Data Leakage Prevention - Ein Kampf gegen Windmühlen

Data Leakage Prevention

Ein Kampf gegen Windmühlen

Tomaso Vasella
von Tomaso Vasella
am 22. April 2021
Lesezeit: 9 Minuten

Keypoints

So kriegen Sie Data Leakage Prevention in den Griff

  • Ungewollte Datenabflüsse sind zu Recht als eines der grössten Cyberrisiken gefürchtet
  • Data Leakage Prevention verspricht meist mehr, als tatsächlich möglich ist
  • Data Leakage Prevention kann keine mangelhaften Prozesse oder Lücken im Sicherheitsdispositiv wettmachen
  • Bewährte Konzepte und Empfehlungen sind auch bezüglich Datenabfluss hilfreich
  • Vorbereitungen für den Ernstfall sollten Teil der Vorsorgestrategie sein
  • Datensparsamkeit: Nicht existierende Daten können nicht abfliessen

Ungewollte Datenabflüsse sind seit längerem als eines der grössten Cyberrisiken gefürchtet. In den letzten Jahren sind denn auch zunehmend schwerwiegende Fälle aufgetreten und öffentlich bekannt geworden. So erstaunt es nicht, dass auch für das Problem ungewollter Datenabflüsse Lösungen in Form von Produkten und Diensten angepriesen werden. Die damit verbundenen Versprechungen klingen verlockend, zumal es meist viel einfacher erscheint, ein neues Sicherheitstool einzuführen, als die etablierten Prozesse und Verhaltensweisen zu ändern. Warum dies zum Verhindern von Datenabflüssen dennoch oft nötig ist und welche Hilfe DLP-Lösungen bieten können, wird in den folgenden Abschnitten beleuchtet.

Einfach gesagt liegt ein unerwünschter Datenabfluss (engl. Data Leakage) immer dann vor, wenn Daten ihr vorgesehenes Habitat verlassen. In der Praxis heisst das, schützenswerte Daten wie vertrauliche Dokumente oder Kundeninformationen verlassen System- oder Organisationsgrenzen und befinden sich anschliessend in einer Umgebung, die nicht den Schutz bietet, der aufgrund des Dateninhalts nötig wäre. Meistens heisst das auch, dass sie dadurch nicht autorisierten Parteien zugänglich werden. An diesem Beispiel sind zwei wichtige Elemente ersichtlich:

Diese beiden Punkte spielen eine zentrale Rolle bei der Data Leakage Prevention, denn sie betreffen die Erkennung (Inhalt) und Verhinderung von unerwünschtem Datenabfluss und den Ort, wo dies stattfinden kann (Systemgrenzen und Schnittstellen).

Wie funktioniert Data Leakage Prevention?

Das Prinzip besteht in der Detektion relevanter Datenflüsse und der anschliessenden Reaktion anhand definierter Regeln. Das heisst, Datenflüsse werden hinsichtlich der ausgetauschten Dateninhalte und hinsichtlich der beteiligten Kommunikationspartner analysiert und anschliessend wird der Datenfluss unterbunden oder es wird ein Alarm erzeugt oder der Benutzer wird gewarnt. So kann etwa der Versand sensitiver Informationen über Email verhindert werden oder das Herunterladen eines Dokuments auf ein nicht vertrautes Endgerät oder das Kopieren eines vertraulichen Dokuments auf einen USB-Speicher.

Die Idee ist im Konzept simpel, in der praktischen Umsetzung aber enorm komplex. Einerseits existiert eine riesige Menge an Datenformaten, die gelesen und korrekt interpretiert werden müssen und andererseits ist es häufig sehr schwierig, automatisiert zwischen zulässigen, aus geschäftlicher Sicht notwendigen und unzulässigen Datenflüssen zu unterscheiden.

Ein zusätzlicher Faktor erhöht diese Komplexität noch weiter: Die zahlreiche Verwendung von Clouddiensten lässt die technischen System- und Organisationsgrenzen verschwimmen und führt zu einer zunehmenden Trennung zwischen Dateneigentümerschaft und der Möglichkeit, technische Kontrolle über die eigenen Daten auszuüben. Konzepte wie Zero Trust können hierbei hilfreich sein.

Die Herausforderungen von DLP Regeln

Eine Grundlage der Regeldefinition sind häufig sogenannte Regular Expressions, also maschinenlesbare Beschreibungen von Datenmustern. Damit ist es recht einfach, Dinge wie eine z.B. eine ISIN (internationale Wertpapierkennnummer) anhand ihres Formats zu beschreiben: Beginnt mit zwei Buchstaben für den Ländercode, gefolgt von neun alphanumerischen Stellen und einer Prüfziffer. Die entsprechende Regex könnte so aussehen:

[A-Z]{2}[A-Z0-9]{9}[0-9]{1}

Was aber, wenn in einem Dokument die ISIN mit einem oder mehreren Leerzeichen vorkommt? Oder eine Zeichenkette auftaucht, die zwar dem genannten Muster entspricht, die ersten beiden Buchstaben aber gar keine gültige Länderkennung sind? Man müsste eine Regular Expression verwenden, die alle gültigen Ländercodes enthält – das sind über 250! Was tun, wenn das gesuchte Muster gar nicht als Text, sondern als Bild vorkommt? Soll man eine optische Texterkennung einsetzen? Wie geht man mit Containerformaten um? Simples Umbenennen eines durch die DLP blockierten Word-Dokuments von .docx zu .zip reicht manchmal, um eine Detektion zu umgehen. Und so weiter. Mit zunehmendem technischem Aufwand lassen sich mehr solche und ähnliche Fälle abfangen. Das wird aber schnell unübersichtlich und kann zu sehr ressourcenintensiven Datenanalysen führen – Und dennoch wird es nie möglich sein, eine hundertprozentige Trefferquote zu erzielen.

Die nächste Stufe der Herausforderungen betrifft Daten, die zwar inhaltlich zusammengehören, aus Maschinensicht aber unstrukturiert sind. Mit einer Regel zu erkennen, welche Kombination von Datenelementen bei einem ungewollten Abfluss schädlich ist und welche Datenflüsse von unstrukturierten Daten aus Geschäftssicht zulässig sind, kann sehr schwierig sein. Die zunehmende Sammlung von Daten (Stichwort Big Data) und die Verbreitung von NoSQL-Datenbankprodukten stellt herkömmliche DLP-Verfahren vor besondere Herausforderungen.

Ähnliches lässt sich über den Fluss der Daten sagen: Vertrauliche Dokumente mit unverschlüsselter Email zu versenden ist eindeutig nicht erwünscht. Was aber, wenn man für einen Geschäftspartner vertrauliche Dokumente in dessen Cloud-Anwendung hochlädt? Soll man dieser Cloud-Anwendung vertrauen? Und wenn ja, woher weiss die DLP-Lösung, dass diese Cloud-Anwendung vertrauenswürdig ist, andere aber nicht? Und woher weiss man, dass die Daten nicht anschliessend von dieser Cloud-Anwendung aus abfliessen, sich also völlig ausserhalb der eigenen Kontrollmöglichkeiten bewegen?

Eine weitere Herausforderung stellt sich durch die starke Zunahme ortsunabhängigen Arbeitens, Home Office und BYOD-Konzepten. Hier ist es meist gar nicht mehr möglich, die relevanten Datenflüsse an einem oder wenigen zentralen Stellen zu analysieren. Die Datenflüsse finden oft direkt zwischen den Endpoints und den diversen Cloudanwendungen statt, so dass auf dem Endgerät selbst etwas gegen den unerwünschten Datenabfluss unternommen werden muss.

Die genannten Umstände führen zu einer hohen Menge an False Positives. Mit anderen Worten, es ist fast unmöglich, genaue Regeln zur Blockierung von Datenabflüssen zu erstellen und dabei die Geschäftsprozesse nicht zu beeinträchtigen. In der Praxis bleibt es deshalb auch häufig beim Aufzeichnen (Logging) und auf das Blockieren wird vielfach verzichtet. Wie gut die oft bei DLP-Produkten angepriesene automatische Erkennung von sensitiven Daten und das selbständige Ergreifen von schützenden Massnahmen tatsächlich funktionieren, lässt sich anhand dieser Betrachtungen abschätzen. Machine Learning und Algorithmen zur Erkennung von Dateninhalten, Verhaltensmustern und Anomalien können helfen, lösen die Problematik aber auch nicht gänzlich.

Was kann man gegen Datenabfluss tun?

Angesichts obiger Ausführungen könnte man annehmen, dass Data Leakage gar nicht verhindert werden kann. In gewisser Weise ist das zutreffend, denn gegen einen ausreichend motivierten Akteur wird man sich nie vollständig schützen können. Jemand mit Datenzugriff wird diese Daten immer irgendwie abfliessen lassen können, sei es auch nur über ein Bildschirmfoto. Man kann das also nicht völlig verhindern. Allerdings gibt es eine Reihe von Massnahmen, um diese Risiken auf ein annehmbares Mass zu reduzieren. Diese sind alle nicht neu:

Fazit

Das Risiko von Datenabflüssen ist real und die möglichen Schäden sind gross. DLP-Lösungen können helfen, aber mangelhafte Prozesse oder grössere Lücken im Sicherheitsdispositiv können damit nicht wettgemacht werden. Dateninventarisierung und -Klassifizierung, ein solider Grundschutz, passende Prozesse und ein leistungsfähiges Sicherheitsmonitoring sind bekannte, allgemein empfohlene Massnahmen, die auch in Bezug auf die Verhinderung ungewollter Datenabflüsse ihre Wirkung entfalten. Mit zunehmender Nutzung von Cloudapplikationen steigt auch der Stellenwert der Überwachung und der Kontrolle von Endgeräten und allgemein derjenigen Elemente, die überhaupt noch selbst kontrolliert werden können. Sollte doch einmal der Ernstfall eintreten, braucht es eine Kommunikationsstrategie und vorbereitete Abläufe, um rasch und wirksam reagieren zu können. Und vielleicht wird Datensparsamkeit dann mit anderen Augen betrachtet.

Über den Autor

Tomaso Vasella

Tomaso Vasella hat seinen Master in Organic Chemistry an der ETH Zürich abgeschlossen und ist seit 1999 im Bereich Cybersecurity aktiv. Positionen als Berater, Engineer, Auditor und Business Developer zählen zu seinen Erfahrungen. (ORCID 0000-0002-0216-1268)

Links

Sie wollen eine KI evaluieren oder entwickeln?

Unsere Spezialisten kontaktieren Sie gern!

×
Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Flipper Zero WiFi Devboard

Flipper Zero WiFi Devboard

Tomaso Vasella

Denial of Service Angriffe

Denial of Service Angriffe

Tomaso Vasella

Überwachung des Systemprotokolls

Überwachung des Systemprotokolls

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv