Data Loss Prevention (DLP) bezieht sich auf die Strategien, Prozesse und Technologien, mit denen Cybersicherheitsteams vertrauliche Daten vor Diebstahl, Verlust und Missbrauch schützen.
Daten sind für viele Unternehmen ein Unterscheidungsmerkmal im Wettbewerb, und das durchschnittliche Unternehmensnetzwerk beherbergt eine Fülle von Geschäftsgeheimnissen, personenbezogene Daten von Kunden und anderen vertraulichen Informationen. Hacker zielen auf diese Daten zu ihrem eigenen Nutzen ab, doch Unternehmen haben oft Schwierigkeiten, diese Angriffe zu verhindern. Es kann schwierig sein, kritische Daten zu schützen, wenn täglich Hunderte, wenn nicht Tausende autorisierter Benutzer über Cloudspeicher und On-Premises-Repositorys darauf zugreifen.
DLP-Strategien und -Tools helfen Unternehmen, Datenlecks und -verluste durch die Verfolgung von Daten im gesamten Netzwerk und die Durchsetzung differenzierter Sicherheitsrichtlinien zu verhindern. Auf diese Weise können Sicherheitsteams sicherstellen, dass nur die richtigen Personen aus den richtigen Gründen auf die entsprechenden Daten zugreifen können.
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu managen.
Registrieren Sie sich für den X-Force Threat Intelligence Index
Datenverlustereignisse werden häufig als Datenschutzverletzung, Datenleck oder Datenexfiltration beschrieben. Die Begriffe werden manchmal synonym verwendet, haben aber unterschiedliche Bedeutungen.
Eine Datenschutzverletzung ist ein Cyberangriff oder ein anderer Sicherheitsvorfall, bei dem unbefugte Parteien Zugriff auf vertrauliche Daten oder vertrauliche Informationen erhalten. Dazu gehören personenbezogene Daten (z. B. Sozialversicherungsnummern, Bankkontonummern, Gesundheitsdaten) oder Unternehmensdaten (z. B. Kundendatensätze, geistiges Eigentum, Finanzdaten). Laut dem IBM Bericht Kosten einer Datenschutzverletzung 2023 kostet eine Datenschutzverletzung durchschnittlich 4,45 Millionen USD, was einem Anstieg von 15 % in den letzten drei Jahren entspricht.
Ein Datenleck ist die versehentliche Offenlegung vertraulicher Daten oder vertraulicher Informationen an die Öffentlichkeit. Die Datenexfiltration ist ein tatsächlicher Datendiebstahl. Hierbei verschiebt oder kopiert ein Angreifer die Daten einer anderen Person auf ein Gerät, das unter der Kontrolle des Angreifers steht.
Datenverluste können aus vielen Gründen auftreten, aber die häufigsten Ursachen sind:
- Sicherheitslücken
- Schwache oder gestohlene Zugangsdaten
- Bedrohungen von innen
- Malware
- Social Engineering
- Diebstahl physischer Geräte
- Sicherheitslücken – Schwächen oder Fehler in der Struktur, dem Code oder der Implementierung einer Anwendung, eines Geräts, Netzwerks oder anderer IT-Assets, die Hacker ausnutzen können. Dazu gehören Codierungsfehler, fehlerhafte Konfigurationen und Zero-Day-Schwachstellen (unbekannte oder noch nicht gepatchte Schwachstellen).
Schwache oder gestohlene Zugangsdaten – Passwörter, die Hacker leicht erraten können, oder Kennwörter bzw. andere Zugangsdaten (z. B. ID-Karten), die Hacker oder Cyberkriminelle stehlen.
Insider-Bedrohungen– Hierbei gefährden autorisierte Benutzer die Daten durch Unachtsamkeit oder böswillige Absichten. Böswillige Insider sind oft durch persönliche Vorteile oder Missgunst gegenüber dem Unternehmen motiviert.
