Die Zukunft von Data Loss Prevention liegt in der CloudDaten dürfen nicht ungewollt abfließen

Seit die digitalen Infrastrukturen der Unternehmen sich von Jahr zu Jahr stärker gegenüber dem Internet öffnen, gewinnt Data Loss Prevention (DLP) – die Verhinderung eines Datenlecks – an Bedeutung. Eine Schwachstelle im Netzwerk, die zu einem Datenverlust führen konnte, war immer ein Desaster. Doch durch Cloud-Computing werden wesentlich mehr sensible Unternehmensdaten aus dem gesicherten Bereich des internen Netzwerks in die Wolke verlagert. Dadurch potenziert sich das mögliche Risiko, dass Daten ungewollt abfließen und damit noch höherer Schaden entsteht.

Data Loss Prevention muss im Zeitalter der Cloud nicht neu erfunden werden. Vielmehr muss DLP den digitalen Wandel mitgehen, der im Zuge der ‚Cloudifizierung‘ die gesamte IT-Infrastruktur einer Veränderung unterwirft. Das betrifft insbesondere den Ort, an dem die DLP-Sicherheitslösung vorgehalten wird und Datenströme untersucht.

Traditionell sorgen Appliances in Rechenzentren für die Abschirmung der unternehmenskritischen und schützenswerten Daten. Das ist die altbekannte on-premise-Strategie: Sämtliche Internet-Anschlüsse eines Unternehmens laufen in einem zentralen Rechenzentrum zusammen, wo sich teure Sicherheitsmodule stapeln und den Netzwerkverkehr filtern. Erst nach dem Durchleuchten der Datenströme auf sensitive Daten, die das Unternehmen nicht verlassen dürfen, setzt der Traffic seinen Weg zum Ziel fort.

Umdenken tut Not

In vielen Bereichen hat sich die Cloud heute in Unternehmen auf breiter Front durchgesetzt und nicht nur Anwendungen verlagert, sondern umfassende Cloud-ready-Infrastrukturen geschaffen. Unternehmen reagieren so auf die wachsende Mitarbeiter-Mobilität und gewinnen Agilität und Flexibilität, um ihre Wettbewerbsfähigkeit zu behaupten.

Ein Beispiel dazu: Ein Unternehmen mit 10 000 Angestellten besitzt über 200 weltweit verteilte Standorte und die Mitarbeiter arbeiten mit rund 5000 Laptops und zusätzlich über 5000 Smartphones von unterwegs. So entstehen dem Unternehmen 10 200 mögliche Internet-Übergänge. Wird der Datenverkehr aller mobilen User und Geräte über das zentrale Hauptrechenzentrum des Unternehmens geleitet, um dort gefiltert zu werden, wirkt sich dieses immense zu bewältigende Datenvolumen auf die Performance der Leitungskapazität aus.

Im Zeitalter der Cloud muss ein solches Modell des Traffic-Backhaulings über das Rechenzentrum mit seinen teuren Sicherheits-Appliances an Bedeutung verlieren – es avanciert zum Flaschenhals der Datenströme, die in steigendem Maß für das Internet bestimmt sind. Eine Hardware-Appliance könnte die Menge an Anfragen der vielen Internet-Anschlüsse weder administrativ noch in Bezug auf die Leistung akzeptabel gewährleisten.

Daher muss auch eine DLP-Lösung die Migration mitmachen: Raus aus dem Rechenzentrum, rein in die Wolke als Cloud-DLP-Ansatz. Durch einen solchen Umzug sitzt die Lösung genau da, wo sie unmittelbar an den Daten und Datenströmen greifen kann, um unerwünschtes Abfließen vertraulicher Informationen zu unterbinden. Ein Cloud-basierter DLP-Ansatz skaliert mit der Flexibilität der Cloud und kann sowohl die große Menge der Internet-Übergänge abdecken, als auch die Nutzer da schützen, wo sie gerade sind und mit ihren mobilen Geräten Daten bearbeiten.

Auswahl einer Cloud-DLP Lösung

Die Cloud bietet mit ihrer Skalierbarkeit die Antwort auf die Anforderungen des digitalen Wandels. Darüber hinaus tun Unternehmen gut daran, bei der Auswahl eines Lösungsansatzes die Leistungsfähigkeit im Auge zu behalten. Denn alternative Lösungsansätze, die beispielsweise über ICAP-Protokolle versuchen, die Online- mit der Offline-Welt zu verbinden, greifen aufgrund der eingeschränkten Geschwindigkeit zu kurz.

Die DLP-Lösung sollte darüber hinaus nicht isoliert betrachtet werden, sondern als Baustein eines Gesamtkonzepts, bei dem alle Sicherheitsmodule nahtlos ineinandergreifen und intelligent zusammenspielen. Gerade Unternehmen mit vielen Niederlassungen und mobilen Mitarbeitern profitieren von einem ganzheitlichen Plattformansatz aus der Cloud.

Eine hochintegrierte Plattform bietet State-of-the-Art-Technologie, angefangen beim Cloud-Proxy, über Cloud-Firewall bis hin zur Cloud-Sandbox, SSL-Scanning oder DLP in der Cloud und ist in der Lage, jeden User überall leistungsstark abzusichern. Der Vorteil für die IT-Abteilung ist, dass bei einem solchen hochintegrierten und Plattform-basierten Ansatz nur einmal User-Authentifizierung, Traffic-Forwarding und Security Policies eingerichtet werden müssen und die Security-Funktionen in einer Konsole verwaltet werden können.

Auf die folgenden Kriterien sollen Unternehmen achten:

• Exact Data Matching (EDM) und granulare Richtlinienkontrolle: Inline-Untersuchung und -Umsetzung sind entscheidend bei einer DLP-Lösung, wenn Unternehmen schnell handeln müssen, um Daten vor dem Abfließen zu bewahren, ohne das Anwendererlebnis zu beeinträchtigen. Eine Cloud-basierte Lösung ist in der Lage, EDM-Inspektion des kompletten Netzwerk-Datenverkehrs inline zu bewältigen, unabhängig davon ob sich die Mitarbeiter im oder außerhalb des Netzwerks befinden. Durch die inline-Untersuchung erhöht sich die Genauigkeit, Datenverluste zu erkennen und False-Positives lassen sich nahezu eliminieren. Mit EDM und präzise einstellbaren Richtlinien kann die Übertragung eines bestimmten Dokuments an unautorisierte Parteien oder Dienste unterbunden werden.
• Untersuchung von SSL-verschlüsseltem Datenverkehr: Die Inspektion von SSL-verschlüsseltem Traffic ist ein Hauptunterscheidungsmerkmal. Es ein Fakt, dass heute die überwiegende Mehrheit des Netzwerkverkehrs verschlüsselt ist und Angreifer die Verschlüsselung nutzen, um Malware zu transportieren oder Daten unerkannt abfließen zu lassen – wohl wissend, dass sie durch die Verschlüsselung im Verborgenen operieren können. Die Frage, die sich Sicherheitsverantwortliche stellen müssen ist also, ob sie es sich aufgrund der Art der vertraulichen Daten des Unternehmens leisten können, den SSL-verschlüsselten Datenverkehr aus der DLP-Untersuchung auszuklammern. SSL aufzuschlüsseln, auf vertrauliche Daten zu scannen und wieder zu verschlüsseln erfordert eine hohe Rechenleistung, die nur von hochskalierbaren Lösungen erbracht werden kann. Eine Cloud-basierte DLP-Komponente ist in der Lage, diese Aufgabe hoch-performant zu erfüllen. Unternehmen sollten bei der Auswahl darauf achten, geltendem EU-Recht rund um den Datenschutzbestimmung gerecht zu sein.
• Data-in-Motion und Data-at-Rest: Des Weiteren sollte bei der Auswahl einer DLP-Lösung bedacht werden, dass es im Grunde genommen zwei Formen von DLP gibt: Data-in-Motion und Data-at-Rest. Ersteres heißt, dass fließende Datenströme beispielsweise nach Schlagwörtern durchsucht, oder auf die Frequenz und Häufigkeit bestimmter Wörter geprüft werden. Zweiteres bedeutet, dass Daten, die intern als sensibel klassifiziert wurden, das Unternehmen nicht verlassen dürfen. Wird der Versuch gestartet, diese Art der Daten zu verschicken oder zu verlagern, schreitet die DLP-Lösung ein und verhindert die Abwanderung. Eine gute DLP-Lösung muss beide Formen beherrschen, da viele Unternehmen mit Data-in-Motion beginnen und im Zuge ihres Wachstums auch Data-at-Rest hinzufügen. Auch hier ist eine Cloud-DLP-Komponente der Hardware-Variante an Leistung überlegen.

Vorteile einer Cloud-basierten DLP-Lösung

Zusammenfassend betrachtet, gewinnt eine Cloud-basierte DLP-Lösung angesichts der Anforderungen des digitalen Wandels das Rennen. Ein solcher Ansatz hält Schritt mit dem beschleunigten und erhöhten Netzwerkverkehr. Cloud-DLP ist höchst performant und dadurch in der Lage die benötigte Rechenleistung für beispielsweise SSL-Inspektion zur Verfügung zu stellen. Heutzutage ist es unzeitgemäß, nur den Unternehmens-Perimeter allein zu schützen, während die moderne Arbeitswelt der mobilen Geräte ausgeblendet wird.

Mathias Widler

ZScaler