Ohne Daten geht heute nichts mehr. Das gilt für Grosskonzerne genauso wie für KMU. Umso wichtiger ist, sich gegen den Verlust dieser Daten zu schützen. Die IT-Branche spricht in diesem Zusammenhang von Data Loss Prevention (DLP). Dahinter stehen Richtlinien und Prozesse, aber auch spezialisierte Software, die beim Schutz der Daten vor Verlust helfen. Ziel von DLP ist der Schutz persönlicher Daten von Angestellten und Kunden. Dies ist im Hinblick auf das Datenschutzgesetz absolut zentral. Ebenso wichtig ist der Schutz von geistigem Eigentum und Geschäftsgeheimnissen.
Welche Daten liegen wo?
Um die heiklen Daten wirkungsvoll schützen zu können, muss man erst mal wissen, was eigentlich alles gespeichert ist. Und vor allem: wo. Das ist gar nicht so einfach, wie es auf den ersten Blick scheint. IT-Professionals unterscheiden in einer ersten Runde, in welchem Zustand sich die Daten befinden: Sind sie in Benutzung, also im RAM, Cache oder CPU-Register? Sind sie in Bewegung, also im Netzwerk unterwegs? Oder sind sie im Ruhestand und gespeichert in Datenbanken, Dateisystemen oder einer Backup-Lösung? An all diesen Orten muss der Zugriff auf die Daten geregelt sein.
Sensible Daten identifizieren
Die grosse Kunst ist, die entsprechenden Daten automatisch zu identifizieren, denn nicht jeder Datensatz muss gleich streng geschützt werden. Hier kommen diverse Techniken zur Anwendung. Recht unkompliziert ist die Sache, wenn die Daten strukturiert sind. Wenn Verträge im Dateinamen auf ihre Funktion hinweisen und diese immer am selben Ort abgelegt sind, als einfaches Beispiel. Es ist aber auch möglich, innerhalb von Daten nach bestimmten Merkmalen zu suchen, beispielsweise nach Kreditkartennummern. Formulare sind ebenfalls hilfreich, da sie Hinweise auf die Art der Daten geben. Es gibt auch DLP-Lösungen, die mithilfe von künstlicher Intelligenz bzw. Machine Learning fähig sind, heikle Daten aufzuspüren. Natürlich können DLP-Lösungen auch auf firmenspezifische Suchkriterien trainiert werden.
Zugriff streng reglementieren
Um Datenverlust zu verhindern, müssen in der DLP-Software genaue Richtlinien und Prozesse definiert werden, wie mit den Daten umgegangen wird. Diese Abläufe sind automatisiert. Will heissen: Der Zugriff und die Bearbeitung von Daten ist für jeden Datensatz genau geregelt. Klar ist, mobile Geräte wie Notebooks, Smartphones und Tablets in diese Sicherheitsinfrastruktur integriert sein müssen. MDM-Lösungen (MDM = Mobile Device Management) wie beispielsweise Microsoft Intune sind das Mittel der Wahl.
Balance zwischen Sicherheit und Effizienz
Die Balance zwischen effektivem Arbeiten und ausreichender Sicherheit ist nicht einfach zu finden. Es lohnt sich, die Zweckmässigkeit der Regeln und Prozesse regelmässig zu überprüfen und allfällige Einschränkungen nachvollziehbar zu kommunizieren. DLP ist ohnehin eine ständige Aufgabe. Die Verantwortlichen (oder der entsprechende Dienstleister) prüfen die Wirksamkeit der Anstrengungen laufend: Ist die Zahl der gewährten Ausnahmen von den Regeln eher hoch? Das könnte ein Hinweis sein, dass die Richtlinien zu streng sind und sich die Mitarbeitenden in ihrer Arbeit übermässig behindert fühlen. Ist die Anzahl der Fehlalarme zu hoch? Das würde bedeuten, dass die DLP-Lösung noch nicht sauber arbeitet. Ist die Reaktionszeit im Alarmfall zu lang? Und tauchen immer wieder Geräte auf, die vom MDM nicht erfasst werden oder Daten, die keiner Regelung unterworfen sind? In diesen Fällen müssen die Verantwortlichen die DLP-Lösung nachbessern.
Fazit
Daten sind für praktische jede Firma von hohem Wert. Einerseits, weil aus rechtlichen Gründen private Datensätze einem strengen gesetzlichen Schutz unterworfen sind. Andererseits stellt der Verlust von immateriellen Werten wie zum Beispiel geistigem Eigentum ein hohes Firmenrisiko dar. Mit Data Loss Prevention identifizieren Sie Ihre die schützenswerten Daten und verhindern mit genau definierten Zugriffsregeln und Prozessen deren Verlust.
Sind Sie fit im Datenschutz Thema und kennen die verschiedenen Empfehlungen, wenn es um Passwortsicherheit geht? Testen Sie Ihr Wissen im Bereich Datenschutz in unserem neuen Quiz.