Malware– Software, die speziell für die Beschädigung eines Computersystems oder seiner Benutzer entwickelt wurde. Die bekannteste Form datenbedrohender Malware ist Ransomware. Dabei werden die Daten verschlüsselt, sodass nicht auf sie zugegriffen werden kann, und eine Lösegeldzahlung für den Entschlüsselungsschlüssel verlangt (und manchmal eine zweite Zahlung, um zu verhindern, dass die Daten exfiltriert oder mit anderen Cyberkriminellen geteilt werden).
Social Engineering– Taktiken, mit denen Menschen dazu gebracht werden, Daten zu teilen, die sie nicht weitergeben sollten. Dies kann so raffiniert sein wie eine Phishing-Attacke, bei der ein Mitarbeiter dazu verleitet wird, vertrauliche Mitarbeiterdaten per E-Mail zu versenden, oder so einfach wie ein mit Malware infizierter USB-Stick, den jemand findet und benutzt.
Diebstahl eines physischen Geräts – Diebstahl eines Laptops, Smartphones oder eines anderen Geräts, das dem Dieb Zugang zum Netzwerk und die Erlaubnis zum Datenzugriff gewährt.
Unternehmen entwickeln formale DLP-Strategien, um sich gegen alle Arten von Datenverlust zu schützen. Den Kern einer DLP-Strategie bilden eine Reihe von DLP-Richtlinien, die festlegen, wie Benutzer mit Unternehmensdaten umgehen sollen. DLP-Richtlinien regeln die wichtigsten Verfahren zur Datensicherheit, z. B. wo Daten gespeichert werden, wer auf sie zugreifen kann, wie sie verwendet werden und wie Sicherheitsmaßnahmen um sie herum implementiert werden.
Anstatt eine einzelne Richtlinie für alle Daten zu erstellen, erstellen Informationssicherheitsteams in der Regel unterschiedliche Richtlinien für die verschiedenen Arten von Daten in ihren Netzwerken. Dies liegt daran, dass unterschiedliche Arten von Daten oft unterschiedlich behandelt werden müssen.
Beispielsweise unterliegen personenbezogene Daten wie Kreditkartennummern und Privatadressen in der Regel Datensicherheitsbestimmungen, die vorschreiben, was ein Unternehmen damit tun darf. Auf der anderen Seite hat das Unternehmen freie Hand darüber, was es mit seinem geistigen Eigentum macht. Darüber hinaus sind die Personen, die Zugriff auf personenbezogene Daten benötigen, möglicherweise nicht dieselben Personen, die Zugriff auf das geistige Eigentum des Unternehmens benötigen. Beide Arten von Daten müssen geschützt werden, allerdings auf unterschiedliche Weise.
Sicherheitsteams erstellen mehrere, differenzierte DLP-Richtlinien, damit sie die entsprechenden Sicherheitsstandards auf jeden Datentyp anwenden können, ohne das genehmigte Verhalten autorisierter Benutzer zu beeinträchtigen. Unternehmen überarbeiten diese Richtlinien regelmäßig, um mit den Änderungen der einschlägigen Bestimmungen, des Unternehmensnetzwerks und der Geschäftsoperationen Schritt zu halten.
Die manuelle Durchsetzung von DLP-Richtlinien kann schwierig sein, wenn nicht sogar unmöglich. Es gibt nicht nur unterschiedliche Datensätze, für die unterschiedliche Regeln gelten, sondern Unternehmen müssen auch alle Daten im gesamten Netzwerk überwachen, darunter:
Verwendete Daten – Daten, auf die zugegriffen wird oder die verarbeitet werden, z. B. Daten, die für Analysen oder Berechnungen verwendet werden, oder ein Textdokument, das von einem Benutzer bearbeitet wird.
Bewegte Daten – Daten, die sich über ein Netzwerk bewegen, z. B. Daten, die von einem Event-Streaming-Server oder einer Messaging-App übertragen werden.
