Datenverlust: Kombination von DLP und Verschlüsselung Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


28.03.2011 Michael Schmidt*

Datenverlust: Kombination von DLP und Verschlüsselung

Wenn Data Leakage Prevention und Verschlüsselung zusammenspielen, haben Datendiebe kein leichtes Spiel. Sogar das IT-Budget kann davon profitieren.

Vielen von uns mag die Veröffentlichung von Tausenden von vertraulichen Dokumenten durch ein Informationsleck des US State Department – die sogenannte Wikileaks-Affäre – noch ein wenig unheimlich vorkommen. Doch ein genauerer Blick auf die Umstände des Datenlecks zeigt, dass der Abfluss der Daten keineswegs unvermeidlich war. So hatten annähernd eine halbe Millionen Regierungsangestellte und freie Mitarbeiter unkontrollierten Zugriff auf diese Daten. Die von der US-Regierung gewollte, transparente Verbreitung von sicherheitspolitisch relevanten Informationen innerhalb der eigenen Behörden muss jedoch nicht zwangsweise damit einhergehen, dass jeder Adressat die ungehinderte Möglichkeit zur Weiterverbreitung erhält.

GUTE VORBEREITUNG IST WICHTIG Stellt man vertrauliche Informationen einem größeren Anwenderkreis zur Verfügung, sollte man sich bereits im Vorfeld Gedanken über potenziellen Missbrauch machen. Wenn möglich, sollte der direkte Zugriff auf die Daten nur einer Untermenge dieses Anwenderkreises erlaubt sein. Verschlüsselung der Daten kann hier sehr effizient sein, wenn man den Zugriff auf den Schlüssel auf die autorisierten Leser beschränkt. Dies ermöglicht ein Dokumenten-Verschlüsselungsprodukt mit einer leistungsfähigen Schlüsselhierarchie. Diese Hierarchie ist meist in einer Baumstruktur ähnlich der Firmenhierarchie aufgebaut. Das bedeutet, dass jeder Benutzer einen persönlichen Schlüssel zur Dokumentenverschlüsselung besitzt, und optional über die Gruppen, in denen er sich befindet, Zugriff auf weitere Schlüssel hat. Diese teilt er mit den anderen Mitgliedern der Gruppen. Der Zugriff auf den persönlichen Schlüssel ist jedoch typischerweise exklusiv für den Inhaber. Letzteres kann ein Problem darstellen, wenn der Mitarbeiter die Firma verlässt, und sein Nachfolger keinen Zugriff mehr auf die verschlüsselten Dokumente hat. Um diese Situation zu vermeiden, empfiehlt es sich, das Dokument zusätzlich mit einem weiteren sogenannten Escrow-Schlüssel zu verschlüsseln, der im Notfall noch einer weiteren Person Zugriff auf das Dokument erlaubt.

Im Sinne der Vermeidung von Datenlecks ist es auch überlegenswert, einem Mitarbeiter den vollen Zugriff - insbesondere den Export - auf seine zur Dokumentenverschlüsselung verwendeten Schlüssel zu verwehren. Somit kann er seine verschlüsselten Dokumente nur auf den Geräten bearbeiten, auf denen er dazu autorisiert ist.

EINSATZ VON DLP-LÖSUNGEN Sehr wichtig ist die folgende Anforderung, die von Verschlüsselungsprodukten naturgemäß nur unzureichend adressiert werden kann: Die Kontrolle über den unbeabsichtigten oder auch mutwilligen Abfluss von vertraulichen Daten durch autorisierte Computernutzer, sogenannte Innentäter. Die Verhinderung solcher Datenlecks haben sich Data-Leakage-Prevention-Produkte (DLP) auf die Fahnen geschrieben. Sie erlauben einem im Prinzip unbeschränkten Anwenderkreis das Lesen der Dokumente an ihrem Arbeitsplatz, beschränken oder verhindern aber die Weiterverarbeitung der Daten, zum Beispiel weiterleiten oder kopieren.

