Glossar

Schutz vor Datenverlust (Data Loss Prevention, DLP)

Data Leak Prevention

Was ist DLP?

Data Loss Prevention (DLP) bezieht sich auf verschiedene Technologien und Unternehmensrichtlinien, mit denen sichergestellt werden soll, dass Endbenutzer keine sensiblen oder vertraulichen Daten ohne entsprechende Genehmigung an Empfänger außerhalb des Unternehmens senden. Zu solchen sensiblen Informationen gehören zum Beispiel Finanzunterlagen, Kundendaten, Kreditkartendaten oder andere geschützte Informationen. E-Mails sind die gängigste Methode, mit der diese Daten in die Hände nicht autorisierter Empfänger gelangen.

Ein effektives DLP-System scannt alle ausgehenden E-Mails und den gesamten Netzwerkverkehr nach vorab definierten Mustern, die möglicherweise auf sensible Daten hinweisen. Dies können beispielsweise Kreditkartennummern, Sozialversicherungsnummern, medizinische Begriffe gemäß HIPAA oder bestimmte Stichwörter sein, die für Ihr Unternehmen relevant sind. E-Mails mit sensiblen Daten werden dann automatisch verschlüsselt, blockiert oder zur Überprüfung unter Quarantäne gestellt. Die spezifische Sicherheitsrichtlinie kann von verschiedenen Faktoren wie Absender, Empfänger, Tageszeit usw. beeinflusst werden.

Warum DLP von Interesse ist

Die Implementierung einer effektiven DLP-Strategie ist für den Schutz der sensiblen Informationen Ihres Unternehmens unerlässlich. Andernfalls besteht die Gefahr, dass diese von Kriminellen abgefangen werden oder versehentlich durch unvorsichtige Benutzer Ihr Unternehmen verlassen. Viele Datenlecks sind darauf zurückzuführen, dass Benutzer auf Phishing- oder Spear Phishing-E-Mails reagieren, in denen sich der Absender als eine Person ausgibt, die zum Empfang der Daten berechtigt ist. Daten können ein Unternehmen auch durch Malware und Viren verlassen, die private Daten auslesen und dann an einen Hacker übermitteln.

Was Sie selbst tun können

Damit Ihr Unternehmen vor Datenverlust geschützt ist, brauchen Sie eine umfassende Strategie, die alle potenziellen Risikofaktoren abdeckt. Am Anfang einer solchen Strategie steht die Sensibilisierung der Benutzer. Hierbei sollen Mitarbeiter ein Bewusstsein für verdächtige E-Mails entwickeln und bestimmte Verhaltensweisen einschränken, die ein Risiko für das Unternehmen darstellen können (z.B. das Herunterladen von Dateien von Websites, die Verwendung ungesicherter WLAN-Verbindungen usw.).

Kritische Daten müssen während der Verwendung, Übertragung und Speicherung geschützt werden:

  • Verwendete Daten. Daten, die von Anwendungen wie E-Mail-Clients, Webbrowsern und SaaS-Anwendungen verwendet werden, können von Hackern gestohlen oder von Benutzern versehentlich gelöscht werden. Diese Risiken können mithilfe von Maßnahmen zur Data Loss Prevention auf Mailserver-Ebene und der Implementierung eines Web Security Gateways oder eines Webfilters zum Schutz von Webbrowsern erheblich minimiert werden.
  • Übertragene Daten. Daten, die über ein Netzwerk übertragen werden, unterliegen ebenfalls der Gefahr, gestohlen zu werden. Bei E-Mails können Ausgangsfilter und Verschlüsselungen zum Schutz übertragener Daten beitragen. Für den größtmöglichen Schutz muss Ihre Netzwerk-Firewall den gesamten Netzwerkverkehr schützen und verschlüsseln.
  • Gespeicherte Daten. Dies gilt für Daten, die auf einem Speicher aufbewahrt werden. Zum Schutz dieser Daten sind Backup-Tools erforderlich, mit denen die gesicherten Daten mindestens verschlüsselt und außerhalb des ursprünglichen Speicherorts repliziert werden sollten.

Eine Data Loss Prevention-Technologie sollte unbedingt auf allen Systemen implementiert werden, auf denen Ihr Unternehmen Datendiebstahl ausgesetzt sein kann, einschließlich Ihrer E-Mail-Server, Webbrowser, Webserver und Netzwerk-Firewall. Eine Data Loss Prevention-Strategie besteht normalerweise aus den folgenden Komponenten:

Implementierung einer E-Mail-basierten DLP-Lösung

E-Mails sind die gängigste Ursache für Datenverlust. Wenn Sie noch kein DLP-System implementiert haben, müssen Sie zuerst Ihre E-Mails schützen. Barracuda Essentials und das Barracuda Email Security Gateway bieten Funktionen zur Überprüfung ausgehender E-Mails. Beide Produkte schützen vor Datenverlust durch böswillige Datenlecks, Daten-Exfiltration durch Malware und Benutzer, die als Spambots missbraucht werden, sowie zahlreiche andere Ursachen für den Verlust von Daten. Die beiden Lösungen bieten auch Inbound Filtering, um Malware, Viren, Phishing, Spear-Phishing und Advanced Threats zu blockieren, mit denen Daten gestohlen werden können.

