Zu den beliebten Opfern von Hacker-Attacken und Datendiebstahl gehört traditionell die Unterhaltungsindustrie. Aus den vergangenen Jahren sind einige große Hacks in Erinnerung geblieben. In Jahr 2014 war Sony betroffen; neben privaten Daten von Hollywood-Stars gehörten auch unveröffentlichte Filme zur Beute der Angreifer. Dem Kabelsender HBO kamen 2017 Skripte der Serie „Game of Thrones“ abhanden; der Streaming-Dienst Netflix wurde erpresst, nachdem Datendiebe unveröffentlichte Folgen von „Orange is the new Black“ bei einem Nachbearbeitungsdienstleister gestohlen hatten.
Solche Vorfälle will der Verband der amerikanischen Film-, Unterhaltungs- und Fernsehindustrie Motion Picture Association of America (MPAA) verhindern und hat deshalb Richtlinien zum Content-Schutz entwickelt. Zwar ist die Einhaltung der Richtlinien freiwillig. Da bei der Nachbearbeitung eines Filmes jedoch externe Dienstleister eingebunden sind, für Schnitt und Vertonung beispielsweise oder für die Synchronisation, ist das Material an zahlreichen Punkten dem Risiko Datendiebstahl ausgesetzt. Firmen, die mit den großen Hollywood-Studios wie Walt Disney, Paramount, Sony, Twentieth Century Fox, Universal oder Warner zusammenarbeiten wollen, müssen sich deshalb im Hinblick auf die Einhaltung der Richtlinien begutachten lassen.
Diese orientieren sich an Standards wie ISO 27001/27002 und NIST 800-53 und lassen sich wie folgt zusammenfassen:
- Inhalte dürfen nicht verloren gehen.
- Inhalte dürfen nicht gestohlen werden.
- Falls trotzdem Inhalte gestohlen werden oder verloren gehen, müssen die Filmstudios sofort informiert werden.
- Die Schutzmaßnahmen dürfen die Produktion nicht beeinträchtigen.
Dabei decken die Richtlinien drei Ebenen ab: die Management-Ebene, den physischen Schutz und die Datensicherheit. Das Management-System betrifft Bereiche wie die Risikobetrachtung, die Gestaltung interner Richtlinien und Abläufe, die Schulung der Mitarbeiter, den Umgang mit Vorfällen und ähnliches, das von den Leitungsebenen im Unternehmen entschieden wird. Der physische oder Objektschutz bezieht sich auf die Absicherung der Betriebsstätten. Dazu gehören Schließanlagen und Zutrittskontrollsysteme für Mitarbeiter und Besucher sowie Überwachungs-, Alarm- und Notrufsysteme. Bei der Datensicherheit geht es um die IT-Infrastruktur des Unternehmens, um Internetzugang und Datenübermittlung, Content Management und Mobile Security. Dazu kommen Richtlinien für Cloud Security und Anwendungssicherheit.
DLP und die MPAA-Richtlinien
Lösungen für Data Loss Prevention tragen dazu bei, dass Unternehmen in der Unterhaltungsindustrie den Schutz der Daten umsetzen können. Eine der Lösungen am Markt ist Endpoint Protector. MPAA-Mitgliedern und Dienstleistern verwenden die Software gerne, da sie entscheidende MPAA-Anforderungen abdeckt:
- DLP-Lösungen müssen alle Plattformen in den Firmennetzen gleichermaßen absichern. Es reicht nicht aus, dass beispielsweise nur die Windows-Rechner oder nur macOS durch die DLP-Lösung geschützt sind. Da Endpoint Protector identische DLP-Funktionalität für beide Plattformen anbietet, eignet die Software optimal für gemischte Umgebungen.
- Normalerweise sind Produktionsrechner in der Unterhaltungsindustrie nicht mit dem Internet verbunden. Für Ausnahmen geben die MPAA-Richtlinien vor, dass sensible Inhalte nicht an Stellen außerhalb des Firmennetzes übermittelt werden dürfen. Versucht also jemand, solche Informationen per E-Mail zu verschicken oder Dateien irgendwo hochzuladen, muss der Transfer blockiert werden. Die Inhaltskontrolle ermöglicht bei Endpoint Protector das Modul Content Aware Protection. Es arbeitet auf der Grundlage von Richtlinien mit vordefinierten Inhalten, schützt aber auch vor dem Transfer bestimmter Dateitypen oder Dateigrößen.
- Die Richtlinien geben vor, dass an Produktionsrechnern keine tragbaren Speichermedien wie USB-Geräte, Smartphones oder Digitalkameras angeschlossen werden können. Mit dem Modul Device Control überwacht Endpoint Protector sämtliche Schnittstellen und Speichermedien und blockiert ihre Verwendung an den Rechnern.
- Weiterhin ist vorgegeben, dass sämtliche Dateitransfers sowie alle Versuche dazu protokolliert werden. Endpoint Protector erfasst dabei, wer wann welche Datei wohin übermitteln wollte oder übermittelt hat. Optional können Schattenkopien aller versendeten Dateien erstellt werden.
Die Entscheidung, mit welchen Dienstleistern sie arbeiten, treffen die MPAA-Mitglieder eigenständig. Allerdings ist davon auszugehen, dass Anbieter, die den MPAA-Anforderungen entsprechen, bei der Auftragsvergabe bevorzugt werden. Das verringert das Risiko von Datenlecks, die den Ruf eines Studios erheblich beschädigen und darüber hinaus jede Menge Geld kosten können.
