Datenverlustprävention (Data Loss Prevention, DLP) und Abwehr von Insider-Bedrohungen (Insider Threat Management, ITM) sind wie zwei Seiten einer Medaille – und mit beiden Technologien sollen primär Datenverlust und Datenmissbrauch verhindert werden. DLP übernimmt dabei die Überwachung von Dateiaktivitäten sowie Inhaltsprüfungen, um zu kontrollieren, dass Anwender vertrauliche Daten in Übereinstimmung mit den Unternehmensrichtlinien verwenden. ITM überwacht hingegen die Aktivitäten von Anwendern, z. B. wie sie Anwendungen nutzen, welche Daten sie ein- und ausgeben, auf welche Websites sie zugreifen und welche Dateien sie verschieben. Dabei werden als Beweismittel auch Screenshots von riskanten Aktivitäten erstellt, um Untersuchungen zu beschleunigen.
Im Market Guide für Datenverlustprävention 2022 zeigt Gartner®, dass „DLP- und Insider Risk Management-Lösungen konvergieren“. Gartner schreibt dazu: „Diese Lösungen umfassen nicht nur Funktionen zur Untersuchung der Inhalte, sondern analysieren auch das alltägliche Anwenderverhalten und reichern dadurch DLP-Ereignisse mit Kontextanalysen an. Sie verfolgen für jede Datenexfiltration nach, wer, wann, wo und wie welche Daten extrahiert.“
Sehen wir uns genauer an, welche Faktoren die Einführung dieser Technologien beschleunigt haben und warum sie konvergieren.
Klassische Aufgaben von DLP-Lösungen
- Compliance mit Datenvorschriften: Regierungen und Gesetzgeber auf der ganzen Welt verschärfen die Datenschutzbestimmungen oder implementieren strengere Regeln zum Schutz von Daten. Diese Vorschriften und Standards legen fest, wie Informationen verwendet, erfasst, gespeichert und weitergegeben werden dürfen. Datenschutzvorschriften sollen verhindern, dass Kundendaten wie Sozialversicherungsnummern, Kreditkartennummern (PCI-DSS), personenbezogene Gesundheitsdaten und andere personenbezogene Informationen auf unzulässige Weise verwendet oder an Dritte weitergegeben werden. Zu diesem Zweck gründen Gesetzgeber solche Behörden wie die California Privacy Protection Agency und verhängen hohe Geldstrafen. Die Datenschutz-Grundverordnung (DSGVO) droht zum Beispiel mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des betreffenden Unternehmens. DLP unterstützt Unternehmen dabei, Speicherort, Bewegungen und Nutzung von regulierten Daten im Unternehmen zu verstehen und abzusichern.
- Schutz geistigen Eigentums: In vielen Branchen wie Fertigung, Telekommunikation, Biotechnologie, Pharmazie, Hightech, Chemieindustrie und Fintech müssen Unternehmen ihr geistiges Eigentum und ihre Geschäftsgeheimnisse vor Diebstahl oder Veröffentlichung schützen, um wettbewerbsfähig zu bleiben. Zum geistigen Eigentum von Tech-Unternehmen können Patente oder proprietärer Quellcode gehören. In Unternehmen der Fertigungs- und Automobilbranche können es CAD-Designdateien und in der Chemieindustrie Formeln sein. Industriespionage und Datenlecks können Umsatz- und Gewinneinbußen, Rufschädigung und die Auslagerung von Arbeitsplätzen in andere Länder nach sich ziehen.
Aktuelle Aufgaben von DLP- und ITM-Lösungen
- Digitale Transformation: Durch die Digitalisierung von Geschäftsprozessen (z. B. in der Vertriebs- und Personalabteilung oder im Bereich Produktentwicklung) können Mitarbeiter über viel mehr Kanäle auf vertrauliche Daten zugreifen. Es werden mehr Daten generiert, die auf Laptops, über Collaboration-Tools wie Box oder Microsoft Teams oder über eine Mobilgeräte-App aufgerufen werden können. Größere Datenmobilität und die ständig zunehmende Anzahl von Kanälen öffnen aber auch externen Hackern und böswilligen Insidern Tür und Tor, die uneinheitliche Sicherheitsmaßnahmen zwischen Kanälen ausnutzen, um Daten zu stehlen. Die CISOs von heute sehen in DLP ein wichtiges Signal, das in einen Sicherheitsanalysedienst eingespeist und entsprechend in Kontextdaten umgewandelt werden kann.
- Vielfältigere Informationen: Herkömmliche DLP-Systeme arbeiten nach fest definierten Mustern (z. B. wird eine Gruppe aus 16 Ziffern, die die Prüfsummen-Formel des Luhn-Algorithmus durchläuft, als Zahlungskartennummer erkannt). Selbst mit diesen festen Begrenzungen haben DLP-Systeme sehr viele Falschmeldungen generiert. Heute können wichtige Geschäftsdaten als Bild (z. B. die neuesten Ideen für einen Film), Tabelle (z. B. eine Übersicht wichtiger Finanzkennzahlen) oder Quellcode vorliegen. Darüber hinaus machen es Betriebssystemfunktionen wie Windows Alternate File Streams (AFS) einigen einfachen DLP-Systemen schwer, problematische Inhalte genau zu erkennen und zu melden.
- Arbeiten im Homeoffice: Mitarbeiter und Auftragnehmer arbeiten von überall – in den heimischen vier Wänden, im Büro oder in einem Café. Dadurch haben Sicherheitsteams sie allerdings nicht mehr im Blick und Remote-Mitarbeiter müssen auch nicht befürchten, dass ihnen ein Manager über die Schulter sieht. Durch diese gefühlte Entkopplung von den Anforderungen und Konsequenzen des Berufslebens im Unternehmen ist es für CISOs besonders wichtig, mit formalen Insider Threat Management-Programmen effektive Partnerschaften mit der Personal- und Finanzabteilung aufzubauen.
- Mitarbeiterfluktuation: Angestellte wechseln ihre Arbeitgeber so häufig wie nie zuvor. Die weltweite Pandemie hat dazu geführt, dass Mitarbeiter verstärkt ihre aktuelle Situation bewerten und etwas in ihrem Leben ändern. Einige Unternehmen entlassen auch Mitarbeiter aufgrund von Fusionen und Übernahmen oder Veräußerungen. Der Trend ist aber der gleiche: Mitarbeiter kommen und gehen und stellen dadurch ein Risiko für Datenexfiltration, Infiltration und Sabotage dar.
- Fachkräftemangel: Der Mangel an Sicherheitsfachkräften hat dazu geführt, dass viele Unternehmen zu wenige Mitarbeiter für Datenschutzaufgaben haben. Obwohl es Möglichkeiten zur automatisierten Richtlinienerzwingung gibt, nutzen viele Sicherheitsteams die Präventionsfunktionen von DLP nicht, weil sie die Unterbrechung kritischer Geschäftsprozess befürchten. Inhaltsorientierte Richtlinien reichen jedoch nicht aus, um gefährliche Aktivitäten und Mitarbeiter zu identifizieren. Zusätzliche Signale wie die Bearbeitung des Lebenslaufs und die Verweildauer auf Jobbörsen können ein Frühindikator zu Insider-Risiken sein, Untersuchungen beschleunigen und damit Zeit und Ressourcen sparen.
