Zum Erledigen ihrer Aufgaben müssen Mitarbeiter in unterschiedlichem Umfang Daten übertragen können, darunter auch sensible. In DLP-Lösungen ermöglichen granulare Einstellmöglichkeiten, die Richtlinien für Datentransfers so anzupassen, dass jeder tun kann, was er muss, und der Schutz der Daten dennoch gewährleistet ist.
Beim Umgang mit Daten stehen Unternehmen und Organisationen vor einem Dilemma: Einerseits müssen sie ihre Mitarbeiter arbeitsfähig halten, dafür müssen sie die Kommunikation und die Übermittlung von Daten an Kunden, Partner und Dienstleister zulassen. Andererseits müssen sie Daten schützen, das heißt sicherstellen, dass sensible Daten ausschließlich von berechtigten Mitarbeitern und ausschließlich über zugelassene Kanäle beziehungsweise auf zugelassene Devices übertragen werden.
Das Regulieren und Beschränken von Datentransfers ist originäre Aufgabe von Lösungen für Data Loss Prevention. Sie ermöglichen, dass die Sicherheitspolicies, die Unternehmen und Organisationen zum Schutz sensibler Daten aufstellen, in technische Prozesse überführt werden, sowie eine kontinuierliche Überwachung, ob die Policies eingehalten werden. Grundlage der DLP-Lösungen ist der Abgleich von Informationen, beispielsweise von Daten in einem E-Mail-Anhang, mit Black- und Whitelists und mit Mustern, die in der Datenbank der Lösung hinterlegt sind. Was bei Übereinstimmung bzw. Nicht-Übereinstimmung von Daten mit Mustern zu geschehen hat, beschreiben die Richtlinien, die den jeweiligen Mustern zugeordnet sind.
Strenge Richtlinien durchsetzen
Ein Beispiel: Eine Kernfunktionalität von DLP-Lösungen ist Device Control. Viele Firmen setzen bei der Schnittstellenkontrolle auf strenge Richtlinien und blockieren die Verwendung von Geräten jeglicher Art. Ist in der Richtlinie beispielsweise festgelegt, dass alle USB-Geräte an den Arbeitsplatzrechnern blockiert werden, könnten Maus und Tastatur ebenfalls nicht verwendet werden. Es müssen also Ausnahmen gemacht werden. Da Maus und Tastatur essentiell sind, ist es sinnvoll, in Software für Device Control eine Maus und eine Tastatur standardmäßig freizugeben. Das ist in unserer Lösung Endpoint Protector der Fall und spart der Administration Handgriffe. In vielen Firmen reicht die Freigabe essentieller Devices aber nicht: Die Kollegen aus dem Wareneingang, der Personalabteilung oder dem Marketing müssen Scanner, Kartenleser, USB-Sticks, Kameras für ihre Arbeit benutzen können. Dann müssen weitere Ausnahmen gesetzt werden. Wenn alle diese Ausnahmen gleich für die ganze Abteilung oder für alle Rechner gelten müssen, hätte man sich die Richtlinie sparen können.
Granulare Anpassung an Abläufe
Damit Richtlinien weder Arbeitsabläufe abwürgen noch infolge zu breit angelegter Ausnahmen unwirksam werden, sollte eine DLP-Lösung granulare Einstellungen ermöglichen. Bei Endpoint Protector können die Richtlinien bis auf einzelne Benutzer, Rechner oder Geräte heruntergebrochen werden. USB-Sticks am Rechner anschließen? Nur als Ausnahme für den Mitarbeiter, der auf dem Kongress präsentiert. Handys? Standardmäßig nur die Diensthandys der drei Kollegen in Bereitschaft. Für die Mobiltelefone gibt es bei Endpoint Protector übrigens eine komfortable Sonderfunktion: Sie können an die Rechner angeschlossen werden, ausschließlich zum Aufladen und ohne Datenaustausch. Weitere Ausnahmen von strengen Richtlinien können ad hoc manuell eingerichtet werden. Granulare Einstellungen können selbstverständlich auch für die Übertragung von Inhalten und die Verwendung von eingerichtet werden.
Granularität ist eine ganz wesentliche Eigenschaft von DLP-Lösungen. Sie erlaubt die exakte Anpassung sämtlicher Richtlinien an die unternehmensspezifischen Anforderungen und schafft das perfekt ausbalancierte Gleichgewicht zwischen Arbeitsfähigkeit und dem Schutz der Daten.
