Zusammenführung von Context & Content Awareness: Mehr Effizienz in der Endpoint-DLP
Sacha Chahrvin, Managing Director
Zwischen den Jahren 2002 und 2004 kamen die ersten Appliances für Data Leak Prevention (DLP) zur Analyse der kompletten Kommunikation über Firmennetzwerke auf den Markt. Diese Geräte filterten zum Beispiel den Web-Zugang, E-Mails und Instant Messages (IM). Sensitive und vertrauliche Informationen sollten so direkt geschützt werden, damit keine Schäden für Unternehmen entstehen, weil etwa Unberechtigte auf Informationen zugreifen und diese missbräuchlich verwenden können. Gleichzeitig stieg jedoch die Bedrohung durch Datenlecks an Firmencomputern, genauer gesagt über deren Ports oder Peripheriegeräte. Mitarbeiter umgingen den Schutz der Netzwerke einfach, indem sie Firmenunterlagen lokal etwa auf einen USB-Stick kopierten und sie aus dem Unternehmen trugen. Folglich stieg die Nachfrage von Unternehmen nach Produkten zur Geräte- und Port-Kontrolle sowie bald auch nach Endpoint-DLP-Lösungen mit stärkerer Kontextsensitivität (engl. „Context Awareness“).
Netzwerkbasierte DLP-Appliances- und Endpoint-Device-Control-Produkte adressierten den gleichen Markt, allerdings mit unterschiedlichen Technologien: die einen mit Inhaltsfilterung (engl. Content Filtering) und die anderen mit kontextbasierten Methoden. Beide Technologien zielen auf die Erkennung sensitiver Daten ab, wobei die Daten beim Content Filtering nach bestimmten Begriffen, also contentbasiert, analysiert werden. Bei der kontextbasierten Methode wird nicht der Inhalt einer Datei sondern bestimmte Operationen wie das Verschieben, Kopieren oder Löschen, überwacht und gegebenenfalls verhindert.
Auf Anbieterebene entstand dabei eine fast „ideologische“ Trennung zwischen Content Filtering und kontextbasierten DLP-Technologien. Die Befürworter von Content Filtering argumentierten hierbei, dass einzig und alleine ihre intelligenten Technologien das Problem von Datenlecks in Firmen umfassend lösen könnten, da sie direkt an den aussagekräftigen Inhalten der Daten – der Information – ansetzten. Im Gegenzug wurden Device-Control-Produkte beschuldigt, sie seien nicht in der Lage, die grundlegenden Prinzipien der Datensicherheit zu „verstehen“ und müssten sich daher auf indirekte – und dementsprechend ineffiziente – Methoden beschränken. Als Gegenargument verwiesen die Anbieter von Device-Control-Produkten auf den hohen Anteil von „falsch positiven Ergebnissen“ bei Content-Filtering-Lösungen sowie auf ihre totale Unfähigkeit, lokale Datenlecks einzelner Firmenrechner zu schließen.
Kontext versus Content: Eine Trennung auf Zeit
Seitdem hat sich der Markt grundsätzlich gewandelt: Endpoint-Computer sind leistungsfähiger geworden, sodass reine Endpoint-DLP-Hersteller und einige DLP-Appliance-Anbieter Funktionalitäten zur Port-Content-Analyse in ihre Endpoint-Produkte integrieren konnten. Die Marktdurchdringung von Endpoint-Lösungen mit Content Filtering ist erheblich gestiegen. Bestätigt dies die Ineffizienz von kontextbasierten DLP-Technologien? Werden sie bald vom Markt verschwinden?
Die Antwort: Keinesfalls! Mittlerweile sind nicht nur die Lösungen für Endpoint-Computer ausgereifter geworden, sondern auch die Ansprüche der Unternehmenskunden. Kontext- und inhaltsbasierte DLP-Technologien sind im Grunde gar nicht so unterschiedlich, wie bislang behauptet. Betrachtet man deren grundlegende gegenseitige Abhängigkeiten beim Endpoint-Computing, wird dies klar. Die primäre Aufgabe einer DLP-Lösung ist das Verhindern von Datenlecks. Daher müssen diese Lösungen direkt die Bedeutung der weitergeleiteten Daten – also den Inhalt – erkennen und verifizieren. Da jedoch rein kontextbasierte Endpoint-DLP-Lösungen den Inhalt weder erkennen noch analysieren, müssen sie sich mit indirekten Methoden, wie zum Beispiel Device Access Control, behelfen. Sie sind daher nur teilweise für den Schutz von Daten geeignet. Erst durch die Verknüpfung mit einer Content-Filtering-Anwendung können sie kompletten Schutz bieten. Zum anderen lautet ein grundlegendes Prinzip der Informationstechnologie, dass man die wahre Bedeutung von Daten – also die enthaltenen Informationen – nur dann versteht und bewusst verwenden kann, wenn man sie im Kontext betrachtet.
In Sachen DLP bestimmt also das volle Wissen um den Kontext einer Datenübertragung, ob es sich bei einer Reihe von abstrakt erscheinenden Daten um sinnvolle – und möglicherweise ungewollt nach Außen gelangende – Informationen handelt. Ohne zu wissen, wer die Daten sendet, woher und über welchen Übertragungsweg sie kommen und wohin sie transferiert werden, ist es unmöglich zu definieren, welche Informationen die Daten enthalten, wie vertraulich sie sind und ob ihre Weitergabe legitim ist, also die Sicherheitsbestimmungen des Unternehmens nicht verletzt werden. Mit anderen Worten: Contentbasierte DLP-Methoden sind nur dann praxistauglich, wenn sie den vollen Kontext einer Datenübertragung erfassen und mit bestehenden Compliance-Richtlinien vergleichen. Eine gute Richtlinie für das Content Filtering ist immer eine Kombination von inhaltlichen Parametern und relevanten Kontext-Vorgaben und -Bedingungen.
Artikel versenden
Druckversion
-
Datenlecks verhindern
Kaum eine Woche vergeht, in der nicht ein neuer Fall von Datenpannen bekannt wird. Eine... -
Sicherheit in ERP-Systemen
Systeme für die Planung und das Controlling von Einkauf, Warenwirtschaft und Produktion –... -
Zusammenführung von Context & Content Awareness: Mehr Effizienz in der Endpoint-DLP
In der unternehmensinternen Informationssicherheit dominiert in den letzten Jahren der... -
%^ef$g73$5r(@&#!! – Über Verschlüsselung und Algorithmen
Was ist Verschlüsselung? Es gibt viele Definitionen dieses Begriffs. Manche sind detailliert und... -
Sicherheit im elektronischen Geschäfts- und Behördenverkehr (2)
Webmailer - Eine Alternative zum Versand mittels Internetmail ist die Bereitstellung der...
