Was ist Data Loss Prevention (DLP)?

Data Loss Prevention (DLP) stellt sicher, dass geschäftskritische oder sensible Daten das Netzwerk eines Unternehmens nicht verlassen und dass sie nicht beschädigt oder gelöscht werden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Lernen, was Data Loss Prevention (DLP) bedeutet
  • Erfahren Sie, welche Bedrohungen, DLP verhindern kann
  • Verstehen Sie, wie DLP-Software vertrauliche Informationen erkennt

Link zum Artikel kopieren

Was ist Data Loss Prevention (DLP)?

Data Loss Prevention (DLP) ist eine Strategie zum Erkennen und Verhindern von Datenexfiltration oder Datenvernichtung. Viele DLP-Lösungen analysieren den Traffic im Netzwerk und auf internen Endpunkten, um den Verlust vertraulicher Daten zu erkennen. Mit DLP schützen Unternehmen ihre vertraulichen Geschäftsinformationen und personenbezogenen Daten (PII) und gewährleisten die Einhaltung von Branchen- und Datenschutzvorschriften.

Was ist Datenexfiltration?

Von Datenexfiltration spricht man, wenn Daten ohne Genehmigung des Unternehmens verschoben werden. Dies wird auch als Datenexfusion bezeichnet. Das Hauptziel von DLP ist das Verhindern von Datenexfiltration.

Datenexfiltration kann auf verschiedene Weise erfolgen:

  • Vertrauliche Daten können das Netzwerk über E-Mail oder Instant Messaging verlassen
  • Ein Nutzer kann ohne Berechtigung Daten auf eine externe Festplatte kopieren
  • Ein Mitarbeiter könnte Daten in eine Public Cloud hochladen, die sich außerhalb der Kontrolle des Unternehmens befindet
  • Ein externer Angreifer kann unbefugten Zugriff erhalten und Daten stehlen

Um Datenexfiltration zu verhindern, verfolgt DLP die Daten, die sich innerhalb des Netzwerks, auf den Geräten der Mitarbeiter und bei der Speicherung in der Unternehmensinfrastruktur bewegen. Sollte die Gefahr bestehen, dass die Daten das Unternehmensnetzwerk verlassen, kann DLP dann eine Warnung senden, die Berechtigungen für die Daten ändern oder in einigen Fällen die Daten blockieren.

Welche Arten von Bedrohungen lassen sich durch Data Loss Prevention anhalten?

Insider-Bedrohungen: Jeder mit Zugang zu Unternehmenssystemen gilt als Insider. Dazu können Mitarbeiter, ehemalige Mitarbeiter, Auftragnehmer und Lieferanten gehören. Insider mit Zugang zu sensiblen Daten können diese Daten weiterleiten, zerstören oder stehlen. DLP kann durch Tracking sensibler Daten innerhalb des Netzwerks dazu beitragen, die unbefugte Weiterleitung, das Kopieren oder die Zerstörung sensibler Daten anzuhalten.

Externe Angriffe: Datenexfiltration ist oft das ultimative Ziel eines Phishing- oder Malware-basierten Angriffs. Externe Angriffe können auch zu dauerhaftem Datenverlust oder Datenzerstörung führen, wie z. B. bei einem Ransomware-Angriff, bei dem interne Daten verschlüsselt werden und nicht mehr zugänglich sind. DLP kann verhindern, dass böswillige Angreifer an interne Daten gelangen oder diese verschlüsseln.

Versehentliche Datenfreigabe: Insider geben oft versehentlich Daten preis – zum Beispiel könnte ein Mitarbeiter eine E-Mail mit sensiblen Informationen an einen Außenstehenden weiterleiten, ohne es zu merken. Ähnlich wie DLP Insider-Angriffe anhalten kann, kann es diese versehentliche Freigabe von Daten erkennen und verhindern, indem es sensible Informationen im Netzwerk anhält.

Wie erkennt DLP sensible Daten?

