Bei DLP schalten mittelständische Unternehmen ab
Von Richard Agnew, Code42
Nach wie vor verläuft das Datenwachstum sowohl innerhalb als auch außerhalb der Unternehmen exponentiell. Im Jahr 2025 werden weltweit rund 163 Zettabyte an Daten generiert werden – das ist eine 163 mit 21 Nullen und das Zehnfache an Daten im Vergleich zum Jahr 2016, als es noch 16 Zettabyte waren. Zur Einordnung: Das entspricht allen derzeit bei Netflix gespeicherten Serien und Filmen – knapp 500 Millionen Mal betrachtet. Dabei liegt die jährliche Wachstumsrate aller Daten zwischen 2015 und 2025 bei 30 %.
Zudem zeichnet sich eine wichtige Verlagerung bei den Datenquellen ab: Bis 2025 wird ein Großteil der Daten nicht wie bisher von Privatnutzern generiert, sondern in Unternehmen entstehen. Im Jahr 2015 sorgten Unternehmen gerade mal für 30 % aller weltweit anfallenden Daten; in zehn Jahren soll dieser Anteil bei 60 % liegen – bei absolut gesehen verzehnfachten Datenmengen wohlgemerkt. Soweit die Ergebnisse einer Studie von Seagate und IDC aus dem Jahr 2017.
Ein weiterer Trend, nämlich der zur Digitalisierung, und die zunehmende Beliebtheit von Cloud Services und damit der Cloud als Speicherort, haben nicht nur dazu geführt, dass die Datenmengen geradezu in den Himmel wachsen – sie wachsen inzwischen auch über die Unternehmensgrenzen in Form von eigenen Servern und internen Strukturen hinaus in die Cloud.
Strenge Datenschutzkriterien, immer offenere Unternehmen
Diese „Wucherungen“ müssten eigentlich umfassend kontrolliert werden: Immer strengere gesetzliche Vorgaben (die EU-DSGVO, um nur eine zu nennen) zwingen dazu, Daten revisionssicher zu verwalten und aufzubewahren. Und da Daten ja bekanntlich das neue Öl sind, sind Organisationen gut damit beraten, ihr geistiges Eigentum effizient und nachhaltig zu schützen.
Fast drei Viertel der CISOs und 60 % der CEOs geben zu, dass sie Kryptowährung auf Lager haben, um Cyberkriminelle im Falle eines Ransomware-Angriffs oder einer Datenverletzung zu bezahlen. Bei diesen Unternehmen haben 79 % der CISOs und 82 % der CEOs schon einmal Zahlungen an Cyberkriminelle geleistet. (Bild: Code42 Software, Inc.)
Von den beschriebenen Entwicklungen sind Unternehmen jeder Größe betroffen. Innerhalb der Organisationen haben sie zunehmend komplexere IT-Umgebungen zufolge, die nicht nur den wachsenden Datenbergen geschuldet sind, sondern auch der fortschreitenden Vernetzung mit Kunden, Zulieferern oder Partnern. All diese Öffnungen nach außen, sei es durch die Vernetzung mit dritten Parteien, sei es durch die Datenverlagerung in die Cloud, stellen hervorragende und gern genutzte Einfallstore für Cyberangriffe dar.
Laut dem Data Exposure Report 2018 von Code42 gehen 64 % der befragten CISOs (Chief Information Security Officers) davon aus, dass ihr Unternehmen innerhalb der nächsten zwölf Monate Ziel einer erpresserischen Cyberattacke sein wird, was dazu geführt hat, dass fast 73 % der CISOs Kryptowährungen auf Lager haben, um Cyberkriminelle zu bezahlen.
Denn die Folgen eines Diebstahls oder eines sonstigen Datenverlustes sind heute ungeheuer groß und reichen vom rein wirtschaftlichen Schaden über rechtliche Konsequenzen (da gesetzliche Vorgaben nicht eingehalten oder Geschäftsgeheimnisse verraten wurden) bis hin zum Reputationsverlust, insbesondere dann, wenn sensible Kundendaten betroffen sind. Dieser insgesamt eher unerfreulichen Gemengelage sind sich mittlerweile auch immer mehr kleine und mittelständische Unternehmen sehr wohl bewusst.
Der Handlungsbedarf ist also im Prinzip erkannt, und folglich steigen auch bei den kleinen und mittelständischen Firmen das Interesse und die Bereitschaft, Datensicherung im großen Stil zu betreiben – im Grunde ist das inzwischen eine pure Notwendigkeit, nicht zuletzt um konkurrenz- und damit überlebensfähig zu bleiben.
