Browserbasierte Anwendungen wie Webmailer, Cloudspeicher, Kollaborations- und Filesharing-Tools sind auch im Unternehmensnetz nur wenige Klicks entfernt. Mitarbeiter nutzen solche Anwendungen gerne, um die Kommunikation und den Datenaustausch mit Kollegen und Partnern zu vereinfachen und zu beschleunigen. Teilweise werden die Tools auch verwendet, ohne dass die IT-Abteilung einbezogen ist, im Rahmen von Schatten-IT also. Das Unternehmen kann dann weder über die mit den Anwendungen verbundenen Risiken aufklären noch kontrollieren, wer auf die Daten zugreifen kann.
Trotzdem haftet es für Verstöße gegen die DSGVO, bei denen personenbezogene Daten unbefugten Dritten offengelegt werden beziehungsweise Unbefugte darauf zugreifen können. Damit Unternehmen in Übereinstimmung mit der DSGVO arbeiten, müssen sie diese Sicherheitslücke schließen. Dafür müssen sie Dateien nachvollziehbar auf personenbezogene Daten kontrollieren und Transfers dieser Dateien über Dropbox, TeamViewer, Skype und ähnliche über alle Rechner, Nutzer, Gruppen im gesamten Unternehmen hinweg gegebenenfalls blockieren.
Anforderung 3: Schutz vor Datenabfluss durch Content Aware Protection (CAP)
In Endpoint Protector findet die Inhaltsprüfung mit dem Modul Content Aware Protection statt. Die technische Grundlage ist ein Black- und Whitelisting-Ansatz, in den sämtliche Arbeitsplatzrechner unabhängig von ihrem Betriebssystem einbezogen werden können. Wer welche Daten über welche Austrittspunkte übermitteln darf und wer nicht, und ob Copy- & Paste-Vorgänge oder die Erstellung von Screenshots oder Ausdrucken zulässig sind, wird mittels inhaltsbasierter Richtlinien reguliert.
Die Richtlinien können auf komfortable Weise unternehmensspezifisch eingestellt werden, denn Endpoint Protector enthält ein Repository für unterschiedliche Gruppen von personenbezogenen Daten wie Adress- und Kontaktdaten, Konto- und Kreditkartennummern, Personalausweis- und Sozialversicherungsnummern. Abgebildet werden personenbezogene Daten sämtlicher EU-Länder und sehr vieler weiterer Staaten. Die Regeln stehen für alle Schnittstellen bzw. Ziele wie Web-Browser, E-Mail-Client, Drucker, Instant Messaging, Zwischenablage etc. zur Verfügung. Für die Kategorie der besonders zu schützenden personenbezogenen Daten wie beispielsweise Gesundheitsdaten sind ebenfalls vordefinierte Richtlinien verfügbar.
Unternehmen, die zusätzlich zur DSGVO internationale Standards und gesetzliche Regelungen wie HIPAA für den Gesundheitsbereich oder PCI-DSS für die Abwicklung von Kreditkarten-Transaktionen umsetzen müssen, bietet Endpoint Protector vordefinierte Richtlinien-Pakete an. Der Administrator kann mit wenigen Klicks sämtliche Richtlinien, die für den jeweiligen Standard erforderlich sind, aus einem Pool vordefinierter Richtlinien auswählen und anpassen.
Per Mehrfach-Auswahl lassen sich die Ziele für die Anwendung jeder Regel festlegen. Das können beispielsweise diejenigen sein, die das größte Risiko darstellen, etwa Cloud-Speicher oder bestimmte Mitarbeiter oder Abteilungen. Außerdem können Grenz- und Schwellwerte eingestellt werden, so dass Dateien ab einer bestimmten Größe oder einer bestimmten Anzahl an Merkmalen geblockt werden. Falls also beispielsweise die Übermittlung von Kontonummern blockiert wird, kann der Grenzwert mit „ab fünf Kontonummern“ festgelegt werden, damit Schreiben auf der Briefbogen-Vorlage, die die Kontodaten des Unternehmens enthält, nicht blockiert werden. Neben den voreingestellten Richtlinien können in Endpoint Protecor unternehmensspezifische Richtlinien zudem mittels Schlüsselwort-Wörterbüchern sowie Dateityp- und Semantik-Erkennung konfiguriert werden.
Der kommende Beitrag, der letzte der Serie, geht auf die Suche nach unstrukturierten Daten im Unternehmensnetz ein.
