Der Arbeitsplatzrechner ist heute im Unternehmensumfeld das wichtigste Arbeitsgerät. Arbeitnehmer verbringen den größten Teil ihrer Arbeitszeit an Desktop oder Laptop und haben darüber Zugang zu sensiblen Informationen. Das macht die Rechner zu einer hochriskanten Quelle von Datenverlust und Datendiebstahl.
Der Grund dafür hat nichts mit den Geräten selbst zu tun, sondern damit, was die Nutzer damit machen. Die Risiken für die Vertraulichkeit von Daten, die die Nutzer-Aktivitäten bergen, sind infolge von gestiegenen Datenschutzanforderungen und einem wachsenden Stellenwert von geistigem Eigentum stärker ins Blickfeld gerückt. Das wiederum hat zur Entwicklung neuer Lösungen für Data Loss Prevention geführt, mit denen Datenverlust und Datendiebstahl unterbunden werden sollen.
Grundsätzlich lassen sich, je nachdem, ob sie am Endpunkt, im Netzwerk oder in der Cloud angewendet werden, unterschiedliche Typen von DLP-Lösungen unterscheiden. Lösungen für DLP im Netzwerk erscheinen dabei auf den ersten Blick als vielseitige, problemlos zu installierende Werkzeuge, die Daten in Bewegung effizient schützen. Aber ihre Reichweite ist begrenzt: Sie können Datenbewegungen nur überwachen, solange der Rechner mit dem Firmennetz verbunden ist, und sie können Transfers auf tragbare Speichermedien nicht verhindern. An diesem Punkt kommt DLP am Endgerät ins Spiel.
Bei Endpoint-DLP zögern manche Unternehmen wegen der Auswirkungen, die die unternehmensweite Implementierung hat: die Installation von Client-Software auf jedem Rechner, die dann gepflegt und regelmäßig aktualisiert werden muss. Das denken sie sich als zeitraubende Prozedur. Diese Befürchtungen sind heute aber gegenstandslos: Bei unserer DLP-Lösung Endpoint Protector laufen der Rollout des Clients und die Verwaltung der Endpoints über ein zentrales Dashboard, und nach Updates ist kein Neustart der Rechner nötig. Der Weg sollte also frei sein, dass Firmen offen sind für den Nutzen von Endpoint-DLP. Hier sind die drei wichtigsten Aspekte:
1. Daten unterwegs schützen
Endpoint-DLP schützt auch, wenn sich Rechner außerhalb des Unternehmensnetzes befinden, denn der Client ist die Grundlage dafür, dass die Regeln auf der Ebene der Rechner angewendet werden.
Immer mehr Mitarbeiter arbeiten immer häufiger unterwegs. Aber auch außerhalb des Firmennetzes und der Schutzfunktionen, die es bietet, müssen die Firmenrichtlinien eingehalten werden. Endpoint-DLP sorgt dafür, dass die Mitarbeiter mobil bleiben, und gibt dem Unternehmen die Sicherheit, dass der Schutz der Daten bestehen bleibt.
2. Tragbare Speichermedien überwachen
Zu den größten Risiken für die Vertraulichkeit von Daten gehört die Verwendung von Speichermedien. Daten lassen sich schnell mal auf einen privaten USB-Stick kopieren, ohne dass damit Richtlinien von Netzwerk-DLP verletzt werden. Bei Endpoint-DLP können Administratoren anhand spezifischer Kriterien Vertrauensstufen für Geräte einrichten und beispielsweise erlauben, dass firmeneigene Geräte an allen oder bestimmten Rechnern verwendet werden, während bei allen anderen der Vorgang blockiert wird. Diese Policies können auch offline durchgesetzt werden.
Als zusätzliche Funktion kann eine Lösung für DLP am Endpunkt Verschlüsselung für USB-Sticks enthalten. Unternehmen können damit sicherstellen, dass Daten, die auf einen Stick – firmeneigen oder nicht – kopiert werden, automatisch verschlüsselt werden. Falls Nutzer das Passwort vergessen haben, kann es der Administrator zurücksetzen.
3. Daten auf Endgeräten identifizieren
Lösungen für Netzwerk-DLP sind gut darin, den Transfer von Daten nach draußen zu verhindern. Aber sie können keine Daten auf den Endgeräten identifizieren. Unternehmen können mit Netzwerk-DLP nicht herausfinden, ob Mitarbeiter sensible Daten auf ihren Rechnern gespeichert haben. Firmen, die im Rahmen der DSGVO das Recht Betroffener auf Löschung ihrer Daten umzusetzen haben, sollten wissen, ob solche Informationen auf den Rechnern schlummern. Mit DLP am Endpunkt lassen sich alle Rechner im Unternehmen auf sensible Daten scannen. Der Administrator hat dann die Möglichkeit, Funde fallweise zu löschen oder zu verschlüsseln. Firmen können infolgedessen DSGVO-konform arbeiten.
