Software zur Verhinderung von Datenverlust (Data Loss Prevention) verhindert Datenlecks und unbefugten Datenzugriff.
Data Loss Prevention (DLP, „Verhindern von Datenverlust“) ist ein Oberbegriff für Strategien, mit denen das Durchsickern oder die Zerstörung von Unternehmensdaten, insbesondere vertraulichen Daten, verhindert werden soll. DLP ist eine Sammelkategorie, die eine Reihe von Cybersicherheitsprodukten und -strategien umfasst. Jedes Produkt, das Daten schützt, kann als DLP-Produkt betrachtet werden.
Die Funktion spezieller DLP-Software ist etwas enger gefasst: Sie soll verhindern, dass vertrauliche Unternehmensinformationen die vom Unternehmen kontrollierten Systeme verlassen. DLP-Software muss in Verbindung mit anderen Technologien wie Verschlüsselung und Zugriffskontrolle verwendet werden, um Datensicherheit zu gewährleisten, aber sie spielt eine entscheidende Rolle.
DLP-Software verhindert, dass Daten nach außen gelangen, anstatt vor theoretischen Angriffen zu schützen. Dafür werden ausgehende Informationen redigiert (geschwärzt) bzw. tokenisiert oder riskante Benutzeraktionen blockiert. DLP-Systeme können auch unbefugten Zugriff auf sensible Daten erkennen. Dies kann darauf hindeuten, dass jemand Daten in eine Umgebung verschieben oder kopieren möchte, die nicht von der Organisation verwaltet wird, der die Daten gehören.
Stellen Sie sich eine Stadt mit einer Stadtmauer vor, wobei außerhalb und innerhalb der Mauern Wachen patrouillieren. Nehmen wir an, die Wachen außerhalb der Mauern halten Ausschau nach Angreifern und durchsuchen jeden auf Waffen, der die Stadt betreten möchte. Diese Wachen sind vergleichbar mit typischen Cybersicherheitsmaßnahmen wie Firewalls, Zugriffskontrollsystemen und sicheren Web-Gateways. Gleichzeitig überprüfen die Wachen innerhalb der Mauern jeden, der die Stadt verlässt, damit dieser keine wichtigen Ressourcen der Stadt stehlen kann. Solche Wachen sind vergleichbar mit DLP-Software (Data Loss Prevention).
DLP ist beim Cloud Computing besonders wichtig. Wenn man mit der Cloud arbeitet, müssen Benutzer fast ständig Daten über das Internet senden. Dadurch steigt auch die Wahrscheinlichkeit kompromittierter Daten. Aus diesem Grund wird DLP-Software in viele Dienste für Cloud-Sicherheit und Zugriffskontrolle integriert.
DLP gewinnt auch durch neue strengere Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) und das kalifornische Verbraucher-Datenschutzgesetz (California Consumer Privacy Act, CCPA) an Bedeutung. Durch diese Vorschriften drohen Unternehmen hohe Strafen, wenn Kundendaten durchsickern.
Es gibt viele Möglichkeiten zu verfolgen, ob potenziell vertrauliche Informationen in den Netzwerktraffic gelangen. DLP-Software kann nach außen gelangende sensible Daten zum Beispiel mit diesen Technologien erkennen:
Sobald die DLP-Software vertrauliche Daten erkannt hat, kann sie verhindern, dass diese Daten nach außen dringen. Dazu kann sie eine der folgenden Maßnahmen ergreifen:
Blockieren von Benutzeraktionen: Wenn interne Benutzer versuchen, auf geheimzuhaltende Daten zuzugreifen oder diese zu versenden, können DLP-Systeme dies verhindern. Beispielsweise können DLP-Systeme Benutzer daran hindern, eine geschäftliche E-Mail an eine Domain außerhalb des Unternehmens weiterzuleiten. Nehmen wir an, Bob arbeitet bei der Muster AG und hat die E-Mail-Adresse bob@muster-ag.com. Wenn er versucht, eine interne E-Mail aus der Muster AG an eine andere Domain als muster-ag.com weiterzuleiten, zum Beispiel kumpel@gmail.com, blockiert das DLP-System der Muster AG diese E-Mail. In ähnlicher Weise unterbinden einige DLP-Systeme das Kopieren von Daten. Wenn Bob also versucht, vertrauliche Daten zu kopieren und einzufügen, werden die Daten nicht in die Zwischenablage seines Computers übernommen, sodass Kopieren und Einfügen nicht möglich sind.
Redaktion: Der Begriff „redigieren“ bedeutet hier, dass etwas verborgen oder entfernt („geschwärzt“) wird. Bei redigierten Rechtsdokumenten werden beispielsweise bestimmte Textbestandteile ausgeblendet, um Informationen zu verbergen. Im Bereich Data Loss Prevention kann ein DLP-System vertrauliche Informationen, die in Daten erkannt wurden, entfernen oder verschleiern, indem es sie durch einen Nullwert oder eine Reihe bedeutungsloser Zeichen wie „****“ ersetzt.
Tokenisierung: Beim Vorgang der Tokenisierung wird ein Datenwert durch ein Token ersetzt, das diesem Wert entspricht. Das Token kann genau wie der reale Wert verwendet werden, und auf diese Weise wird der tatsächliche Wert nicht offengelegt.
Einige DLP-Systeme tokenisieren ausgehende vertrauliche Daten, anstatt sie zu blockieren oder zu redigieren. Angenommen, Bob sendet Alice eine E-Mail mit seiner Kreditkartennummer: 4111 1111 1111 1111. Das DLP-System des Unternehmens, in dem Bob arbeitet, identifiziert diese Ziffernfolge als Kreditkartennummer und ersetzt ihn automatisch durch den Tokenwert ABCD EFGH ABCD EFGH. Alice kann diesen Token-Wert anstelle von Bobs echter Kreditkartennummer verwenden, und das System des Unternehmens von Bob erkennt diesen Token und tauscht ihn für die interne Verarbeitung gegen den tatsächlichen Wert aus.
DLP kann als eigenständiges Produkt angeboten werden, ist jedoch häufig in anderen Paketlösungen für Cloudsicherheit enthalten, insbesondere in sicheren Web-Gateways und CASB-Produktsuites (Cloud Security Access Broker). Auf diese Weise können Unternehmen sowohl Bedrohungen von außen als auch Datenlecks von innen blockieren.
Cloudflare for Teams ist eine Produktsuite für Sicherheit in Organisationen, mit der interne Unternehmensdaten, Geräte und Mitarbeiter geschützt werden. Durch die Zugriffskontrolle blockiert Cloudflare Aktionen, die zu Datenschutzverletzungen führen können. Mit einer Web Application Firewall (WAF), DNS-Filterung und weiteren Maßnahmen blockiert Cloudflare außerdem Angriffe von außen. Durch starke Verschlüsselung gewährleistet Cloudflare die Sicherheit von Daten während der Übertragung.
Nach Lektüre dieses Artikels können Sie Folgendes:
Was ist IAM?
Zugriffskontrolle
Zero-Trust-Sicherheit
Um Ihnen mit Ihrer Website die bestmögliche Erfahrung bieten zu können, behalten wir uns die Verwendung von Cookies vor, wie hier beschrieben.Indem Sie diese Meldung akzeptieren, das Banner schließen oder unsere Webseiten weiter nutzen, stimmen Sie der Verwendung solcher Cookies zu.