port- und Device Control, Software-Verschlüsselung von tragbaren Speichergeräten (Enforced Encryption EasyLock), Datenklassifizierung und Inhalt- und Kontextinspektion (Content Aware Protection) sowie der Überprüfung sensibler Dateien (eDiscovery), die auf den lokalen Festplatten der Benutzer gespeichert sind (Data-at-Rest). Die Lösung ist in 30 Minuten aufgesetzt. Die DLP-Lösung Endpoint Protector zeichnet sich aus durch vordefinierte Profile zur Erfüllung gesetzlicher Anforderungen und Regularien, wie DSGVO, PCI DSS, effiziente Verwaltung, plattformübergreifenden Schutz (Windows, macOS, Linux), granulare Richtlinien und detaillierte Berichte über Benutzeraktivitäten.

Device Control

Reglementiert die Verwendung von tragbaren Wechseldatenträgern und Schnittstellen und setzt Datensicherheitsrichtlinien durch, um Ihre schützenswerten Daten und das Netzwerk vor der Einschleusung von Ransomware und vor Datendiebstahl zu schützen.

EasyLock

Verschlüsselt tragbare USB-Speichergeräte und schützt so vertrauliche Daten auch unterwegs. Die Softwareverschlüsselung EasyLock ist einfach in der Anwendung und ortsunabhängig unter Windows-, Mac- und Linux nutzbar.

Content Aware Protection

Die Datenklassifizierung überprüft die Kritikalität von Dateien und stellt sicher, dass sensible Daten Ihr Netzwerk auch über Messaging-, Cloud Storage-, Collaboration- und File Sharing Dienste nicht verlassen können.

eDiscovery

Scannt Data at Rest auf Anwender-PCs, verschlüsselt oder löscht sensible Daten, reduziert das dadurch entstehende Risiko und verhindert so proaktiv Datenverstöße. Ein Add-on für Endpoint Protector.

Device Control

IT-Sicherheit durch die reglementierte Nutzung von Schnittstellen und tragbaren Speicher- und mobilen Endgeräten.

Video ansehen
 

Port und Device Control in Endpoint Protector

Device Control ist die Kernfunktion von Endpoint Protector DLP. Damit steuern, sperren und kontrollieren Sie zentral physische (z.B. USB) und virtuelle Schnittstellen (z.B. Bluetooth) und verhindern Datendiebstahl durch Insider, aber auch Datenverlust über externe Angriffe. Device Control ist Common Criteria EAL2 zertifiziert.

Datenpannen durch Kollegen und Mitarbeiter kommen ca. zweimal häufiger vor, als erfolgreiche Hacker-Angriffe. Das ist nicht verwunderlich, da Mitarbeiter meist den notwendigen Zugriff auf Kunden- oder sensible Unternehmensdaten haben. Mit Device Control stoppen Sie Datenverluste über physische und virtuelle Schnittstellen sowie durch externe Speichergeräte. In der zentralen Konsole definieren Sie Richtlinien für die Nutzung von beispielsweise USB-Ports, WLAN und Bluetooth. Dieses Modul ist die Basis jeder DLP Strategie.

Die Device Control Funktionen

Mit Device Control wird die Übertragung sensibler Daten auf angeschlossene Speicher- und Peripheriegeräte kontrolliert. Damit wird versehentlicher oder absichtlicher Datenverlust oder Datendiebstahl wirkungsvoll unterbunden.

  • Der entsprechende Client in Endpoint Protector by CoSoSys ist plattformübergreifend (Win, macOS, Linux), schlank, webbasiert und somit ohne Performanceverluste auf den geschützten Endgeräten
  • Unterstützt die Fernfreigabe von Zugriffen auch wenn Computer offline sind, und erlaubt eine temporäre Rechtevergabe für einen vorgegebenen Zeitraum. Vollständige Protokollierung aller Aktivitäten
  • Damit legen Sie fest welche Geräte pro User, Computer oder Gruppe genutzt werden dürfen. Sie erstellen Whitelists und Blacklists von Endgeräten und reglementieren deren Nutzung unterbrechungsfrei
DLP Device Control mit Endpoint Protector
+ mit Klick vergrößerbar

So funktioniert es

Durch die Erstellung granularer Zugriffsrechte für alle Ports in DLP wird die Gerätesicherheit durchgesetzt, ohne die Produktivität einzuschränken

  • Legen Sie granulare Richtlinien für Anwender, Computer oder Gruppen fest und überwachen Sie Ports und Endgeräte
  • Identifizieren Sie die USB-Geräteklassen bei angeschlossenen Devices
  • Blockieren Sie die unbefugte Nutzung von tragbaren Geräten und erzwingen Sie die Datenverschlüsselung per Fernzugriff
  • Erhalten Sie Berichte und Warnungen von allen Aktivitäten an Ihren Endpunkten

Kontrollierte Schnittstellen

  • USB und Wireless USB
  • Secure Digital (SD) Speicherkarten Slots
  • Seriell
  • PCMCIA
  • FireWIre
  • Thin Client Storage (RDP Storage)
  • Thunderbolt
  • WLAN
  • Bluetooth
  • Infrarot

Kompatible Gerätetypen

  • USB-Speichergeräte
  • Externe HDD /SSD
  • CD/DVD-Player und -Brenner (intern / extern)
  • iPhones, iPads, iPods
  • Android- und  Blackberry Smartphones und Tabletts sowie PDAs
  • Digitalkameras
  • MP3-Player und andere Geräte zum Abspielen von Medien
  • Speicherkarten (SD, MMC, CF, Smartcard usw.)
  • Diskettenlaufwerke
  • ZIP Laufwerk
  • Teensy Board
  • USB Modem
  • Infrarot Dongle


EasyLock
USB-Verschlüsselung

Software-Verschlüsselung für tragbare USB-Speichergeräte unter Windows und macOS als Funktion in Endpoint Protector.