Die Probleme, denen sich die Unternehmen gegenübersehen, seien es nun globale Player oder kleine und mittlere Unternehmen, sind also die gleichen. Deutliche Unterschiede gibt es hingegen bei den Mitteln zur Gegenwehr, also darin, wie die Unternehmen in puncto Gefahrenabwehr aufgestellt sind: Anders als große Konzerne haben Mittelständler meist keine großen Budgets und/oder große hauseigene IT-Abteilungen, um ihre Daten wirksam zu schützen. Auch tendieren mittelständische Unternehmen eher dazu, die Verantwortung für ihre IT-Landschaft an Service-Provider auszulagern.
Die meisten Datendiebe kommen von innen
Eine besonders perfide Art der Bedrohung sind die Insider Threats. Naturgemäß richtet sich jede Form der Verteidigung zunächst einmal nach außen. Bedrohungen aus dem Inneren des Unternehmens müssen dabei nicht einmal böswillig sein – sie beruhen häufig schlicht auf Leichtsinn, Nachlässigkeit oder Arglosigkeit. Da gerät beispielsweise ein Passwort schnell mal in die falschen Hände. So basieren die meisten Cyberangriffe in irgendeiner Weise auf dem Diebstahl privilegierter Anmeldeinformationen. Tatsächlich sind es sogar sagenhafte 80 % der gesamten IT-Verstöße, bei denen der Missbrauch von bevorrechtigten Anmeldeinformationen eine entscheidende Rolle spielt, wie The Forrester Wave Q4/2018 aufzeigt. 74 % aller Datenschutzverletzungen erfolgten dem Ponemon Institute zufolge aufgrund von Identitätsdiebstahl.
Eigentum der Firma? 79 % der CEOs und 65 % der Führungskräfte finden, dass sie ein Recht auf ihre Arbeitsergebnisse haben. Hier war gefragt, welcher Aussage man ehesten zustimme. (Bild: Code42)
Das erste Mittel der Wahl zur Abwehr von Insider-Bedrohungen heißt in vielen Fällen DLP (Data Leakage/Loss Prevention). Eine solche Lösung wird allgemein als wirksamer Schutz vor Bedrohungen aus dem Unternehmensinneren angesehen. Und vorkommen kann hier wirklich viel. Das reicht vom Raub von Kreditkartennummern bis hin zu Datendiebstahl durch Mitarbeiter, die die Firma verlassen und die das geistige Eigentum des alten Arbeitgebers als Vorteil für die neue Stelle ausnutzen wollen. Dabei entsteht oft ein beträchtlicher wirtschaftlicher Schaden.
Data Leakage Prevention: hoher Aufwand, wenig Nutzen
Um DLP-Produkte effizient zu nutzen, müssen Unternehmen den monetären Wert und die Konformitätsanforderungen ihrer Daten allerdings erst einmal kennen. Dafür muss Klarheit darüber bestehen, mit welchen Arten an sensiblen oder unternehmenskritischen Daten die Anwender umgehen, wer überhaupt diese Daten benutzt und welchen Regelungen sie unterliegen. Compliance-Spezialisten, Geschäftsprozesse und Experten für Verhandlungsgegenstände sind wichtige Quellen bei dieser Arbeit – was einen hohen Personalaufwand bedeutet.
Bereits an diesem Punkt stoßen viele kleine und mittelständische Unternehmen an ihre Grenzen. So ist es vergleichsweise schwierig für sie, festzustellen, wo sich sensible Daten befinden, und anhand dieser Informationen dann zum Beispiel ein Flussdiagramm zu erstellen. Das aber ist erforderlich, um die zu erwartenden Pfade, auf denen sich sensible Daten bewegen, sowie die erwarteten Netzwerkprotokolle zu definieren.
Dazu gehören sicher auch Ideen, Konzepte etc., die kaum dingfest zu machen sind. Aber das freimütige Eingeständnis, dass in den oberen Etagen ein sehr persönlicher Eigentumsbegriff herrscht, lässt tief blicken. (Bild: Code42)
Es geht noch weiter: Für den erfolgreichen Einsatz einer DLP-Lösung ist es unabdingbar, zu evaluieren, auf welche Weise sensible Daten gespeichert werden. Dazu gehört festzulegen, über welche Netzwerkpfade der Zugriff geschieht und welche Endpunkte überhaupt zugreifen dürfen. In so eine Analyse gehört darüber hinaus, welche Kontrollmechanismen derzeit im Einsatz sind, um Zugriffe, Modifikationen, Speicherort und Übertragung zu überwachen.
Eine solche Datenklassifizierung gerät somit schnell zur Mammutaufgabe. Erst recht, wenn unter Umständen auch noch sensible Daten gefunden werden, von denen man bislang gar nicht wusste, dass sie existieren. Das kann wiederum zu neuen Problemen führen.
