Neufassung der ISO 27001 verlangt nach Data Leakage PreventionSensible Informationen dürfen nicht abfließen
7. Juni 2023Ist ein Unternehmen nach ISO 27001 zertifiziert oder strebt es diese Zertifizierung an, sollte es sich künftig mit „Data Leakage Prevention“ (DLP) intensiv befassen. Die 2022er Neufassung der Norm und auch die ergänzende ISO 27002 fordern erstmals explizit das Verhindern von Datenabflüssen.
Mehr als 1.600 Unternehmen waren Ende 2021 in Deutschland ISO 27001 zertifiziert – Tendenz steigend. Wollen sie ihre Zertifizierung sicher behalten, müssen sie aktiv werden, denn mit der Neufassung der Norm aus dem vergangenen Jahr steigen die Anforderungen an Informationssicherheits-Managementsysteme (ISMS). Sowohl die ISO 27001:2022 als auch die ISO 27002:2022, welche die im Anhang A genannten Maßnahmen der ISO 27001 ausführlicher beschreibt, zählen nun eine Data Leakage Prevention (DLP) zu den erforderlichen Maßnahmen.
DLP verhindert den Abfluss sensibler Informationen, etwa personenbezogener Daten oder wertvollen geistigen Eigentums. Insbesondere in Deutschland wird das Thema allerdings oft noch vernachlässigt, weil Unternehmen ihr Risiko unterschätzen und einen hohen Aufwand fürchten. Zumindest Unternehmen, die eine Erst- oder Re-Zertifizierung nach ISO 270001 anstreben, sollten sich nun jedoch intensiv mit DLP beschäftigen.
Nach Erfahrung von Forcepoint ist eine Data Leak Prevention in der Praxis deutlich schneller eingeführt, als Unternehmen üblicherweise annehmen. Gute Lösungen spüren Daten zuverlässig über alle Speicherorte hinweg auf und klassifizieren sie mit Hilfe von KI und Machine Learning weitgehend automatisch, sodass wenig Handarbeit notwendig ist.
Zudem bringen sie einen umfangreichen Satz an vordefinierten Richtlinien für den Umgang mit schützenswerten Daten mit und bieten auf diese Weise schnell einen Grundschutz. Ideal ist es, wenn sie von anderen Sicherheitstools bereits bestehende Datenklassifizierungen und Regeln übernehmen können.
Gute Lösungen müssen Daten auch nicht zentral sammeln, um wirkungsvoll vor Datenlecks zu schützen. Es genügt, wenn sie lokal auf dem Endgerät über die Einhaltung aller Richtlinien wachen, um Datenschutzverletzungen zu erkennen und zu verhindern – je nach Art der Verletzung beispielsweise durch einen Warnhinweis, die Verschlüsselung von Dokumenten oder das Blockieren des Vorgangs.
Natürlich helfen unternehmensweite Auswertungen festzustellen, wo Richtlinien angepasst werden müssen oder Schulungsbedarf besteht. Diese Auswertungen lassen sich aber anonymisiert erstellen, da es letztlich gar nicht wichtig ist, welcher Mitarbeiter vertrauliche Daten versehentlich an den falschen Mail-Empfänger verschickt oder unverschlüsselt auf einen Speicherstick kopiert hat.
Nach Einschätzung von Forcepoint helfen DLP-Lösungen allerdings nicht nur beim neuen Punkt 8.12 der ISO 27001, bei dem es um die Data Leakage Prevention geht. Vielmehr können Unternehmen auch bei der Umsetzung anderer Maßnahmen, mit denen sie sich regelmäßig schwertun, von den Lösungen profitieren.
Dazu zählen unter anderem die Klassifizierung von Informationen (5.12), die Informationssicherheit bei der Nutzung von Cloud-Diensten (5.23) und das Löschen von Informationen (8.10). Hier fehlte ihnen bislang häufig der Überblick, über welche Daten sie überhaupt verfügen und welchen Speicher- oder Löschfristen diese unterliegen.
„DLP wird in Deutschland bisher nur selten umgesetzt – und wenn, dann meist halbherzig mit manuellen Datenklassifizierungen oder starren Richtlinien, die nicht alle möglichen Sicherheitsverletzungen abdecken und Mitarbeiter bei der Arbeit behindern“, berichtet Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint in München.
„Dabei machen moderne DLP-Lösungen mit automatisierter Data Discovery, automatisierter Datenklassifizierung und vordefinierten Richtlinien die Einführung vergleichsweise einfach“, so Limberger weiter. „Zudem nutzen sie eine Risikoermittlung, um ihre Reaktionen der Situation entsprechend anzupassen. Damit helfen sie Unternehmen, unerwünschte Datenabflüsse zuverlässig zu verhindern und neue sowie alte Anforderungen der ISO 27001 zügig umzusetzen.“ (rhh)