Was ist DLP-Software (Data Loss Prevention)?

Software zur Verhinderung von Datenverlust (Data Loss Prevention) verhindert Datenlecks und unbefugten Datenzugriff.

Share facebook icon linkedin icon twitter icon email icon

Schutz vor Datenverlust

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Lernen, was Data Loss Prevention (DLP) bedeutet
  • Erfahren, warum DLP besonders bei Cloud Computing so wichtig ist
  • Nachvollziehen, wie DLP-Software verhindert, dass vertrauliche Informationen Unternehmensnetzwerke verlassen

Was leistet DLP-Software (Data Loss Prevention)?

Data Loss Prevention (DLP, „Verhindern von Datenverlust“) ist ein Oberbegriff für Strategien, mit denen das Durchsickern oder die Zerstörung von Unternehmensdaten, insbesondere vertraulichen Daten, verhindert werden soll. DLP ist eine Sammelkategorie, die eine Reihe von Cybersicherheitsprodukten und -strategien umfasst. Jedes Produkt, das Daten schützt, kann als DLP-Produkt betrachtet werden.

Die Funktion spezieller DLP-Software ist etwas enger gefasst: Sie soll verhindern, dass vertrauliche Unternehmensinformationen die vom Unternehmen kontrollierten Systeme verlassen. DLP-Software muss in Verbindung mit anderen Technologien wie Verschlüsselung und Zugriffskontrolle verwendet werden, um Datensicherheit zu gewährleisten, aber sie spielt eine entscheidende Rolle.

DLP-Software verhindert, dass Daten nach außen gelangen, anstatt vor theoretischen Angriffen zu schützen. Dafür werden ausgehende Informationen redigiert (geschwärzt) bzw. tokenisiert oder riskante Benutzeraktionen blockiert. DLP-Systeme können auch unbefugten Zugriff auf sensible Daten erkennen. Dies kann darauf hindeuten, dass jemand Daten in eine Umgebung verschieben oder kopieren möchte, die nicht von der Organisation verwaltet wird, der die Daten gehören.

Stellen Sie sich eine Stadt mit einer Stadtmauer vor, wobei außerhalb und innerhalb der Mauern Wachen patrouillieren. Nehmen wir an, die Wachen außerhalb der Mauern halten Ausschau nach Angreifern und durchsuchen jeden auf Waffen, der die Stadt betreten möchte. Diese Wachen sind vergleichbar mit typischen Cybersicherheitsmaßnahmen wie Firewalls, Zugriffskontrollsystemen und sicheren Web-Gateways. Gleichzeitig überprüfen die Wachen innerhalb der Mauern jeden, der die Stadt verlässt, damit dieser keine wichtigen Ressourcen der Stadt stehlen kann. Solche Wachen sind vergleichbar mit DLP-Software (Data Loss Prevention).

Warum ist Data Loss Prevention wichtig?

DLP ist beim Cloud Computing besonders wichtig. Wenn man mit der Cloud arbeitet, müssen Benutzer fast ständig Daten über das Internet senden. Dadurch steigt auch die Wahrscheinlichkeit kompromittierter Daten. Aus diesem Grund wird DLP-Software in viele Dienste für Cloud-Sicherheit und Zugriffskontrolle integriert.

DLP gewinnt auch durch neue strengere Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) und das kalifornische Verbraucher-Datenschutzgesetz (California Consumer Privacy Act, CCPA) an Bedeutung. Durch diese Vorschriften drohen Unternehmen hohe Strafen, wenn Kundendaten durchsickern.

Wie stoppt DLP-Software Datenlecks und Datenschutzverletzungen?

Es gibt viele Möglichkeiten zu verfolgen, ob potenziell vertrauliche Informationen in den Netzwerktraffic gelangen. DLP-Software kann nach außen gelangende sensible Daten zum Beispiel mit diesen Technologien erkennen:

  • Data Fingerprinting: Durch diesen Prozess wird ein eindeutiger digitaler „Fingerabdruck“ erzeugt, mit dem eine bestimmte Datei identifiziert werden kann, so wie man mit einem individuellen Fingerabdruck eine Person identifizieren kann. Alle Kopien der Datei haben denselben Fingerprint. Die DLP-Software durchsucht ausgehende Daten nach Fingerprints und gleicht diese mit den Fingerprints vertraulicher Dateien ab.
  • Exakter Datenabgleich: Ähnlich wie beim Fingerprinting wird beim exakten Datenabgleich nach einer genauen Übereinstimmung mit einem Datensatz gesucht, statt einen Fingerprint zu verwenden.
  • Bewertung des Benutzerverhaltens mithilfe maschinellen Lernens: Mit Algorithmen für maschinelles Lernen werden Tausende von Benutzeraktionen analysiert und es wird bestimmt, was „normales“ Verhalten jedes Benutzers innerhalb einer Organisation ausmacht. Wenn ein Benutzer beispielsweise plötzlich anfängt, Gigabytes von Daten aus einer Datenbank abzurufen, auf die er zuvor selten zugegriffen hat, kann DLP dies durch maschinelles Lernen als abnormale Aktion erkennen und ihm den Zugriff auf diese Datenbank entziehen.
  • Schlüsselwortabgleich: DLP-Software sucht in Nachrichten von Benutzern nach bestimmten Wörtern oder Satzteilen und blockiert Nachrichten, die diese enthalten. Wenn ein Unternehmen möchte, dass der vierteljährliche Finanzbericht bis zur Bekanntgabe der Zahlen vertraulich behandelt wird, kann ein DLP-System so konfiguriert werden, dass es ausgehende E-Mails blockiert, die die Formulierung „vierteljährlicher Finanzbericht“ oder bestimmte Sätze enthalten, die im Bericht vorkommen.
  • Klassifizierung von Texten: Bei dieser Technik wird Text anhand der Wahrscheinlichkeit klassifiziert, dass er in eine Kategorie geschützter Daten gehört. Angenommen, eine HTTP-Antwort aus einer Unternehmensdatenbank enthält Text, der dem Muster einer E-Mail-Adresse entspricht: eine Reihe von Zeichen, dann das Symbol „@“, gefolgt von einer Domain. Das DLP-System stellt für diese Zeichenfolge fest, dass es sich höchstwahrscheinlich um eine E-Mail-Adresse handelt, die als geschützte personenbezogene Information angesehen werden kann, und klassifiziert sie entsprechend.