Ruhende Daten – Daten im Speicher, wie etwa Daten, die sich auf einem Cloud-Laufwerk befinden.
Da die Durchsetzung von DLP-Richtlinien eine kontinuierliche Datensichtbarkeit im gesamten Unternehmen erfordert, verlassen sich Informationssicherheitsteams in der Regel auf spezielle DLP-Software-Tools, um sicherzustellen, dass Benutzer die Richtlinien zur Datensicherheit einhalten. Diese DLP-Tools können wichtige Funktionen wie die Identifizierung vertraulicher Daten, die Nachverfolgung ihrer Verwendung und die Sperrung unerlaubter Zugriffe automatisieren.
DLP-Lösungen funktionieren häufig zusammen mit anderen Sicherheitsmaßnahmen, um Daten zu schützen. Beispielsweise können Firewalls dazu beitragen, schädlichen Datenverkehr in und aus Netzwerken zu stoppen. Security Information and Event Management (SIEM) kann dabei helfen, anomales Verhalten zu erkennen, das auf Datenlecks hinweisen kann. Mit Lösungen, die auf der Erweiterten Erkennung und Reaktion (Extended Detection and Response, XDR) basieren, können Unternehmen robuste, automatisierte Maßnahmen gegen Datenschutzverletzungen ergreifen.
Es gibt drei Arten von DLP-Lösungen: Netzwerk-, Endpunkt- und Cloud-DLP. Abhängig von ihren Anforderungen und der Art und Weise, wie ihre Daten gespeichert werden, können sich Unternehmen für die Verwendung eines Lösungstyps oder einer Kombination mehrerer Lösungen entscheiden.
Netzwerk-DLP-Lösungen konzentrieren sich darauf, wie Daten durch, in und aus einem Netzwerk übertragen werden. Sie verwenden häufig künstliche Intelligenz (KI) und maschinelles Lernen , um anomale Datenverkehrsströme zu erkennen, die auf ein Datenleck oder einen Datenverlust hindeuten könnten. Während Netzwerk-DLP-Tools für die Überwachung von bewegten Daten konzipiert sind, können viele auch Einblicke in die verwendeten und ruhenden Daten im Netzwerk bieten.
Endpunkt-DLP-Tools überwachen Aktivitäten auf Laptops, Servern, Mobilgeräten und anderen Geräten, die auf das Netzwerk zugreifen. Diese Lösungen werden direkt auf den von ihnen überwachten Geräten installiert und können Benutzer daran hindern, auf diesen Geräten verbotene Aktionen durchzuführen. Einige Endpunkt-DLP-Tools können auch nicht genehmigte Datenübertragungen zwischen Geräten blockieren.
Cloud-DLP-Lösungen konzentrieren sich auf Daten, die in Cloud-Services gespeichert sind und von ihnen abgerufen werden. Sie können Daten in Cloud-Repositorys scannen, klassifizieren, überwachen und verschlüsseln. Diese Tools können auch dabei helfen, Zugriffssteuerungsrichtlinien für einzelne Benutzer und alle Cloud-Services, die auf Unternehmensdaten zugreifen, durchzusetzen.
Sicherheitsteams folgen einem vierstufigen Prozess, um DLP-Richtlinien in die Praxis umzusetzen, und DLP-Tools spielen bei jedem Schritt eine wichtige Rolle.
Zuerst katalogisiert das Unternehmen alle seine strukturierten und unstrukturierten Daten. Strukturierte Daten sind Daten mit einer standardisierten Form. Sie sind in der Regel klar gekennzeichnet und in einer Datenbank gespeichert. Kreditkartennummern sind ein Beispiel für strukturierte Daten: Sie sind immer 16 Ziffern lang. Bei unstrukturierten Daten handelt es sich um Informationen in freier Form, wie Textdokumente oder Bilder.