Selbst wenn diese ersten Hürden überwunden sind – also eine umfassende Evaluierung durchgeführt wurde, alle Policies definiert und angepasst sind und die Besitz- und Berechtigungsverhältnisse der sensiblen Daten einvernehmlich geklärt und zugewiesen sind –, kann sich eine DLP-Lösung im Betrieb als echtes Produktivitätshindernis erweisen. Zum einen ist es so, dass viele Organisationen die Data-Loss-Prevention-Lösung am Anfang bewusst nicht in vollem Umfang nutzen: Die Technik protokolliert zwar sämtliche Verstöße gegen die hinterlegten Regeln, unterbindet den Datenabfluss aber noch nicht sofort.
Erst nach weiterem Feinjustieren und klärenden Gesprächen mit den Mitarbeitern wird die DLP-Lösung scharfgeschaltet und blockiert dann aber sämtliche die Regeln verletzenden Datentransfers. Das führt dann gar nicht selten dazu, dass sich die Software als veritable Produktivitätsbremse erweist. Die Konsequenz: Nach all diesen Erfahrungen wird DLP nur mehr als reine Monitoring-Lösung betrieben; die zum Blockieren nötige Hardware wird entweder abgeschaltet oder gar nicht erst angeschafft. Für den Einsatz als reines Monitoring-Tool ist der Aufwand vor der Implementierung aber zu hoch und die Lösung als solche für kleine und mittelständische Unternehmen bei Weitem zu teuer.
Code42 Next-Gen DLP überwacht Dateiaktivitäten auf Endgeräten und in der Cloud, stellt Daten bei Verlust in Minuten wieder her und bietet rechtskonforme Optionen für die Langzeitarchivierung. (Bild: Code42)
Entscheidung nach Kosten-Nutzen-Verhältnis
Nicht nur kleine und mittelständische Unternehmen sollten sich darüber hinaus bewusst machen, dass Data Loss Prevention, was Sicherheit angeht, keinesfalls die eierlegende Wollmilchsau ist. Mit diesem Tool lässt sich das Risiko lediglich vermindern. Denn die Lösung kümmert sich lediglich um diejenigen Daten, die zuvor in der Konfiguration bestimmt wurden. Ebenso wird das DLP-Tool nur an denjenigen Orten im Netzwerk aktiv, die zuvor festgelegt wurden. Böswillige Machenschaften übersieht das Tool, wenn die Gegner sich darauf einstellen und die richtigen Vorsichtsmaßnahmen treffen. So stellt sich gerade für den Mittelstand die Frage nach dem Kosten-Nutzen-Verhältnis.
So kann es besonders für mittelständische Unternehmen wesentlich sinnvoller sein, sich auf die Aspekte Visibilität und rasche Wiederherstellung zu konzentrieren und in erster Linie dafür zu sorgen, dass das leider unvermeidliche risikobehaftete Verhalten der eigenen Mitarbeiter nicht zu geschäftsschädigenden Datenverletzungen führt. Damit ist in erster Linie gemeint, ein möglichst umfassendes Monitoring einzusetzen und so Informationen über jede Version jeder Datei zu sammeln. Es gilt, vollständig zu erfassen, wo genau die Daten vorgehalten werden und wohin sie übertragen werden – von den Endpunkten im Unternehmen selbst bis zur Cloud.
Mit dieser Art von „Aufsicht“ können Sicherheitsteams das wertvolle geistige Eigentum ihres Unternehmens überwachen, untersuchen, bewahren und schließlich wiederherstellen, ohne die Datennutzung insgesamt blockieren oder sich auf zum Teil sehr restriktive Richtlinien verlassen zu müssen. Für ein solches umfassendes Monitoring eignen sich traditionelle DLP-Lösungen in vielen Fällen nicht: Da hier die zu überwachenden Daten und Dateien im Vorfeld gemäß einer definierten Policy klassifiziert werden müssen, bleiben Daten, die „im Schatten“ sind oder aus sonst einem Grund vom festgelegten Schema abweichen, bei der Überwachung mit einer herkömmlichen DLP-Lösung schlicht und einfach außen vor. Und es ist und bleibt eine unumstößliche Tatsache: Man kann nur schützen, was man auch sieht!
Richard Agnew ist seit 2017 VP EMEA bei Code42. Das Unternehmen hat etwas gegen komplexe DLP-Policies: ein rasch einsatzfertiges Monitoring, das den Datenverkehr von und zu sämtlichen Endpunkten inklusive Cloud in den Blick bekommt, ohne die Produktivität zu beeinträchtigen.
Code42 Software, Inc., Luise-Ullrich-Straße 20, 80636 München, Tel.: 089-416116940, munich@code42.com, www.code42.com