Diese Vorteile bietet die konvergierte DLP- und ITM-Plattform von Proofpoint
Proofpoint wird im Gartner Market Guide für Datenverlustprävention 2022 und im Gartner Market Guide für Lösungen zur Abwehr von Insider-Risiken 2022 als repräsentativer Anbieter eingestuft. Wir bieten eine konvergierte Plattform, mit der Sie Datenverlust verhindern und Insider-Bedrohungen abwehren können:
- Der personenzentrierte Proofpoint-Ansatz liefert bessere Einblicke und mehr Kontext zum Wer, Was, Wann, Wo und Wie aller Datenverlustszenarien. Dazu gehören auch versehentlicher Missbrauch von Daten, Kompromittierung von Anmeldedaten und absichtlich böswilliges Verhalten. Mit unserem einzigen, ressourcenschonenden Agenten überwachen wir nicht nur, ob reguläre Anwender Aktionen an vertraulichen Daten ausführen, sondern weiten die Überwachung auch aus und erhalten somit Einblick in riskante Anwenderaktivitäten. Außerdem werden visuelle Beweise für solche Aktivitäten gesammelt. Dadurch können wir Triagierungen durchführen, Untersuchungen beschleunigen und Behebungsmaßnahmen schnell automatisieren.
- Unsere Plattform bietet neben Funktionen zur Untersuchung der Inhalte auch umfangreiche Kontextinformationen zu Bedrohungen und Anwenderverhalten. Wir integrieren Analysen des Anwenderverhaltens (User and Entity Behavior Analytics, UEBA) in unsere Lösung, um typische personenzentrierte Datenverlustszenarien wie kompromittierte Anwender abzudecken. Unsere Lösung umfasst Tools zur Datenherkunft (Data Lineage) wie eine Dateizeitleiste für mehr Transparenz und eine Anwenderzeitleiste für mehr Kontext zu den Absichten des Anwenders. Aufgrund des Kontexts können Datenverluste frühzeitig erkannt und Untersuchungen beschleunigt werden.
- Unsere Cloud-native, kanalübergreifende und kontextbezogene Lösung behebt die vielen Defizite veralteter DLP-Ansätze sowie integrierter DLP-Lösungen. Sie bietet umfassende Transparenz und Schutz für die aktuell wichtigsten Datenverlust-Kanäle – Cloud, E-Mail und Endpunkt. Durch einheitliche Richtlinien haben entschlossene kriminelle Akteure nicht mehr die Möglichkeit, unterschiedliche Sicherheitseinstellungen zwischen Kanälen auszunutzen, um Daten zu stehlen.
- Außerdem können die Teams unserer People-Centric Managed Services mit Unternehmen zusammenarbeiten, um für sie DLP- und ITM-Programme zu entwickeln, eine konvergierte Lösung erfolgreich zu implementieren und zu verwalten, das Unternehmenspersonal zu ergänzen sowie die Datensicherheitslage von Unternehmen zu verbessern.
Weitere Informationen
Um mehr darüber zu erfahren, wie Sie sich mit Proofpoint Enterprise DLP und Proofpoint ITM vor Datenverlust und Insider-Bedrohungen schützen können, sehen Sie sich unser 2-minütiges Demovideo an und besuchen Sie das ITM-Portal.
Im Insider-Threat-Awareness-Monat können Sie im on-demand abrufbaren Kamingespräch mit Pfizer mehr über den Umgang mit Insider-Bedrohungen erfahren.
Gartner: „Market Guide for Data Loss Prevention“ (Market Guide für Datenverlustprävention), Ravisha Chugh, Andrew Bales, 19. Juli 2022.
Gartner unterstützt keine der in den eigenen Forschungspublikationen dargestellten Anbieter, Produkte oder Dienstleistungen und empfiehlt Technologienutzern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Auszeichnungen zu wählen. Die Forschungspublikationen von Gartner stellen Meinungsäußerungen des Gartner-Forschungsteams dar und sollten nicht als Tatsachenfeststellung interpretiert werden. Gartner schließt hinsichtlich dieser Forschung jedwede Garantie, ausdrücklich oder impliziert, aus, einschließlich die der Marktgängigkeit oder der Eignung für einen bestimmten Zweck.
GARTNER ist eine eingetragene Handelsmarke und Dienstmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und auf der ganzen Welt und wird hier mit Genehmigung von Gartner verwendet. Alle Rechte vorbehalten.