Mit der Zunahme von Verordnungen und Standards zum Schutz von Daten wie die DSGVO, HIPAA, NIST, FISMA und andere geraten zunehmend DLP-Lösungen in den Blick, die Unternehmen bei ihrer Umsetzung unterstützen können. Trotzdem zögern viele Verantwortliche, sich intensiver mit ihnen zu beschäftigen und sie in ihrer Firma einzusetzen. Das hat mit Erfahrungen und Gerüchten zu tun, die in der Anfangszeit der DLP-Lösungen entstanden sind und sich bis heute hartnäckig halten. Hier die drei am weitesten verbreiteten Vorurteile und warum sie unbegründet sind:
„DLP-Lösungen sind Produktivitätskiller“
Dieses Vorstellung begleitet DLP-Lösungen von Anfang an: Sie würden einfache Aufgaben langwierig machen, die Mitarbeiter daran hindern, zügig und effizient zu arbeiten, und allerorten zu Frustration führen. Wie immer bei solchen Vorurteilen steckt auch hier ein Körnchen Wahrheit drin. Es bezieht sich auf die Kinderkrankheiten in der Anfangszeit der Produkte, als die Implementierung der neuen Technologie und das Arbeiten damit in der Tat ziemlich aufwendig waren. Aber vergleichen Sie mal die Leistungsfähigkeit von Windows XP mit dem, was Windows 10 heute bietet.
Seit vor mehr als zehn Jahren die ersten DLP-Lösungen auf den Markt kamen, mit denen Datenverlust und Datendiebstahl eingedämmt werden sollte, haben sie sich zu technisch ausgereiften Produkten weiterentwickelt und erlauben höchst granulare Einstellungen. In heutigen Lösungen kann man zahlreiche unterschiedliche Berechtigungsebenen sowohl für Nutzer und Abteilungen als auch für Rechner und Geräte wie Wechseldatenträger einrichten, so dass die Unternehmen die Richtlinien exakt an ihre Unternehmensstruktur und ihre Anforderungen anpassen können. Das Problem, dass Richtlinien früher unterschiedslos für alle Mitarbeiter oder für keinen anwendbar waren, ist damit vom Tisch.
„DLP-Lösungen sind nichts für kleine Firmen“
DLP-Lösungen sind sehr komplex, und die Verwendung komplexer Lösungen assoziiert man eher mit Großunternehmen, die sehr viel stärker Bedrohungen durch Insider ausgesetzt sind und bei denen viel größere Datenmengen auf dem Spiel stehen, als mit kleinen Firmen. Aber Verordnungen wie die DSGVO machen bei den Anforderungen an den Schutz der Daten keinen Unterschied zwischen Konzern und Kleinstunternehmen. Seit der Anfangszeit der DLP-Lösungen ist die Zahl browser-basierter Anwendungen, die zu den hauptsächlichen Quellen für Datenverlust gehören, in die Höhe geschnellt, und sie stehen unabhängig von der Firmengröße an jedem Arbeitsplatz mit Internet-Verbindung zur Verfügung. Außerdem wird im Internet-Zeitalter das Aufkommen der im Unternehmen verarbeiteten personenbezogenen Daten nicht mehr von der Firmengröße abgebildet. So kann beispielsweise ein Startup mit zwei Mitarbeitern eine App entwickeln, die von Millionen Anwendern genutzt wird.
Zudem ist der Schutzbedarf weiterer Daten ebenfalls unabhängig von der Unternehmensgröße. Je nach Branche und Arbeitsgebiet können auch Finanzdaten und Informationen aus F&E oder der Produktentwicklung bedroht sein und müssen mithilfe passender Richtlinien und Tools geschützt werden. Übrigens, neben DLP-Lösungen mit umfangreicher Funktionalität, die für eine kleine Firma überzogen erscheint, gibt es am Markt auch modular aufgebaute DLP-Lösungen, deren Funktionen auf die Bedürfnisse kleiner Unternehmen zugeschnitten werden können.
„Die Implementierung einer DLP-Lösung ist schwierig und dauert ewig“
Kaum etwas fürchten Unternehmen mehr als Schwierigkeiten bei der Implementierung neuer Lösungen. Negative Erfahrungen mit Altsystemen und äußerst beschwerliche Software-Einführungen haben sie zu gebrannten Kindern gemacht. Da DLP-Lösungen netzwerk-weit eingesetzt werden, sind Bedenken hinsichtlich der Kompatibilität, der Komplexität und des Zeitrahmens bis zu vollständigen Implementierung verständlich. Nicht alle DLP-Lösungen sind gleich aufgebaut, aber es gibt Produkte, beispielsweise unsere Software Endpoint Protector, bei denen die Bediener so gut wie nicht mehr mit der Komplexität einer DLP-Lösung konfrontiert werden. Das stellt sicher, dass die Lösung in weniger als 30 Tagen in den Produktivbetrieb gehen kann.
Viele der Vorstellungen, die über DLP-Lösungen im Umlauf sind, entstammen der DLP-Steinzeit und haben nichts mit dem zu tun, was die Produkte heute leisten. Da die DSGVO die Firmen zum Schutz der Daten verpflichtet und diese die Einhaltung unternehmensweiter Richtlinien nachweisen müssen, kann eine vorurteilslose Herangehensweise an DLP klar machen, welche Hilfestellung für den Schutz der Daten sie mit einer solchen Lösung in die Hand bekommen.