Sicherheitsteams verwenden in der Regel DLP-Tools, um diesen Schritt durchzuführen. Diese Tools können oft das gesamte Netzwerk scannen, um Daten überall dort zu finden, wo sie gespeichert sind – in der Cloud, auf physischen Endpunkten, auf persönlichen Geräten der Mitarbeiter und an anderen Orten.
Anschließend klassifiziert das Unternehmen diese Daten und sortiert sie basierend auf der Vertraulichkeitsstufe und den gemeinsamen Merkmalen in Gruppen. Durch die Klassifizierung von Daten kann das Unternehmen die richtigen DLP-Richtlinien auf die richtigen Datentypen anwenden. Einige Unternehmen können beispielsweise Daten nach Typ gruppieren: Finanzdaten, Marketingdaten, geistiges Eigentum usw. Andere Unternehmen können Daten basierend auf einschlägigen Bestimmungen wie der Datenschutz-Grundverordnung (DSGVO), dem Health Insurance Portability and Accountability Act (HIPAA) oder dem Payment Card Industry Data Security Standard (PCI DSS) gruppieren.
Viele DLP-Lösungen können die Datenklassifizierung automatisieren. Diese Tools können mithilfe von künstlicher Intelligenz, maschinellem Lernen und Musterabgleich strukturierte und unstrukturierte Daten analysieren, um festzustellen, um welche Art von Daten es sich handelt, ob sie vertraulich sind und welche DLP-Richtlinien angewendet werden sollten.
Nachdem Daten klassifiziert sind, überwacht das Sicherheitsteam, wie sie gehandhabt werden. DLP-Tools können verschiedene Verfahren anwenden, um vertrauliche Daten zu identifizieren und zu verfolgen. Zu diesen Verfahren gehören:
Datenabgleich, wie z. B. der Vergleich von Dateiinhalten mit bekannten vertraulichen Daten.
Musterabgleich, wie z. B. die Suche nach Daten, die einem bestimmten Format folgen – eine neunstellige Zahl im Format XXX-XX-XXXX könnte beispielsweise eine Sozialversicherungsnummer sein.
Inhaltsanalyse, z. B. mithilfe von KI und maschinellem Lernen, um eine E-Mail-Nachricht auf vertrauliche Informationen zu analysieren.
Erkennung von Kennsätzen, Tags und anderen Metadaten, die eine Datei explizit als vertraulich kennzeichnen.
Wenn ein DLP-Tool feststellt, dass vertrauliche Daten verarbeitet werden, sucht es nach Richtlinienverstößen, abnormalem Verhalten, Sicherheitslücken im System und anderen Anzeichen für einen möglichen Datenverlust, einschließlich:
Datenlecks, etwa wenn ein Benutzer versucht, eine vertrauliche Datei mit jemandem außerhalb des Unternehmens zu teilen.
Nicht berechtigte Benutzer, die versuchen, auf kritische Daten zuzugreifen oder nicht genehmigte Aktionen auszuführen, wie das Bearbeiten, Löschen oder Kopieren einer vertraulichen Datei.
Malware-Signaturen, Datenverkehr von unbekannten Geräten oder andere Indikatoren böswilliger Aktivitäten.
Wenn DLP-Lösungen Richtlinienverstöße erkennen, können sie in Echtzeit Abhilfemaßnahmen ergreifen. Einige Beispiele:
Verschlüsseln von Daten, während sie durch das Netzwerk übertragen werden
Beenden von nicht autorisierten Datenübertragungen und Blockieren von bösartigem Datenverkehr
Warnung an Nutzer, dass sie gegen Richtlinien verstoßen
Kennzeichnung verdächtigen Verhaltens zur Überprüfung durch das Sicherheitsteam
Auslösen zusätzlicher Authentifizierungsanforderungen, bevor Benutzer mit kritischen Daten interagieren können
Einige DLP-Tools helfen auch bei der Datenwiederherstellung, indem sie automatisch Sicherungskopien der Daten erstellen, damit diese nach einem Verlust wiederhergestellt werden können.