Video ansehen
 

EasyLock USB-Verschlüsselung

Eine Verschlüsselung von USB-Speichergeräten ist die logische Erweiterung von Endpoint Protector DLP Device Control. Je nach Konfiguration wird die Verschlüsselung aller Daten auf z.B. USB-Speichergeräten mit EasyLock erzwungen (Enforced Encryption). Damit sind die Daten auch bei Verlust oder Diebstahl des Speichergerätes mit 256-Bit AES verschlüsselt und damit sicher geschützt. EasyLock funktioniert auf macOS- und Windows-Rechnern.

Hinweis: Wir empfehlen bei tragbaren Speichergeräten grundsätzlich den Einsatz von Devices mit Hardwareverschlüsselung. Bei uns finden Sie deshalb auch verschlüsselte USB-Sticks und hardwareverschlüsselte HDD.

Mit EasyLock Enforced Encryption lassen sich die Richtlinien für vertrauliche und schützenswerte Daten durch eine automatische Verschlüsselung auch auf tragbare USB-Speichergeräte anwenden. Mit einem Passwort können die Benutzer von jedem macOS und Windows-System aus, die Daten auf den Speichergeräten entschlüsseln und kopieren bzw. übertragen.

Über einen Fernzugriff können Endpoint Protector DLP Administratoren «gerätefern» Nachrichten an Ihre Benutzer senden, eine Passwortänderung durchführen und verlorene oder gestohlene Speichergeräte zurücksetzen und die sensiblen Dateien damit löschen. Ein Benutzer kann eine Passwortänderung anfragen, wenn er beispielsweise unterwegs sein Passwort vergessen hat.

Mit EasyLock erfüllen Sie die Vorgaben an die Verschlüsselung vertraulicher Daten, wie sie u.a. in Regularien wie HIPAA, PCI, SOX gefordert wird.

So funktioniert es

  • Starten Sie die Device Control Konfiguration
  • Aktivieren Sie die Funktion TD 1+ und pushen Sie EasyLock Enforced Encryption auf USB-Speichergeräte
  • Die Daten werden beim Datentransfer auf die USB-Speicher automatisch (Software-) verschlüsselt
  • Mit dem richtigen Passwort lassen sich durch den Benutzer die Dateien einfach wieder entschlüsseln
 

Content-Aware DLP

Zusätzlicher Schutz zu Device Control und Container-Verschlüsselung. Content-Filter blockieren Dateien deren Inhalt Sicherheitsrichtlinien verletzen.

Video ansehen
 

Content Aware Protection

Content Aware Protection Datenklassifizierung für Windows, macOS und Linux ist ein weiterer Layer für Ihre Endpoint Security. Damit wird der Content von Dateien unter anderem auf Schlüsselwörter, Dateityp oder Herkunft untersucht. Entsprechen Dateien, die über Applikationen wie Internet Explorer, Skype, WhatsApp, OneDrive etc. übertragen werden sollen nicht den Sicherheitsrichtlinien, werden Sie blockiert.

Endpoint Protecor DLP untersucht Dateien und Dokumente über unterschiedliche Filter, mit verschiedenen Technologien, wie auch OCR.

Weiterhin zählen dazu

Allow- und Denylist

  • Filter auf Basis von Applikationen, die für den Datentransfer erlaubt werden. Der Datentransfer über E-Mail Clients, Webbrowser, Instant Messaging Dienste, Cloud Services und File Sharing verschiedener Hersteller können explizit blockiert werden.

  • Filter auf Basis von Dateityp inkl. Spoofing Schutz. Bestimmte Dateitypen werden von DLP blockiert, und zwar auch dann, wenn der Anwender versuchen sollten, den Dateityp umzubenennen.

  • Auch Dateinamen und /oder -endungen können zur Contentfilterung verwendet werden.

  • Filter auf Basis spezieller, z.B. branchenspezifischer Schlüsselwörter. Hier lassen sich mehrere individuelle Wörterbücher definieren und aus Dokumenten auch Schlüsselwörter ergänzen.

  • Speicherorte von Dateien (Ordner, Laufwerk) können in der Deny- oder Allowlist ergänzt werden und führen dazu, dass Dateien aus definierten Ordnern blockiert werden oder erlaubt sind.

  • Erstellung von Schutzmaßnahmen, die außerhalb der Geschäftszeiten und außerhalb des Netzwerks gelten. Die Domänen und URL Allowlist definiert Ausnahmen, um beispielsweise auf WebMail und Firmenportale zugreifen zu können.

Weitere Funktionen

  • Auch komplexe Bedingungen unter Berücksichtigung mehrerer Kriterien können erstellt und die einzelnen Werte aufsummiert werden.

  • User Remediation ermöglicht es Anwendern DLP-Richtlinien außer Kraft zu setzen und die Ausnahme zu begründen.

  • Eine integrierte OCR (Optische Zeichenerkennung) erkennt vertrauliche Daten auch in gescannten Dokumenten, Fotos und Bildern.

  • Überwacht Screenshots und Zwischenablage und sorgt dafür, dass schützenswerte Daten nicht per Kopieren & Einfügen den Schutz durch DLP umgehen.

  • Kontextuelle Scannen als erweiterter Prüfmechanismus

  • Richtlinienerstellung für (Netzwerk-) Drucker, um zu verhindern, dass vertrauliche Dokumente nicht ausgedruckt werden können.

  • DLP für Thin Clients verhindert Datenverlust in entsprechenden Infrastrukturen.

  • Limits für die Datenübertragungen auf Basis von Dateianzahl oder Dateimenge.

  • Protokollierung aller Aktivitäten, Reporting & Analyse. Weitergabe von Logs in SIEM-Lösungen.

So funktioniert es

  • Aktivieren Sie die Richtlinien zur inhaltsbasierten Dateiüberprüfung.
  • Definieren Sie sensiblen Content. Dazu stehen Ihnen die Funktionen Dateityp, Dateinamen, Speicherort und erstellen Sie individuelle Wörterbücher.
  • Erstellen Sie eine Allow- und Denylist für erlaubte oder untersagte Applikationen, die zum Datentransfer verwendet werden können.
  • Scannen Sie alle Datentransfers auf sensible Daten und Informationen.
  • Automatische Benachrichtigung bei Verletzung von Richtlinien.

eDiscovery

Überprüft, die auf Endgeräten gespeicherten Daten und schützt und verschlüsselt sie automatisch. DLP für Data-at-Rest!

Video ansehen
 

eDiscovery – DLP für gespeicherte Daten

Sensible Daten, die auf Endgeräten Ihrer Anwender gespeichert sind, bedrohen Ihre IT-Sicherheit gleich doppelt: Zum einen ist es die Basis für Verstöße durch Insider und zusätzlich kommen bei Verlust des mobilen Endgerätes oder bei Cyberangriffen, die Daten sehr einfach in die falschen Hände. eDiscovery erkennt diese Daten, informiert Verantwortliche darüber und kann sie entweder automatisch verschlüsseln oder sogar löschen.

eDiscovery scannt die gespeicherten Daten auf Endgeräten und identifiziert die vertraulichen Informationen. Diese können regelbasiert verschlüsselt oder bei hoher Kritikalität sogar gelöscht werden. eDiscovery ist als Zusatzmodul für Endpoint Protector DLP verfügbar. Content Aware Protection und eDiscovery nutzen den gleichen Client. Bei Einsatz von Endpoint Protector DLP ist keine zusätzliche Installation erforderlich. eDiscoveriy ist Common Criteria EAL2 zertifiziert.

DLP for Data at Rest

Allow- und Denylist

  • Gespeicherte Daten mit schützenswerten Informationen können verschlüsselt werden, um einen unbefugten Benutzerzugriff zu verhindern. Funktionen zur Entschlüsselung sensibler Dateien sind ebenfalls verfügbar.

  • Bei eindeutigen Verstößen gegen interne DLP Richtlinien können diese Daten auch gelöscht werden.

  • Auch Dateinamen und /oder -endungen können aus- oder eingeschlossen werden.

  • Erkennt schützenswerte Daten auch anhand von vorkonfigurierten Inhalten wie Schlüsselwörter, Kreditkartendaten oder Persönlich Identifizierbare Informationen (PII).

  • Speicherorte von Dateien (Ordner, Laufwerk) können in der Deny- oder Allowlist ergänzt werden.

  • Neben den initialen und inkrementellen Scans können Scanvorgänge auch zeitlich geplant und wiederholt werden.

Weitere Funktionen

  • Auch komplexe Bedingungen unter Berücksichtigung mehrerer Kriterien können erstellt und die einzelnen Werte aufsummiert werden.

  • Bestimmte Dateitypen lassen sich vom Scanvorgang auch ausschließen, um Zeit und Ressourcen einzusparen. Über MIME Type Allowlist vermeiden Sie redundantes Scannen.

  • Vorkonfigurierte Compliance Richtlinien für DSGVO, HIPAA, PCI können aktiviert werden.

  • Protokollierung aller Aktivitäten, Reporting & Analyse. Weitergabe von Logs in SIEM-Lösungen. Export in externes SIEM möglich.

  • Das eDiscovery Dashboard erlaubt einen schnellen Zugriff auf Statistiken und Diagramme.

Datenblatt & Angebot

Erfahren Sie mehr über DLP mit Endpoint Protector
Webcast, Datenblatt, unverbindliches Angebot

DLP DatenblattMehr erfahren