DLP-Lösungen erkennen sensible Daten mit einer Reihe von Techniken. Zu diesen Techniken gehören unter anderem:

  • Data Fingerprinting: Durch diesen Prozess wird ein eindeutiger digitaler „Fingerabdruck“ erzeugt, mit dem eine bestimmte Datei identifiziert werden kann, so wie man mit einem individuellen Fingerabdruck eine Person identifizieren kann. Alle Kopien der Datei haben denselben Fingerprint. Die DLP-Software durchsucht ausgehende Daten nach Fingerprints und gleicht diese mit den Fingerprints vertraulicher Dateien ab.
  • Schlüsselwortabgleich: DLP-Software sucht in Nachrichten von Benutzern nach bestimmten Wörtern oder Satzteilen und blockiert Nachrichten, die diese enthalten. Wenn ein Unternehmen möchte, dass der vierteljährliche Finanzbericht bis zur Bekanntgabe der Zahlen vertraulich behandelt wird, kann ein DLP-System so konfiguriert werden, dass es ausgehende E-Mails blockiert, die die Formulierung „vierteljährlicher Finanzbericht“ oder bestimmte Sätze enthalten, die im Bericht vorkommen.
  • Pattern Matching: Diese Technik klassifiziert Text nach der Wahrscheinlichkeit, dass er in eine Kategorie von geschützten Daten passt. Angenommen, eine HTTP-Antwort, die von einer Unternehmensdatenbank ausgeht, enthält eine 16-stellige Zahl. Das DLP-System stuft diese Textzeichenfolge mit hoher Wahrscheinlichkeit als Kreditkartennummer ein, bei der es sich um geschützte personenbezogene Informationen handelt.
  • Dateiabgleich: Ein Hash einer Datei, die sich innerhalb des Netzwerks bewegt oder es verlässt, wird mit den Hashes geschützter Dateien verglichen. (Ein Hash ist eine eindeutige Zeichenkette, mit der eine Datei identifiziert werden kann. Hashes werden mit Hilfe von Hash-Algorithmen erstellt, die bei gleicher Eingabe jedes Mal die gleiche Ausgabe liefern).
  • Exakter Datenabgleich: Dabei werden Daten mit exakten Datensätzen abgeglichen, die bestimmte Informationen enthalten, die unter organisatorischer Kontrolle bleiben sollen.

Wie kann die rollenbasierte Zugriffskontrolle (RBAC) bei der Vermeidung von Datenverlusten helfen?

Die rollenbasierte Zugriffskontrolle (RBAC) gibt Nutzern die Erlaubnis, Aktionen auf der Grundlage ihrer Rolle innerhalb des Unternehmens durchzuführen. So kann beispielsweise ein Buchhalter in einem Unternehmen, das RBAC verwendet, auf die Steuerdaten des Unternehmens zugreifen, ein Entwickler kann es nicht.

Einige RBAC-Lösungen können den Zugriff auf Daten erlauben und gleichzeitig den Spielraum für die Daten einschränken. Cloudflare One kann beispielsweise Nutzer davon abhalten, Daten lokal zu speichern, indem es das Herunterladen von Dateien einschränkt. Dadurch wird verhindert, dass Daten ohne die Erlaubnis des Unternehmens verschoben oder kopiert werden.

Wie verhindert Cloudflare One Datenverluste?

Cloudflare One ist eine Network-as-a-Service-Lösung, die eine Reihe von Funktionen zum Schutz vor Datenverlust bietet. Durch die Protokollierung von DNS- und HTTP-Anfragen, das Scannen ausgehender Daten und die Kontrolle von Nutzerberechtigungen für alle Anwendungen über RBAC können Unternehmen mit Cloudflare One das Verlassen von Daten aus kontrollierten Umgebungen anhalten. Cloudflare One bietet auch zusätzliche Funktionen zur Vermeidung von Datenverlusten: Erfahren Sie mehr über die DLP-Lösung von Cloudflare.