Neben der E-Mail-Filterung ist die E-Mail-Verschlüsselung ein wichtiger Bestandteil jeder Data Loss Prevention-Strategie. Barracuda verschlüsselt auch E-Mails mit vertraulichen Daten. Benutzer können E-Mails bei Bedarf verschlüsseln oder Sie können Richtlinien einrichten, um E-Mails anhand des Absenders, des Empfängers und des Inhalts automatisch zu verschlüsseln.

Implementierung von DLP-Lösungen für das Surfen im Internet

Eine weitere häufige Ursache für Datenverlust sind Webbrowser, in denen Benutzer mit Malware oder Spyware infiziert werden können sowie Websites, auf denen sensible Daten abgegriffen werden. Das Barracuda Web Security Gateway und der Barracuda Web Security Service bieten umfassende Funktionen zur Filterung aller aus dem Internet heruntergeladenen Inhalte. Die Produkte schützen Benutzer vor Malware, Spyware, Ransomware und Viren. Sie überwachen auch das Surfen im Internet, Suchanfragen und Social Media auf bestimmte Muster und Keywords. Ein manipulationssicherer Web Security Agent und die SSL-Paketinspektion blockieren komplexe Bedrohungen und warnen Sie im Falle von verdächtigen Aktivitäten.

Implementierung von DLP-Lösungen für Websites

Ihre Website und Ihre gehosteten Webanwendungen sind ein weiteres attraktives Ziel für Hacker, die Daten stehlen möchten. Die Barracuda Web Application Firewall überprüft den gesamten eingehenden Datenverkehr auf Angriffe und den ausgehenden Datenverkehr auf vertrauliche Daten. Wenn sensible oder böswillige Daten erkannt werden, können diese automatisch gesperrt oder maskiert werden. Dank der umfassenden Datenverkehrsprotokollierung können Sie zudem die Ursache potenzieller Datenlecks ermitteln.

Implementierung von DLP-Lösungen in Netzwerk-Firewalls

Ihre Netzwerk-Firewall sollte die finale und komplexeste Kontrollebene für Data Loss Protection sein. Barracuda CloudGen Firewalls bieten Advanced Threat Protection, um jede Datei zu überprüfen, die Ihr Netzwerk erreicht oder verlässt. Falls eine Datei unbekannt ist, wird sie in einer virtuellen Sandbox ausgeführt und analysiert, wodurch schädliches Verhalten rechtzeitig entdeckt wird. Der Botnet- und Spyware-Schutz blockiert außerdem den Zugriff auf schädliche Websites und Server. Das Intrusion Detection and Prevention System (IDS/IPS) bietet einen Echtzeit-Netzwerkschutz vor einer Vielzahl von Netzwerkbedrohungen und Schwachstellen in Betriebssystemen, Anwendungen und Datenbanken.

Implementierung von Daten-Backups und Wiederherstellung

Gespeicherte Daten müssen so oft wie möglich gesichert werden. Das Backup-Gerät sollte in der Lage sein, die Daten zu komprimieren und doppelte Datensätze zu entfernen, um den benötigten Speicherplatz und die erforderliche Netzwerkbandbreite zu minimieren. Das Backup-System sollte zudem Backups automatisch so planen können, dass die Übertragung von großen Datenmengen in Zeiten hoher Netzwerkauslastung vermieden wird. Je effizienter die Backup-Technologie ist, desto häufiger können die Daten gesichert werden.

Barracuda bietet verschiedene Lösungen zur Verwaltung von Backups und Datenwiederherstellung. Barracuda Backup macht es möglich, Daten unabhängig von ihrem Speicherort nahezu in Echtzeit zu sichern und repliziert die Daten-Backups in der sicheren Barracuda-Cloud. Für den Schutz von Daten in E-Mails, Dateien, Office 365-Dokumenten und SharePoint setzt Barracuda Essentials automatisch Richtlinien zur Aufbewahrung von E-Mails durch, indem E-Mails und Dateien in einem manipulationssicheren Cloud-Archiv gespeichert werden. Der Barracuda Message Archiver bietet ähnliche Funktionen in einer physischen oder virtuellen Appliance, die lokal oder in der Cloud installiert werden kann.

Haben Sie weitere Fragen zur Data Loss Prevention (DLP)? Wir freuen uns auf Ihre Nachricht!