Sobald die DLP-Software vertrauliche Daten erkannt hat, kann sie verhindern, dass diese Daten nach außen dringen. Dazu kann sie eine der folgenden Maßnahmen ergreifen:

Blockieren von Benutzeraktionen: Wenn interne Benutzer versuchen, auf geheimzuhaltende Daten zuzugreifen oder diese zu versenden, können DLP-Systeme dies verhindern. Beispielsweise können DLP-Systeme Benutzer daran hindern, eine geschäftliche E-Mail an eine Domain außerhalb des Unternehmens weiterzuleiten. Nehmen wir an, Bob arbeitet bei der Muster AG und hat die E-Mail-Adresse bob@muster-ag.com. Wenn er versucht, eine interne E-Mail aus der Muster AG an eine andere Domain als muster-ag.com weiterzuleiten, zum Beispiel kumpel@gmail.com, blockiert das DLP-System der Muster AG diese E-Mail. In ähnlicher Weise unterbinden einige DLP-Systeme das Kopieren von Daten. Wenn Bob also versucht, vertrauliche Daten zu kopieren und einzufügen, werden die Daten nicht in die Zwischenablage seines Computers übernommen, sodass Kopieren und Einfügen nicht möglich sind.

Redaktion: Der Begriff „redigieren“ bedeutet hier, dass etwas verborgen oder entfernt („geschwärzt“) wird. Bei redigierten Rechtsdokumenten werden beispielsweise bestimmte Textbestandteile ausgeblendet, um Informationen zu verbergen. Im Bereich Data Loss Prevention kann ein DLP-System vertrauliche Informationen, die in Daten erkannt wurden, entfernen oder verschleiern, indem es sie durch einen Nullwert oder eine Reihe bedeutungsloser Zeichen wie „****“ ersetzt.

Tokenisierung: Beim Vorgang der Tokenisierung wird ein Datenwert durch ein Token ersetzt, das diesem Wert entspricht. Das Token kann genau wie der reale Wert verwendet werden, und auf diese Weise wird der tatsächliche Wert nicht offengelegt.

Einige DLP-Systeme tokenisieren ausgehende vertrauliche Daten, anstatt sie zu blockieren oder zu redigieren. Angenommen, Bob sendet Alice eine E-Mail mit seiner Kreditkartennummer: 4111 1111 1111 1111. Das DLP-System des Unternehmens, in dem Bob arbeitet, identifiziert diese Ziffernfolge als Kreditkartennummer und ersetzt ihn automatisch durch den Tokenwert ABCD EFGH ABCD EFGH. Alice kann diesen Token-Wert anstelle von Bobs echter Kreditkartennummer verwenden, und das System des Unternehmens von Bob erkennt diesen Token und tauscht ihn für die interne Verarbeitung gegen den tatsächlichen Wert aus.

Bei welchen Cloud-Sicherheitslösungen ist DLP enthalten?

DLP kann als eigenständiges Produkt angeboten werden, ist jedoch häufig in anderen Paketlösungen für Cloudsicherheit enthalten, insbesondere in sicheren Web-Gateways und CASB-Produktsuites (Cloud Security Access Broker). Auf diese Weise können Unternehmen sowohl Bedrohungen von außen als auch Datenlecks von innen blockieren.

Wie verhindert Cloudflare Datenverluste?

Cloudflare for Teams ist eine Produktsuite für Sicherheit in Organisationen, mit der interne Unternehmensdaten, Geräte und Mitarbeiter geschützt werden. Durch die Zugriffskontrolle blockiert Cloudflare Aktionen, die zu Datenschutzverletzungen führen können. Mit einer Web Application Firewall (WAF), DNS-Filterung und weiteren Maßnahmen blockiert Cloudflare außerdem Angriffe von außen. Durch starke Verschlüsselung gewährleistet Cloudflare die Sicherheit von Daten während der Übertragung.