DLP kann sowohl serverseitig (zum Beispiel E-Mail-Server) als auch clientseitig (PC) aktiv werden. Auf der Serverseite kontrolliert DLP den Informationsabfluss zum Internet (zum Beispiel als E-Mail-Proxy), auf der Clientseite die lokalen Export-Schnittstellen des PCs, und unterbindet den unautorisierten Export von Dokumenten. Zu den überwachten lokalen Schnittstellen zählen Laufwerke, Ports, eventuell die Zwischenablage und der Netzwerk-Stack (insbesondere über drahtlose Protokolle).

Dabei besitzen die meisten DLP-Produkte die Intelligenz, Dokumente nach ihrem Inhalt zu klassifizieren. Enthält ein Dokument zum Beispiel ein Schlüsselwort aus einer Sperrliste, oder ein Datum, das einem mittels regulärem Ausdruck („Regular Expression“) definierten Schema (zum Beispiel Kreditkartennummer, Personalausweisnummer, vergleichbare Daten im Gesundheitssektor) entspricht, so registriert das System dies. Die regulären Ausdrücke werden häufig bereits vom Hersteller des DLP-Produkts mitgeliefert, sodass der Anwender sie nicht mehr selbst definieren muss. Überschreiten solche Verletzungen einen bestimmten Schwellwert, so schlägt das System Alarm und unterbindet gegebenenfalls den Export.

FINGERPRINTING UND DISCOVERY Einige Produkte bieten auch die Möglichkeit, Daten auf Ähnlichkeit mit einer Referenzdatenbank von klassifizierten Dokumenten zu kontrollieren. Dabei werden in einem vorhergehenden Prozess ausgewählte Referenzdokumente in Fragmente zerlegt. Diese Fragmente werden mit Signaturen versehen („Fingerprinting“), welche in einer internen Datenbank abgelegt sind. Der gesamte Mechanismus ist so leistungsfähig, dass ein Angreifer einzelne Absätze eines Dokuments löschen, umsortieren oder einzeln exportieren könnte, trotzdem würde der Datenabfluss bemerkt. Dasselbe gilt für das Verändern einzelner Wörter. Ebenso könnte der Angreifer versuchen, das Format des Dokuments zu verändern, indem er zum Beispiel ein Fragment aus einem Textdokument in eine Präsentation übernimmt. Auch hier würde der versuchte Export geblockt.

Ein weiterer Aspekt von DLP liegt in der Klassifizierung von ruhenden Daten („Data at Rest“) ohne Online-Überwachung der Benutzeraktivitäten. Dieser Vorgang wird auch „Discovery“ genannt. Viele Produkte bieten dazu einen Crawler, der die vorhandenen Datenbestände offline durchforstet, und gemäß den bereits erläuterten Kriterien nach individueller Vertraulichkeit bewertet. In diesem Prozess werden zum Beispiel auch eventuell vorhandene Dokumenten-Duplikate entdeckt und angezeigt. Die Ergebnisse dieser Klassifizierung dienen zur Beurteilung, wie Daten eventuell besser organisiert und welche Bereiche unbedingt verschlüsselt werden sollten.

VERSCHLÜSSELUNG MIT DLP KOMBINIEREN Die Kombination von Verschlüsselung mit DLP verspricht besondere Synergien. Die Klassifizierung der Daten dient dabei als Gradmesser, ob diese zu verschlüsseln sind oder nicht. Ein paar Stunden überflüssiger Ver- und insbesondere Entschlüsselungsvorgänge können bei ruhenden Daten schnell eingespart werden. Das kann sich beim Zugriff auf Backups schnell bezahlt machen, wenn nicht kategorisch jedes Backup vor dem Zugriff entschlüsselt werden muss.

Im Online-Fall kann dem autorisierten Benutzer prinzipiell erlaubt werden, Dokumente zu exportieren. Gleichzeitig werden diese Dokumente aber, sofern sie als vertraulich erkannt werden, mit einem Schlüssel verschlüsselt, auf den ein Angreifer keinen Zugriff hat. Häufig hat nicht einmal der autorisierte Benutzer direkten Zugriff. Dadurch wird erreicht, dass der Zugriff sowie die weitere Verarbeitung nur durch autorisierte Anwender auf autorisierten Geräten möglich ist.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • MIC – managing international customs & trade compliance

    MIC – managing international customs & trade compliance Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr

Hosted by:    Security Monitoring by: