Hier bestimmt der Computer, was vertraulich ist

In einer US-Studie aus dem Jahr 2006 [1] gaben 78% der befragten Firmen an, bereits Datensicherheitsvorfälle bedingt durch autorisierte Innentäter im eigenen Unternehmen erlitten zu haben. Sowohl in den USA, wo Datensicherheitsvorfälle bekannter Firmen schnell eine verheerende öffentliche Reaktion hervorrufen können, als auch in Europa gewinnt daher eine neue Produktkategorie im Bereich Datensicherheit an Bedeutung: ‚Content Monitoring & Filtering' (CMF)-Produkte richten sich gegen den Verlust vertraulicher Daten durch Innentäter; der Begriff ‚Data Leakage Prevention' (auch ‚Data Loss Prevention', DLP) ist als Synonym zu CMF ebenso im Gebrauch. In diesem Beitrag wird im Folgenden nur noch der Begriff DLP verwendet.

Leider lassen sich die klassischen Mechanismen der Datensicherheit nicht einfach unverändert auf die neuen Anforderungen im Bereich DLP übertragen: Schützt man sich gegen Angriffe von außen im Wesentlichen durch die klassischen Mechanismen Zugriffskontrolle und Verschlüsselung, so ist mit diesen Mechanismen alleine kein praktikabler Schutz gegen den Verlust vertraulicher Daten durch Interne möglich. Es gibt einfach genügend legitime Gründe, wieso ein loyaler Mitarbeiter ein Dokumente aus der gesicherten Domäne heraus auf ein Medium unter seiner Kontrolle oder ein Ziel im Internet kopieren möchte wie beispielsweise die Kopie einer Präsentation auf einen USB-Stick zur Vorstellung beim Kunden oder auch der Versand eines Dokumentes auf das private E-Mail-Konto zur weiteren Bearbeitung von Zuhause. Bei diesen Dokumenten kann es sich sowohl um nicht vertrauliche als auch um vertrauliche Dokumente handeln. Ein generelles Unterbinden der Kopieroperation behinderte die Arbeitsabläufe unnötig, und stieße ebenso auf mangelnde Akzeptanz durch die Mitarbeiter.

Viel praktikabler wäre es doch, Datensicherheitsmaßnahmen nur dann einzufordern oder durchzusetzen, wenn es sich wirklich um ein vertrauliches Dokument handelte. Damit würden erst einmal alle Anwender entlastet, die sich prinzipiell nur mit nicht vertraulichen Dokumenten beschäftigen. Anwender, die sich gelegentlich mit vertraulichen Dokumenten beschäftigen, könnten ihr Bewusstsein dafür schärfen, welche Dokumente wirklich vertraulich sind, und welche Maßnahmen diese Klassifizierung nach sich zieht. Für Anwender, die routinemäßig mit vertraulichen Dokumenten arbeiten, würde sich normalerweise nichts ändern, da sie ohnehin mit den entsprechenden Sicherheitsmaßnahmen vertraut sind. Es sei denn, ihre Absichten wären unlauter. Dann würden sie durch die entsprechenden Maßnahmen gestoppt (Zugriffskontrolle) oder zumindest gehindert.

Architekturen

Man kann bei den sich auf dem Markt befindlichen DLP-Systemen im Wesentlichen zwischen zwei Architekturen unterscheiden:

Serverbasierte Architekturen setzen zwingend den Einsatz einer (oder mehrer) Rechner in der Serverdomäne voraus, und führen ihre Überwachungsfunktionalität großteils oder ausschließlich innerhalb dieser Domäne durch. Sie erfordern typischerweise den Einsatz individueller Proxys für HTTP, FTP und E-Mail (SMTP, IMAP)-Verkehr zur Überwachung des ausgehenden Netzwerkverkehrs über die entsprechenden Protokolle. Diese dezidierten Proxys erlauben eine effiziente Überwachung auch bei hohem Datenaufkommen und ermöglichen es durch Ihre Store-and-Forward-Architektur, jedes zu inspizierende Datenelement so lange zu blockieren, bis auch zeitraubende Überprüfungen durchgeführt worden sind. Aus Performance- und Sicherheitsgründen sind sie typischerweise auf dezidierten UNIX Apliances implementiert. (Abbildung 1 zeigt den typischen Aufbau eines serverbasierten DLP-Systems.)

Rein serverbasierte Architekturen besitzen den Vorteil, dass sie keine Installationen auf den Endpoints erfordern. Das verringert den logistischen Aufwand, und vermeidet Kompatibilitätsprobleme mit anderen, "kritischen" Client-Applikationen, wie Virenscannern. Diesem Vorteil steht jedoch der Nachteil gegenüber, dass der Export vertraulicher Daten auf dem Endpoint nicht überwacht werden kann. Inwieweit dieser Nachteil durch administrative Maßnahmen, wie der Deaktivierung oder Blockade jeglicher Geräte mit externen Datenträgern sowie aller Netzwerkschnittstellen durch Betriebssystemmittel kompensiert werden kann, hängt vom Einzelfall ab. Bei portablen Geräten ist dies meist schwierig bis unmöglich.

Endpointbasierte Architekturen führen ihre Überwachungsfunktionalität auf den Endpoints aus. Der Server hat hier typischerweise die Aufgaben zentrale Administration, Policy-Verteilung, Speicherung der gemeldeten Log Events und (bei manchen Produkten) Unterstützung der Überwachungsfunktionalität der Endpoints. Letzteres setzt natürlich eine permanente Netzwerk-Verbindung zwischen Server und Endpoints voraus. (Abbildung 2 zeigt den typischen Aufbau eines endpointbasierten DLP-Systems.)

Endpointbasierte Architekturen besitzen den Vorteil, dass sich mit ihnen (bei entsprechend vollständiger Implementierung) praktisch jeder Datenexport auf externe Medien, Netzwerkziele sowie über drahtgebundene und drahtlose Schnittstellen verbundene Geräte überwachen lässt. Das umfasst z. B. Kopieroperationen von Dateien auf USB Sticks, Versand von E-Mails im Internet-Cafe über Wireless LAN, Export von Fotodateien über Bluetooth etc. Als Nachteile sind die Notwendigkeit der Installation eines DLP Agents auf jedem Endpoint sowie die technische Herausforderung für den Hersteller, einen performanten Agent zu implementieren, der möglichst alle vorhandenen Exportkanäle abdichtet, aufzuführen. Letzteres ist, gemessen an den Produkten, die sich derzeit auf dem Markt befinden, nicht zu unterschätzen.