Was ist AWS DLP?

Um diese Informationen gezielt vor Diebstahl, Leaks und unautorisiertem Zugriff zu schützen, setzen sie auf Data Loss Prevention (DLP). Dieses Tool hilft dabei, Daten vor Diebstahl, Datenlecks und Betrug zu schützen. Mithilfe von DLP können Administratoren Daten klassifizieren, Zugriffsregeln definieren und den Zugriff streng überwachen. DLP kommt insbesondere in Umgebungen zum Einsatz, in denen gesetzliche oder branchenspezifische Vorgaben ein hohes Maß an Datenschutz verlangen. Da AWS cloudbasiert ist, stellt es Schutzmechanismen bereit, die DLP-Standards erfüllen.

Wenn ein Unternehmen seine IT-Infrastruktur auf die Cloud ausweitet, müssen alle relevanten Daten überwacht und nachvollziehbar gemacht werden. Der erste Schritt von AWS DLP besteht daher darin, Dateien und Assets zu erfassen. Diese werden anschließend markiert, kategorisiert und gruppiert. Gleichzeitig identifiziert das System alle Geräte und Ressourcen, die auf Daten in der AWS-Cloud zugreifen.

Daraufhin entwickeln Administratoren Zugriffskonzepte basierend auf einer Risikobewertung. Diese Bewertung übernimmt in der Regel das Sicherheitsteam. Es legt fest, welche Daten besonders schützenswert sind. Anhand dieser Einstufung erstellen Administratoren Zugriffsrichtlinien für Benutzer – je nach Sensibilitätsgrad und Risikopotenzial der Daten. Daten mit hohem Risiko umfassen beispielsweise Kreditkartennummern oder Sozialversicherungsnummern. Niedriges Risiko betrifft weniger sensible Informationen wie Vornamen oder demografische Angaben, die zwar geschützt, aber nicht für Spionage, Betrug oder Identitätsdiebstahl missbraucht werden könnten.

Zur Risikobewertung klassifiziert AWS DLP Daten nach Vertraulichkeit, Integrität und Verfügbarkeit. Diese Tags bestimmen, wie Daten gespeichert und geschützt werden. Vertrauliche Daten dürfen nur autorisierte Benutzer einsehen. Daten mit dem Attribut „Integrität“ sind geschäftskritisch und müssen vor Veränderung oder Beschädigung geschützt werden. Das Attribut „Verfügbarkeit“ steht für Daten, die jederzeit für berechtigte Benutzer zugänglich sein müssen.

Administratoren setzen AWS DLP häufig ein, um die Einhaltung gesetzlicher oder branchenspezifischer Datenschutzvorgaben sicherzustellen. Solche Vorgaben – z. B. HIPAA, PCI-DSS, DSGVO, FISMA oder FERPA – definieren, wie Daten gespeichert und wer darauf zugreifen darf. Vor der Entwicklung von Speicherrichtlinien sollten Verantwortliche stets prüfen, welche rechtlichen Vorgaben für ihr Unternehmen gelten. Verstöße gegen Vorschriften können empfindliche Strafen nach sich ziehen – teils in Millionenhöhe.

Datenschutzvorgaben unterscheiden zwischen ruhenden Daten (data at rest) und bewegten Daten (data in motion). Ruhende Daten sind Dateien oder Informationen, die dauerhaft im Netzwerk gespeichert sind. Sie sind besonders gegen unerlaubten Zugriff zu schützen – teilweise auch durch Verschlüsselung.

Bewegte Daten sind Informationen, die über das Netzwerk oder das Internet übertragen werden – z. B. eine E-Mail mit Anhang, eine Datenbankabfrage oder eine Datei, die zwischen Speicherorten übertragen wird. Auch sie müssen nach DLP-Standards gesichert sein. Beispielsweise ist bei bewegten Daten oft eine Ende-zu-Ende-Verschlüsselung erforderlich, während ruhende Daten je nach Sensibilitätsgrad auch unverschlüsselt gespeichert werden dürfen.

Jedes Unternehmen verfolgt eigene Richtlinien zum Datenschutz. Bei der Einführung neuer DLP-Strategien können jedoch allgemeine Best Practices als Grundlage dienen:

• Daten prüfen und klassifizieren: Legen Sie für jede Datei fest, wie sensibel und geschäftskritisch sie ist und wie stark sie demnach geschützt werden muss.
• Passende AWS-Architektur wählen: AWS bietet verschiedene Sicherheitsstufen für Daten in Bewegung und in Ruhe.
• Rollen und Zugriffsrechte definieren: Bestimmen Sie genau, wer auf welche Daten zugreifen darf.
• Abläufe dokumentieren: So können bestehende und neue Mitarbeiter standardisierte Prozesse zuverlässig einhalten.

AWS stellt eigene, integrierte DLP-Funktionen bereit. Viele Unternehmen ergänzen diese jedoch durch zusätzliche Lösungen, die besser auf ihre individuellen Anforderungen zugeschnitten sind. Auch zahlreiche Drittanbieter-Tools unterstützen die Umsetzung von DLP in der AWS-Cloud.

Organisationen, die AWS-DLP-Lösungen einsetzen möchten, sollten darauf achten, dass diese die Einhaltung branchenspezifischer Vorgaben erleichtern. Ein Beispiel: Ein Unternehmen im Gesundheitswesen benötigt DLP-Funktionen, die HIPAA-konform sind. Tools mit integrierten Compliance-Vorgaben helfen dabei, Daten richtig zu kategorisieren und regulatorische Anforderungen zu erfüllen.

Beispiele für AWS DLP-Tools:

• Dashboards zur schnellen Übersicht über den Systemstatus (aktuell und historisch)
• Analysefunktionen für Statistiken und Empfehlungen
• Werkzeuge für Datenanalyse und -transparenz sowie vollständige Sichtbarkeit der Cloud-Umgebung.