Bundesamt für Sicherheit in der Informationstechnik

M 4.345 Schutz vor unerwünschten Informationsabflüssen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Vertrauliche Informationen sollten nicht in die falschen Hände geraten. Um dies zu verhindern, können eine Vielzahl organisatorischer oder technischer Maßnahmen ergriffen werden. Viele davon haben den Nachteil, dass sie die Arbeitsabläufe stark beeinträchtigen oder dass sie zwar einige Schnittstellen nach außen absichern, aber nicht alle.

Eine Lösung, um den Abfluss vertraulicher Informationen besser steuern zu können, sind Tools, die den Datenfluss im Netz und/oder auf Endgeräten kontrollieren. Sie sollen erkennen oder sogar einschreiten, wenn vertrauliche Informationen über unsichere Wege übertragen werden oder in falsche Hände geraten. Solche Tools überprüfen beispielsweise, ob per E-Mail, Datenaustausch oder bei der Internet-Nutzung bestimmte Informationen übermittelt werden sollen oder ob diese auf CD gebrannt oder auf einen USB-Stick kopiert werden sollen. Als Bezeichnungen für solche Tools werden die Begriffe Data Loss Prevention (DLP), Information Leakage Prevention (ILP) oder auch Extrusion Prevention verwendet, die Ziele und Mechanismen sind jedoch vergleichbar.

Solche Systeme unterscheiden zwischen vertraulichen und unkritischen Informationen. Während der Versand unkritischer Dateien per E-Mail erlaubt werden kann, könnte bei vertraulichen Dateien der E-Mail-Versand und das Kopieren auf mobile Datenträger wie USB-Sticks blockiert werden. Einige DLP-Tools können sogar verhindern, dass einzelne Inhalte einer Datei in eine andere Datei kopiert werden.

Derzeit gibt es zwei verschiedene technische Ansätze für DLP-Tools. Die einen versuchen, mit einem Gerät oder einer Appliance im Netz vertrauliche Inhalte im Datenstrom zu erkennen und darauf zu reagieren. Die anderen benötigen auf allen beteiligten Endgeräten einen Agenten, der Bewegungen und die Verarbeitung sensibler Dateien kontrolliert. Analog zum Intrusion-Detection-Bereich spricht man auch bei DLP von netzbasierten und hostbasierten Ansätzen.

Netzbasierter Ansatz

Bei einem netzbasierten DLP-Tool werden an bestimmten Stellen im Netz Sensoren oder Agenten platziert. Da nur an wenigen Stellen zusätzliche Software installiert werden muss, ist die Einrichtung und der Betrieb einfacher als bei Produkten, die auf jedem beteiligten Endgerät installiert werden müssen. Hierbei werden allerdings nur Datenabflüsse kontrolliert, die über diese Sensoren bzw. Agenten im Netz laufen, nicht aber diejenigen, die über dezentrale Schnittstellen oder mobile Datenträger erfolgen, z. B. über USB-Sticks. Ein weiteres Problem kann die Kontrolle verschlüsselter Informationen sein.

Hostbasierter Ansatz

Bei hostbasierten DLP-Tools müssen Agenten oder Sensoren auf jedem IT-System installiert werden, das in die Datenfluss-Kontrolle mit einbezogen werden soll. Dies zieht einen höheren Aufwand bei Installation und Betrieb nach sich. Der Vorteil ist dafür, dass das DLP-Tool alle Benutzer-Aktivitäten, die zu Datenabflüssen führen könnten, überwachen kann.

Konzeptionelles Vorgehen

Ein ganzheitlicher Schutz vor unerwünschten Informationsabflüssen kann nur erreicht werden, wenn die technischen Maßnahmen mit organisatorischen und personellen Maßnahmen Hand in Hand gehen und diese in den Sicherheitsmanagement-Prozess eingebettet sind. Eine wichtige Grundlage für DLP-Prozesse ist die Klassifizierung aller geschäftsrelevanten Informationen gemäß ihres Schutzbedarfs (siehe M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen ). Hierauf aufbauend muss geklärt werden, wer diese Informationen unter welchen Rahmenbedingungen bearbeiten, speichern und weitersenden darf und wie diese dabei zu schützen sind.

Für den Einsatz von DLP-Tools muss nicht jede einzelne Datei einzeln klassifiziert sein. Die Tools können typischerweise so konfiguriert werden, dass der Schutzbedarf einer Datei aus ihrem Speicherort (kontextbasiert), bestimmten Strukturmerkmalen oder über deren Inhalte, also über die Suche nach vordefinierten Schlüsselwörtern, abgeleitet wird. Beim kontextbasierten Ansatz ist eine strukturierte Datenhaltung erforderlich, bei der konsequent Dateien mit höherem Schutzbedarf von weniger vertraulichen getrennt werden, z. B. über Verzeichnisstrukturen (siehe M 2.138 Strukturierte Datenhaltung ).

Vor der Beschaffung eines DLP-Tools sollte der Einsatzzweck genau definiert werden. Bevor ein DLP-Tool in Betrieb genommen wird, muss eine Richtlinie zu dessen Nutzung erstellt werden sowie der Regelsatz festgelegt werden, den das Tool überprüfen soll. Der Einsatz und das Regelwerk sollten sorgfältig geplant und auf die Institution abgestimmt werden. Dabei sollten die Arbeitnehmervertretung und der Datenschutzbeauftragte einbezogen werden. Es empfiehlt sich, die getroffenen Regelungen in einer Betriebsvereinbarung zu fixieren.

Wichtig ist es, nicht überzureagieren. Nach ersten Tests mit DLP-Tools sind die Verantwortlichen meist entsetzt über die vielen potentiellen Schwachstellen, die damit aufgezeigt werden. Die Regeln sollten allerdings nicht zu eng aufgesetzt werden, damit ein vernünftiges Arbeiten noch möglich bleibt.

Die Mitarbeiter sollten darüber informiert werden, dass DLP-Tools eingesetzt werden, was diese Tools prüfen und welche Reaktionen auf Verstöße gegen das Regelwerk vorgesehen sind. Bei Verstößen gegen die definierten Regeln bieten DLP-Tools abgestufte Reaktionsmöglichkeiten, dazu gehören beispielsweise:

  • Anzeige eines Hinweis für den Benutzer, dass die geplante Transaktion gegen das Regelwerk verstoßen würde
  • Abfrage einer expliziten Zustimmung des Benutzers
  • Blockade der Aktion
  • Protokollierung
  • Information Dritter, z. B. eines Administrators oder Vorgesetzten

Die Erfahrung zeigt, dass die Anzeige von Warnhinweisen sehr wirkungsvoll ist, um die Mitarbeiter für den verantwortungsbewussten Umgang mit vertraulichen Informationen zu sensibilisieren. Zu starke Einschränkungen oder Kontrollen über DLP-Tools können sich negativ auf die Motivation der Mitarbeiter auswirken.

Die Konfiguration des DLP-Tools muss regelmäßig überprüft und optimiert werden und an Änderungen in der Institution, den Geschäftsprozessen und der IT angepasst werden.

Prüffragen:

  • Sind die Maßnahmen zum Schutz vor unerwünschten Informationsabflüssen in den Sicherheitsmanagement-Prozess integriert?

  • Sind die Maßnahmen zum Schutz vor unerwünschten Informationsabflüssen mit der Arbeitnehmervertretung und dem Datenschutzbeauftragten abgestimmt?

  • Ist sichergestellt, dass die Maßnahmen zum Schutz vor unerwünschten Informationsabflüssen mit den Arbeitsabläufen der Mitarbeiter vereinbar sind?

  • Sind die Mitarbeiter über den Einsatz, die Regelungen und die möglichen Sanktionen in Bezug auf den Schutz vor unerwünschten Informationsabflüssen informiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK