Security Testing
Tomaso Vasella
So kriegen Sie Data Leakage Prevention in den Griff
Einfach gesagt liegt ein unerwünschter Datenabfluss (engl. Data Leakage) immer dann vor, wenn Daten ihr vorgesehenes Habitat verlassen. In der Praxis heisst das, schützenswerte Daten wie vertrauliche Dokumente oder Kundeninformationen verlassen System- oder Organisationsgrenzen und befinden sich anschliessend in einer Umgebung, die nicht den Schutz bietet, der aufgrund des Dateninhalts nötig wäre. Meistens heisst das auch, dass sie dadurch nicht autorisierten Parteien zugänglich werden. An diesem Beispiel sind zwei wichtige Elemente ersichtlich:
Diese beiden Punkte spielen eine zentrale Rolle bei der Data Leakage Prevention, denn sie betreffen die Erkennung (Inhalt) und Verhinderung von unerwünschtem Datenabfluss und den Ort, wo dies stattfinden kann (Systemgrenzen und Schnittstellen).
Das Prinzip besteht in der Detektion relevanter Datenflüsse und der anschliessenden Reaktion anhand definierter Regeln. Das heisst, Datenflüsse werden hinsichtlich der ausgetauschten Dateninhalte und hinsichtlich der beteiligten Kommunikationspartner analysiert und anschliessend wird der Datenfluss unterbunden oder es wird ein Alarm erzeugt oder der Benutzer wird gewarnt. So kann etwa der Versand sensitiver Informationen über Email verhindert werden oder das Herunterladen eines Dokuments auf ein nicht vertrautes Endgerät oder das Kopieren eines vertraulichen Dokuments auf einen USB-Speicher.
Die Idee ist im Konzept simpel, in der praktischen Umsetzung aber enorm komplex. Einerseits existiert eine riesige Menge an Datenformaten, die gelesen und korrekt interpretiert werden müssen und andererseits ist es häufig sehr schwierig, automatisiert zwischen zulässigen, aus geschäftlicher Sicht notwendigen und unzulässigen Datenflüssen zu unterscheiden.
Ein zusätzlicher Faktor erhöht diese Komplexität noch weiter: Die zahlreiche Verwendung von Clouddiensten lässt die technischen System- und Organisationsgrenzen verschwimmen und führt zu einer zunehmenden Trennung zwischen Dateneigentümerschaft und der Möglichkeit, technische Kontrolle über die eigenen Daten auszuüben. Konzepte wie Zero Trust können hierbei hilfreich sein.
Eine Grundlage der Regeldefinition sind häufig sogenannte Regular Expressions, also maschinenlesbare Beschreibungen von Datenmustern. Damit ist es recht einfach, Dinge wie eine z.B. eine ISIN (internationale Wertpapierkennnummer) anhand ihres Formats zu beschreiben: Beginnt mit zwei Buchstaben für den Ländercode, gefolgt von neun alphanumerischen Stellen und einer Prüfziffer. Die entsprechende Regex könnte so aussehen:
[A-Z]{2}[A-Z0-9]{9}[0-9]{1}
Was aber, wenn in einem Dokument die ISIN mit einem oder mehreren Leerzeichen vorkommt? Oder eine Zeichenkette auftaucht, die zwar dem genannten Muster entspricht, die ersten beiden Buchstaben aber gar keine gültige Länderkennung sind? Man müsste eine Regular Expression verwenden, die alle gültigen Ländercodes enthält – das sind über 250! Was tun, wenn das gesuchte Muster gar nicht als Text, sondern als Bild vorkommt? Soll man eine optische Texterkennung einsetzen? Wie geht man mit Containerformaten um? Simples Umbenennen eines durch die DLP blockierten Word-Dokuments von .docx zu .zip reicht manchmal, um eine Detektion zu umgehen. Und so weiter. Mit zunehmendem technischem Aufwand lassen sich mehr solche und ähnliche Fälle abfangen. Das wird aber schnell unübersichtlich und kann zu sehr ressourcenintensiven Datenanalysen führen – Und dennoch wird es nie möglich sein, eine hundertprozentige Trefferquote zu erzielen.
Die nächste Stufe der Herausforderungen betrifft Daten, die zwar inhaltlich zusammengehören, aus Maschinensicht aber unstrukturiert sind. Mit einer Regel zu erkennen, welche Kombination von Datenelementen bei einem ungewollten Abfluss schädlich ist und welche Datenflüsse von unstrukturierten Daten aus Geschäftssicht zulässig sind, kann sehr schwierig sein. Die zunehmende Sammlung von Daten (Stichwort Big Data) und die Verbreitung von NoSQL-Datenbankprodukten stellt herkömmliche DLP-Verfahren vor besondere Herausforderungen.
Ähnliches lässt sich über den Fluss der Daten sagen: Vertrauliche Dokumente mit unverschlüsselter Email zu versenden ist eindeutig nicht erwünscht. Was aber, wenn man für einen Geschäftspartner vertrauliche Dokumente in dessen Cloud-Anwendung hochlädt? Soll man dieser Cloud-Anwendung vertrauen? Und wenn ja, woher weiss die DLP-Lösung, dass diese Cloud-Anwendung vertrauenswürdig ist, andere aber nicht? Und woher weiss man, dass die Daten nicht anschliessend von dieser Cloud-Anwendung aus abfliessen, sich also völlig ausserhalb der eigenen Kontrollmöglichkeiten bewegen?
Eine weitere Herausforderung stellt sich durch die starke Zunahme ortsunabhängigen Arbeitens, Home Office und BYOD-Konzepten. Hier ist es meist gar nicht mehr möglich, die relevanten Datenflüsse an einem oder wenigen zentralen Stellen zu analysieren. Die Datenflüsse finden oft direkt zwischen den Endpoints und den diversen Cloudanwendungen statt, so dass auf dem Endgerät selbst etwas gegen den unerwünschten Datenabfluss unternommen werden muss.
Die genannten Umstände führen zu einer hohen Menge an False Positives. Mit anderen Worten, es ist fast unmöglich, genaue Regeln zur Blockierung von Datenabflüssen zu erstellen und dabei die Geschäftsprozesse nicht zu beeinträchtigen. In der Praxis bleibt es deshalb auch häufig beim Aufzeichnen (Logging) und auf das Blockieren wird vielfach verzichtet. Wie gut die oft bei DLP-Produkten angepriesene automatische Erkennung von sensitiven Daten und das selbständige Ergreifen von schützenden Massnahmen tatsächlich funktionieren, lässt sich anhand dieser Betrachtungen abschätzen. Machine Learning und Algorithmen zur Erkennung von Dateninhalten, Verhaltensmustern und Anomalien können helfen, lösen die Problematik aber auch nicht gänzlich.
Angesichts obiger Ausführungen könnte man annehmen, dass Data Leakage gar nicht verhindert werden kann. In gewisser Weise ist das zutreffend, denn gegen einen ausreichend motivierten Akteur wird man sich nie vollständig schützen können. Jemand mit Datenzugriff wird diese Daten immer irgendwie abfliessen lassen können, sei es auch nur über ein Bildschirmfoto. Man kann das also nicht völlig verhindern. Allerdings gibt es eine Reihe von Massnahmen, um diese Risiken auf ein annehmbares Mass zu reduzieren. Diese sind alle nicht neu:
Das Risiko von Datenabflüssen ist real und die möglichen Schäden sind gross. DLP-Lösungen können helfen, aber mangelhafte Prozesse oder grössere Lücken im Sicherheitsdispositiv können damit nicht wettgemacht werden. Dateninventarisierung und -Klassifizierung, ein solider Grundschutz, passende Prozesse und ein leistungsfähiges Sicherheitsmonitoring sind bekannte, allgemein empfohlene Massnahmen, die auch in Bezug auf die Verhinderung ungewollter Datenabflüsse ihre Wirkung entfalten. Mit zunehmender Nutzung von Cloudapplikationen steigt auch der Stellenwert der Überwachung und der Kontrolle von Endgeräten und allgemein derjenigen Elemente, die überhaupt noch selbst kontrolliert werden können. Sollte doch einmal der Ernstfall eintreten, braucht es eine Kommunikationsstrategie und vorbereitete Abläufe, um rasch und wirksam reagieren zu können. Und vielleicht wird Datensparsamkeit dann mit anderen Augen betrachtet.
Unsere Spezialisten kontaktieren Sie gern!
Tomaso Vasella
Tomaso Vasella
Tomaso Vasella
Tomaso Vasella
Unsere Spezialisten kontaktieren Sie gern!