Was ist DLP (Data Loss Prevention)?

Data Loss Prevention (DLP) stellt sicher, dass geschäftskritische oder sensible Daten das Netzwerk eines Unternehmens nicht verlassen und dass sie nicht beschädigt oder gelöscht werden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Lernen, was Data Loss Prevention (DLP) bedeutet
  • Erfahren Sie, welche Bedrohungen, DLP verhindern kann
  • Verstehen Sie, wie DLP-Software vertrauliche Informationen erkennt

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist DLP (Data Loss Prevention)?

Data Loss Prevention (DLP) ist eine Strategie zum Erkennen und Verhindern von Datenexfiltration oder Datenvernichtung. Viele DLP-Lösungen analysieren den Traffic im Netzwerk und auf internen Endpunkten, um den Verlust vertraulicher Daten zu erkennen. Mit DLP schützen Unternehmen ihre vertraulichen Geschäftsinformationen und persönlich identifizierbaren Informationen (PII) und gewährleisten die Einhaltung von Branchen- und Datenschutzvorschriften.

Was ist Datenexfiltration?

Von Datenexfiltration spricht man, wenn Daten ohne Genehmigung des Unternehmens verschoben werden. Dies wird auch als Datenexfusion bezeichnet. Das Hauptziel von DLP ist das Verhindern von Datenexfiltration.

Datenexfiltration kann auf verschiedene Weise erfolgen:

  • Vertrauliche Daten können das Netzwerk über E-Mail oder Instant Messaging verlassen
  • Ein Nutzer kann ohne Berechtigung Daten auf eine externe Festplatte kopieren
  • Ein Mitarbeiter könnte Daten in eine Public Cloud hochladen, die sich außerhalb der Kontrolle des Unternehmens befindet
  • Ein externer Angreifer kann unbefugten Zugriff erhalten und Daten stehlen
  • Ein Mitarbeiter kann sensible Daten in ein KI-Tool hochladen, z. B. in ein Large Language Model (LLM)

Um Datenexfiltration zu verhindern, verfolgt DLP die Daten, die sich innerhalb des Netzwerks, auf den Geräten der Mitarbeiter und bei der Speicherung in der Unternehmensinfrastruktur bewegen. Sollte die Gefahr bestehen, dass die Daten das Unternehmensnetzwerk verlassen, kann DLP eine Warnung senden, die Berechtigungen für die Daten ändern oder in einigen Fällen die Daten blockieren. Einige DLP-Sicherheitslösungen können sogar das Kopieren und Einfügen innerhalb von Webanwendungen blockieren, um zu verhindern, dass vertrauliche Daten in eine ungesicherte Anwendung kopiert oder anderweitig unerlaubt verschoben werden.

Welche Arten von Bedrohungen lassen sich durch Data Loss Prevention anhalten?

Insider-Bedrohungen: Jeder mit Zugang zu Unternehmenssystemen gilt als Insider. Dazu können Mitarbeiter, ehemalige Mitarbeiter, Auftragnehmer und Lieferanten gehören. Insider mit Zugang zu sensiblen Daten können diese Daten weiterleiten, zerstören oder stehlen. DLP kann durch Tracking sensibler Daten innerhalb des Netzwerks dazu beitragen, die unbefugte Weiterleitung, das Kopieren oder die Zerstörung sensibler Daten anzuhalten.

Externe Angriffe: Datenexfiltration ist oft das ultimative Ziel eines Phishing- oder Malware-basierten Angriffs. Externe Angriffe können auch zu dauerhaftem Datenverlust oder Datenzerstörung führen, wie z. B. bei einem Ransomware-Angriff, bei dem interne Daten verschlüsselt werden und nicht mehr zugänglich sind. DLP kann verhindern, dass böswillige Angreifer an interne Daten gelangen oder diese verschlüsseln.

Versehentliche Datenfreigabe: Insider geben oft versehentlich Daten preis – zum Beispiel könnte ein Mitarbeiter eine E-Mail mit sensiblen Informationen an einen Außenstehenden weiterleiten, ohne es zu merken. Ähnlich wie DLP-Sicherheit Insider-Angriffe anhalten kann, kann es diese versehentliche Freigabe von Daten erkennen und verhindern, indem es sensible Informationen im Netzwerk anhält.

KI-Datenexposition: Öffentlich verfügbare KI-Apps verwenden die erhaltenen Eingaben, um ihre Datensätze zu ergänzen und ihre Modelle weiter zu trainieren. Dies kann dazu führen, dass die Apps die Daten zu einem späteren Zeitpunkt an externe Personen weitergeben oder offenlegen. KI-Tools entsprechen möglicherweise auch nicht den Datenvorschriften, die ein Unternehmen befolgen muss, sodass ein Unternehmen gegen die Vorschriften verstößt, wenn es seine Daten hochlädt.