Unternehmen können auch proaktivere Maßnahmen ergreifen, um DLP-Richtlinien durchzusetzen. Effektives Identity und Access Management (IAM), einschließlich Richtlinien zur rollenbasierten Zugriffssteuerung, kann den Datenzugriff auf die richtigen Personen einschränken. Die Schulung der Mitarbeiter über die Datensicherheitsanforderungen und Best Practices kann dazu beitragen, mehr versehentliche Datenverluste und -lecks zu verhindern, bevor sie passieren.
DLP-Tools verfügen in der Regel über Dashboards und Berichtsfunktionen, mit denen Sicherheitsteams vertrauliche Daten im gesamten Netzwerk überwachen können. Anhand dieser Dokumentation kann das Sicherheitsteam die Leistung des DLP-Programms im Laufe der Zeit verfolgen, sodass die Richtlinien und Strategien bei Bedarf angepasst werden können.
DLP-Tools können Unternehmen auch dabei helfen, die einschlägigen Vorschriften einzuhalten, indem sie Aufzeichnungen über ihre Datensicherheitsmaßnahmen führen. Im Falle eines Cyberangriffs oder einer Prüfung kann das Unternehmen anhand dieser Aufzeichnungen nachweisen, dass es die entsprechenden Datenverarbeitungsverfahren eingehalten hat.
DLP-Strategien sind oft eng mit Compliance-Vorschriften verknüpft. Viele Unternehmen erstellen ihre DLP-Richtlinien speziell zur Einhaltung von Vorschriften wie der Datenschutz-Grundverordnung (DSGVO), dem Health Insurance Portability and Accountability Act (HIPAA) und dem Payment Card Industry Data Security Standard (PCI-DSS).
Unterschiedliche Vorschriften schreiben verschiedene Standards für diverse Arten von Daten vor. HIPAA legt beispielsweise Regeln für persönliche Gesundheitsdaten fest, während PCI-DSS vorschreibt, wie Unternehmen mit Daten von Zahlungskarten umgehen sollen. Ein Unternehmen, das beide Arten von Daten sammelt, benötigt wahrscheinlich für jeden Typ eine separate DLP-Richtlinie, um die Compliance-Anforderungen zu erfüllen.
Viele DLP-Lösungen enthalten vorformulierte DLP-Richtlinien, die auf die verschiedenen Datensicherheitsstandards abgestimmt sind, die Unternehmen möglicherweise erfüllen müssen.
Schützen Sie vertrauliche Daten lokal und in der Cloud. IBM Security Guardium ist eine Datensicherheitslösung, die sich an eine veränderte Bedrohungslage anpasst und während des gesamten Datensicherheitszyklus umfassende Transparenz, Konformität und Schutz gewährleistet.
IBM Datensicherheitslösungen, die lokal oder in einer Hybrid Cloud implementiert werden, bieten Ihnen mehr Transparenz und Erkenntnisse, um Cyberbedrohungen zu untersuchen und zu beheben, Echtzeitkontrollen durchzusetzen und die Einhaltung von Vorschriften zu verwalten.
Ursachen für Datenschutzverletzungen zu kennen und über die Faktoren informiert zu sein, die Kosten erhöhen bzw. senken, hilft, besser vorbereitet zu sein. Lernen Sie aus den Erfahrungen von mehr als 550 Organisationen, die von einem Datenschutzverstoß betroffen waren.
Ransomware ist eine Form von Malware. Dabei drohen Angreifer Opfern damit, Daten oder Dateien zu löschen, vorzuenthalten oder dauerhaft verschlüsselt zu lassen, wenn nicht ein Lösegeld gezahlt wird.
SIEM (Security Information and Event Management) ist Software, die Unternehmen dabei hilft, potenzielle Sicherheitsbedrohungen und Schwachstellen zu erkennen und zu beheben, bevor sie den Geschäftsbetrieb stören können.