Klassischen Schutzlösungen wie Virenschutz oder Firewall werden seit vielen Jahren in Unternehmen eingesetzt, die Anforderungen an sie sind klar. Data Loss Prevention ist ein vergleichsweise neuer Bestandteil von Cybersicherheitsstrategien. Viele Unternehmen müssen erst herausfinden, was eine DLP-Lösung für sie leisten muss und ob ein dedizierter oder ein integrierter Ansatz passt.
Im Zusammenhang mit Regelungen zu IT-Sicherheit und Datenschutz und dem wachsenden Stellenwert von Nachweisen über den Schutz von IT-Systemen und Daten sind Lösungen für Data Loss Prevention (DLP) dabei, sich als wichtiger Bestandteil von Cybersicherheitsstrategien zu etablieren. Sie unterstützen Unternehmen bei der Umsetzung von Richtlinien für den Transfer sensibler Daten und verhindern Benutzerfehler und den Diebstahl sensibler Informationen durch Innentäter. Da DLP-Lösungen noch nicht zum traditionellen Kanon der Schutzlösungen gehören, besteht in vielen Unternehmen Unsicherheit darüber, welche DLP-Strategie im Hinblick auf Firmengröße, Schutzbedarf und Budget eingeschlagen werden sollte und ob sich die Anforderungen besser mit einer dedizierten oder einer integrierten DLP-Lösung umsetzen lassen.
Dedizierte DLP-Lösungen
Dedizierte DLP-Lösungen sind eigenständige Lösungen, die speziell für diesen einen Aufgabenkomplex konzipiert und entwickelt wurden. Sie bieten ein breites Spektrum an Tools sowie verschiedene Möglichkeiten für die Konfiguration von Richtlinien. Diese können in vordefinierter Form vorliegen, beispielsweise für personenbezogene Daten, die im Rahmen der DSGVO geschützt werden müssen, sich aber auch unter Verwendung von Wörterbüchern unternehmensspezifisch zuschneiden lassen. Mit ihnen kann die Verwendung von Geräten an den Rechnern reguliert werden; Daten werden nicht nur beim Transfer über unterschiedliche Austrittspunkte geprüft, sondern auch im Ruhezustand auf den Festplatten der Rechner. Beim Scan auf sensible Inhalte kann zusätzlich der Kontext berücksichtigt werden. Richtlinien können für unterschiedliche Gruppen eingerichtet und bis auf einzelne Rechner und Benutzer heruntergebrochen werden. Verschlüsselungsfunktionalität kann die DLP-Lösung ergänzen.
Je größer ein Unternehmen, desto größer der Stellenwert von Compliance und Datenschutz, desto mehr Daten sind vorhanden, desto mehr Datenbewegungen müssen überwacht und desto mehr Ausnahmen berücksichtigt werden. Eine dezidierte DLP-Lösung ist für diese Firmen eine gute Option, zumal auch Ressourcen für die Einrichtung und Administration komplexer Lösungen verfügbar sind. Für kleine Unternehmen können sie insofern überdimensioniert sein, als lediglich ein Ausschnitt der verfügbaren Funktionalität benötigt wird. An dieser Stelle kommt integrierte DLP ins Spiel.
Integrierte DLP-Lösungen
Als integrierte DLP-Lösungen bezeichnet man die Erweiterung bestehender Sicherheitstools um DLP-Schlüsselfunktionalität. Sie sind weniger komplex als dezidierte Lösungen, erfordern keine zusätzliche Software- oder Hardware-Installation, lassen sich einfach und schnell implementieren und kosten erheblich weniger als eine dedizierte DLP-Lösung. Deshalb werden sie gerne von kleineren Firmen genutzt. Allerdings sind die Anpassungsmöglichkeiten und das Funktionsspektrum begrenzt. Unter der Bezeichnung „integrierter DLP-Ansatz“ läuft weiterhin die Nutzung bestimmter Optionen aus mehreren anderen Sicherheitslösungen für DLP. Dabei werden Sicherheitsrichtlinien über mehrere Lösungen hinweg aktiviert. Da sie ohne zentrales Dashboard verwaltet werden, fehlen Zusammenhang und Durchgängigkeit, was ohne starke Richtlinien blinde Flecken in der Datenschutzstrategie nach sich ziehen kann.
Das Beste aus zwei Welten
Die Vorteile des integrierten Ansatzes lassen sich jedoch auch in dezidierten Lösungen umsetzen, wie unsere Lösung Endpoint Protector zeigt. Die Komplexität, die Data Loss Prevention nun mal mit sich bringt, lässt sich hinter einer intuitiv zu bedienenden Management-Konsole verbergen. Basis-Richtlinien für den Schutz personenbezogener Daten stehen vordefiniert zur Verfügung und können mit wenigen Klicks aktiviert werden. Ein modularer Aufbau ermöglicht die Auswahl der für das Unternehmen essentiellen Funktionsgruppen mit der Option, bei sich ändernden Anforderungen up- oder downzugraden. Bezahlt werden dabei nur die genutzten Module pro Seat. Die Funktionstiefe der gewählten Module, die Granularität bis auf die Ebene einzelner Benutzer und Rechner und der Bedienkomfort bleiben dabei in vollem Umfang erhalten und gewährleisten die optimale Anpassung der Lösung an die Anforderungen von Unternehmen jeder Größe.
