DLP darf nicht auf das Netzwerk begrenzt bleiben
Im "mobilen Zeitalter" reicht eine Netzwerk-DLP-Anwendung, die grundlegende Sicherheitsmaßnahmen bietet, nicht mehr aus
Netzwerk-DLP-Lösungen bieten aber nur Sicherheit, wenn sich ein Gerät auch im Netzwerk befindet - Je mehr das mobile Arbeiten zum Alltag wird, desto seltener ist das der Fall
Von Margreet Fortuné (*)
(23.05.14) - Datensicherheit und Datenschutz sind heute zentrale IT-Herausforderungen. Unternehmen sind gefordert, Maßnahmen zu ergreifen, die nicht nur einen bewussten Datendiebstahl, sondern auch einen unbeabsichtigten Datenabfluss zuverlässig verhindern. Einen wirksamen Schutz bieten DLP-Tools. Allerdings dürfen sie nicht auf die Sicherung des Netzwerkes begrenzt bleiben. Gerade auch mobile Endgeräte müssen in eine DLP-Lösung integriert werden.
Intrusion-Detection-Systeme, Firewalls oder Virenscanner sind heute Standard in der IT. Allerdings sichern sie das Unternehmensnetz primär vor Angriffen von außen. Einen wirksamen Schutz für einen Datenverlust von innen sei es aus Böswilligkeiten, schlichter Unachtsamkeit oder Unwissen bieten sie nicht. Zudem bleiben solche Vorfälle oft völlig unbemerkt. Abhilfe schaffen hier DLP (Data Loss Prevention)-Lösungen, mit denen Anwender den Datenfluss vom eigenen Netzwerk in das Internet zuverlässig kontrollieren und gegebenenfalls unterbinden können. Die verfügbaren Anwendungen in diesem Bereich unterstützen in der Regel eine Überwachung von Data at Rest, das heißt inaktiven, ruhenden Daten, Data in Motion, das heißt von Daten, die gerade übertragen werden, und Data in Use, das heißt aktiven Daten, die gerade bearbeitet werden.
Netzwerk-DLP-Lösungen bieten aber nur Sicherheit, wenn sich ein Gerät auch im Netzwerk befindet. Je mehr das mobile Arbeiten zum Alltag wird, desto seltener ist das der Fall. Dadurch haben sich auch die Risiken massiv erhöht. DLP-Lösungen müssen folglich über das eigene Netzwerk hinausreichen und die Endgeräte selbst erfassen.
Grundvoraussetzung ist natürlich, dass eine Lösung zur Endgeräteverwaltung und -sicherheit genutzt wird und ein durchgängiger Schutz der Geräte und Daten sichergestellt ist, das heißt, es muss eine Lösung im Bereich GRC (Governance, Risk Management und Compliance) implementiert werden. Eine solche Endpunkt-GRC-Applikation sollte auf jeden Fall Funktionalitäten in den Bereichen Geräte- und Bestandsverwaltung, Sicherheit und Datenschutz, Bestimmung des Gerätestandortes und Computerforensik bereitstellen.
Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)
Geräte- und Bestandsverwaltung: vom Desktop zum Tablet
Eine GRC-Lösung muss die Verwaltung sämtlicher Endpunkt-Geräte unterstützen, das heißt nicht nur die Software-Bestandsaufnahme, Problembehebung, Konfiguration und Aktualisierung von Desktop-PCs und Notebooks unterstützen, sondern auch von Tablets und Smartphones. Eine derartige Lösung ist allein schon deshalb von Bedeutung, da sich immer mehr Unternehmen mit dem Thema "Bring yourown Device" (BYOD) beschäftigen.
Sicherheit und Datenschutz: von der Datenspeicherung zur -löschung
Wird ein Endpunkt-Gerät beschädigt, geht es verloren oder wird es gestohlen, müssen Unternehmen die Möglichkeit haben, auf gespeicherte Daten zuzugreifen, um regulatorische und gesetzliche Vorschriften zu erfüllen. Es wird deshalb eine Endpunkt-GRC-Lösung benötigt, mit der Sicherungskopien der Endpunkt-Daten erstellt werden können.
Außerdem sind Unternehmen verpflichtet, im Falle des Verlustes eines Gerätes zu gewährleisten, dass alle Daten sicher sind, die unter gesetzliche Datenschutz-Bestimmungen oder Regelungen zum Schutz der Privatsphäre fallen. Folglich sollte eine Endpunkt-GRC-Lösung auch eine Datenlöschung auf mobilen Endgeräten ermöglichen.
Bestimmung des Gerätestandortes zur Identifizierung gefährdeter Geräte
Der physische Standort eines Geräts kann häufig Auskunft darüber geben, ob es sicher oder gefährdet ist. Nützliche Funktionen einer Endpunkt-GRC-Lösung sind deshalb zum Beispiel die Möglichkeit zur Nachverfolgung von Geräten mit der Anzeige von aktuellen und ehemaligen Standorten sowie zur Festlegung von geografischen Grenzen, bei deren Überschreitung eine Warnmeldung ausgegeben wird.
Computerforensik liefert Hinweise auf unsachgemäßen Gebrauch
Ein geeignetes Endpunkt-GRC-Tool muss die Daten eines gestohlenen Computers unabhängig vom Standort auswerten können, beispielsweise durch die Erfassung von Tastatur-Eingaben oder durch das Durchsuchen von Dateien. Damit lässt sich auch nachvollziehen, ob ein Gerät bestimmungsgemäß genutzt wurde.
Generell muss eine Lösung für die Endgerätesicherheit heute nicht nur Grundfunktionalitäten wie die Fernlöschung von Daten im Falle eines Verlustes oder Diebstahles bieten. Erforderlich ist ein umfassender Schutz der Geräte und Daten mittels einer integrierten GRC-Lösung.
Nicht zuletzt sollte eine GRC-Lösung natürlich auch eine DLP-Funktionalität bieten. Zu Endpunkt-DLP-Features gehörendie Identifizierung vertraulicher Daten auf den Endgeräten, das Blockieren des Transfers unternehmenskritischer Daten zum Beispiel durch Verhinderung eines E-Mail-Versandes odereiner Speicherung auf externe Storage-Geräte oder das Web-Filtering.
Insgesamt betrachtet reicht heute im "mobilen Zeitalter" eine Netzwerk-DLP-Anwendung, die grundlegende Sicherheitsmaßnahmen bietet, nicht mehr aus. Ebenso wichtig als komplementärer Bestandteil ist eine Endpunkt-DLP-Lösung. Sie sollte integraler Bestandteil einer umfassenden GRC-Applikation sein, die nicht nur aktuelle Anforderungen abdeckt, sondern auch eine hohe Flexibilität für die problemlose Bewältigung neuer Problemstellungen bietet.
Nur so kann künftig sichergestellt und vor allem auch nachgewiesen werden, dass IT-Compliance-Prozesse für Endpunkte ordnungsgemäß implementiert sind.
(*) Die Autorin
Margreet Fortuné ist Regional Manager DACH, Benelux & Eastern Europe bei Absolute Software
(Absolute Software: ra)
Absolute Software: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.