In den Gesprächen über Data Loss Prevention (auch Data Leak Prevention) stellen uns die IT-Verantwortlichen und die anderen an der Entscheidung Beteiligten jede Menge Fragen. Meist geht es ganz konkret darum herauszufinden, ob Endpoint Protector zu den Anforderungen im Unternehmen passt, und um Bedenken und Vorbehalte. Andere beziehen sich auf Unklarheiten, die durch die unterschiedlichen Herangehensweisen der Hersteller an das Thema entstehen und durch die unterschiedlichen Funktionszuschnitte von Schutzlösungen. Die sechs häufigsten Fragen haben wir hier zusammengestellt.
1. Kann ich mit einer DLP-Lösung Malware-Infektionen verhindern?
Grundsätzlich geht es bei Data Leak Prevention um eine Technologie, die Datenverluste aus dem Unternehmen heraus verhindert und dafür sorgt, dass sensible Informationen nicht nach außen gelangen, während der Virenschutz Gefahren von außen abwehrt. Es gibt aber durchaus Anti-Malware-Lösungen, die zusätzlich DLP-Funktionalität mitbringen und beispielsweise Datentransfers per E-Mail blockieren. Eine der Hauptfunktionen einer DLP-Lösung ist jedoch die Geräte-Überwachung, mit der Firmen beispielsweise die Benutzung von USB-Sticks blockieren können. Da über die Sticks Schadcode ins Unternehmensnetz gelangen kann, wird damit an dieser Stelle gleichzeitig auch der Eintrag von Schadcode verhindert.
2. Kann ich mit einer DLP-Lösung den Zugang zu bestimmten Webseiten oder die Verwendung von Anwendungen blockieren, die im Unternehmen nicht erwünscht sind?
Eine DLP-Lösung arbeitet mit Filtern, die den Inhalt von Dateien überwachen, wenn diese beispielsweise als E-Mail-Anhang versendet, in Online-Anwendungen geladen, per Copy & Paste in andere Dokumente eingefügt oder ausgedruckt werden sollen. Es wird also nicht der Zugang zu Webseiten oder die Benutzung von Anwendungen wie E-Mail, Instant Messaging, Cloud-Speichern etc. blockiert, die die Mitarbeiter möglicherweise für ihre tägliche Arbeit benötigen, sondern verhindert, dass bestimmte Dateien über diese Anwendungen transferiert werden. Tatsächlich enthalten manche DPL-Lösungen auch Zusatzfunktionen, die den Zugang zu Webseiten und Webanwendungen blockieren. Diese Funktionalität wird als Webfilter bezeichnet und ist in der Regel Bestandteil von UTM-Lösungen.
3. Kann ich überwachen, was Anwender auf ihre Endpoints herunterladen?
Nein. Jeder Download birgt Risiken, beispielsweise durch Malware in Dateien oder Lücken in Anwendungen, die ausgenutzt werden können. DLP-Lösungen überwachen aber nicht, was ins Unternehmen hineinkommt, sondern was hinausgeht. Denn Datenverluste entstehen in erster Linie dadurch, dass Mitarbeiter vertrauliche Daten versehentlich an den falschen Adressaten schicken oder an ihren privaten E-Mail-Account oder in einen Cloud-Speicher laden. Über diese hat das Unternehmen keine Kontrolle und kann nicht beeinflussen, was dort mit ihnen passiert.
4. Kann ich mit einer DLP-Lösung abhanden gekommene mobile Geräte orten?
Eine DLP-Lösung erkennt, ob und welche Geräte an die Endpoints angeschlossen werden, und erlaubt oder blockiert je nach den eingestellten Richtlinien den Zugriff darauf. Tracking-Technik, mit der ein gestohlenes oder verlorenes Laptop Tablet oder Mobiltelefon geortet werden kann, gehört nicht zu ihrem Funktionsumfang. Dafür gibt es spezielle Lösungen, die in der Regel auch Bestandteil von Software für Mobile Device Management sind. Da es bei DLP nicht darum geht, ein Gerät wiederzufinden, sondern darum, dass kein Unbefugter, also auch kein zufälliger Finder und kein Dieb, an die auf dem Gerät gespeicherten Daten herankommt, sollten die Daten bei der Übertragung verschlüsselt werden, mithilfe eines zusätzlichen Produktes oder standardmäßig durch eine in die DLP-Lösung integrierte Verschlüsselungssoftware, wie sie Endpoint Protector für USB-Geräte bietet.
5. Weshalb benötige ich in einem kleinen Unternehmen mit einem Dutzend Mitarbeitern DLP?
Auch in einem kleinen Unternehmen arbeiten die Mitarbeiter mit vertraulichen und sensiblen Daten. Das fängt bei den Personalakten an, geht weiter mit der Kundendatei und reicht bis zu den Informationen, auf denen Ihr Geschäftsmodell und Ihr Unternehmenserfolg beruhen. Und es gibt keine Gewähr dafür, dass nicht doch einmal jemand einen Fehler macht und die falsche Datei an eine E-Mail hängt oder ein verärgerter Mitarbeiter Kundendaten kopiert und mitnimmt. Es ist ohnehin schon harte Arbeit, als kleine Firma am Markt zu bestehen, warum also Datenverluste riskieren, die ihr gewissermaßen das Genick brechen können? Denken Sie einfach daran, wieviel Zeit und Nerven es Sie gekostet hat, Ihre wichtigsten Bestandskunden aufzubauen, und stellen Sie sich vor, was Sie investieren müssten, um wieder so weit zu kommen. Deshalb ist es sinnvoller, mit einer DLP-Lösung vorzubeugen. Die gibt es auch von Preis und Aufwand her auf KMU-Anforderungen zugeschnitten, beispielsweise My Endpint Protecor.
6. Kann ich das Active Directory für die DLP-Richtlinien in meinem Unternehmen nutzen?
Selbstverständlich. Sie können Ihre AD-Struktur importieren und dadurch vor allem in größeren Unternehmensnetzen den Aufwand für den Roll-Out verringern. Auch beim Gerätemanagement profitieren Sie, weil Sie über maßgeschneiderte Vorlagen Benutzern, Gruppen oder Rechnern jeweils spezielle Rechte zuweisen können. Sie können die DLP-Richtlinien also granular umsetzen und somit das Optimum aus der DLP-Lösung herausholen.