Verstöße gegen gesetzliche Vorschriften: Unterliegt ein Unternehmen gesetzlichen Regelungen wie der Allgemeinen Datenschutzverordnung (DSGVO), ist die Offenlegung von Daten ein Verstoß, der zu Geldbußen und anderen Strafen führen kann. DLP hilft, das Risiko solcher Verstöße zu verringern.

Wie funktioniert DLP zur Erkennung sensibler Daten?

DLP-Lösungen erkennen sensible Daten mit einer Reihe von Techniken. Zu diesen Techniken gehören unter anderem:

  • Data Fingerprinting: Durch diesen Prozess wird ein eindeutiger digitaler „Fingerabdruck“ erzeugt, mit dem eine bestimmte Datei identifiziert werden kann, so wie man mit einem individuellen Fingerabdruck eine Person identifizieren kann. Alle Kopien der Datei haben denselben Fingerprint. Die DLP-Software durchsucht ausgehende Daten nach Fingerprints und gleicht diese mit den Fingerprints vertraulicher Dateien ab.
  • Schlüsselwortabgleich: DLP-Software sucht in Nachrichten von Benutzern nach bestimmten Wörtern oder Satzteilen und blockiert Nachrichten, die diese enthalten. Wenn ein Unternehmen möchte, dass der vierteljährliche Finanzbericht bis zur Bekanntgabe der Zahlen vertraulich behandelt wird, kann ein DLP-System so konfiguriert werden, dass es ausgehende E-Mails blockiert, die die Formulierung „vierteljährlicher Finanzbericht“ oder bestimmte Sätze enthalten, die im Bericht vorkommen.
  • Pattern Matching: Diese Technik klassifiziert Text nach der Wahrscheinlichkeit, dass er in eine Kategorie von geschützten Daten passt. Angenommen, eine HTTP-Antwort, die von einer Unternehmensdatenbank ausgeht, enthält eine 16-stellige Zahl. Das DLP-System stuft diese Textzeichenfolge mit hoher Wahrscheinlichkeit als Kreditkartennummer ein, bei der es sich um geschützte personenbezogene Informationen handelt.
  • Dateiabgleich: Ein Hash einer Datei, die sich innerhalb des Netzwerks bewegt oder es verlässt, wird mit den Hashes geschützter Dateien verglichen. (Ein Hash ist eine eindeutige Zeichenkette, mit der eine Datei identifiziert werden kann. Hashes werden mit Hilfe von Hash-Algorithmen erstellt, die bei gleicher Eingabe jedes Mal die gleiche Ausgabe liefern).
  • Exakter Datenabgleich: Dabei werden Daten mit exakten Datensätzen abgeglichen, die bestimmte Informationen enthalten, die unter organisatorischer Kontrolle bleiben sollen.

Was sind einige wichtige Best Practices zum Schutz vor Datenverlust?

Data Loss Prevention (DLP) ist mehr als eine technologische Lösung: Die gesamte Sicherheitsstrategie eines Unternehmens sollte sich um den Schutz vor Datenverlust drehen. Neben der Aktivierung einer DLP-Lösung gehören zu den Best Practices zur Vermeidung von Datenverlusten:

  • Aufklärung der internen Nutzer über Sicherheitsmaßnahmen
  • Beibehaltung der Sichtbarkeit aller gespeicherten Daten
  • Verwendung der Zugriffskontrolle, um einzuschränken, wer Daten einsehen oder ändern kann
  • Verschlüsselung von Dateien bei der Übertragung und im Ruhezustand
  • Verwendung eines Zero Trust-Ansatzes, um sicherzustellen, dass kein Gerät oder Nutzer standardmäßig vertrauenswürdig ist

Wie verhindert Cloudflare One Datenverluste?

Die Cloudflare One-Plattform verfügt über einheitliche Sicherheitsfunktionen, einschließlich DLP, zum Schutz von Daten bei der Übertragung, während der Nutzung und im Ruhezustand über Web-, SaaS- und private Apps. Cloudflare One prüft Dateien und HTTPS-Verkehr auf das Vorhandensein sensibler Daten und ermöglicht es Kunden, Richtlinien zum Zulassen oder Blockieren zu konfigurieren. Cloudflare One integriert auch die Remote-Browserisolierung (RBI), um weitere DLP-Funktionen wie die Einschränkung von Downloads und Uploads, Tastatureingaben und Drucken zu implementieren. Erfahren Sie mehr über Cloudflare One.