Fragt man Unternehmen nach den Gründen, den Einsatz einer Lösung für Data Loss Prevention abzulehnen, werden unter anderem auch False Positives genannt. DLP-Lösungen sollen richtig viele False Positives erzeugen und dadurch zu viel Arbeit machen, so ein gängiges (Vor-)Urteil. Das Problem ist bekannt – nicht nur von DLP-Lösungen! Dies lässt sich auf technischem Weg lösen. Bei Endpoint Protector beispielsweise mit einer integrierten Kontexterkennung.
DLP-Technologie vergleicht Muster anhand von Blacklist- und Whitelist-Regeln. Dabei werden Daten, die beispielsweise in die Cloud übertragen oder per E-Mail verschickt werden sollen, mit den in einer Datenbank hinterlegten Mustern abgeglichen und nach den zu den Mustern gehörenden Regeln behandelt. Der Vorteil einer solchen Mustererkennung ist ihre sehr hohe Zuverlässigkeit.
Genau diese Gründlichkeit jedoch ist die Ursache für sogenannte False Positives (Fehlerkennungen). Denn Muster können zwar übereinstimmen, die Regeln dahinter trotzdem nicht auf die erfassten Daten zutreffen. Das ist der Fall, wenn beispielsweise Produkt-Kennungen ähnlich aufgebaut sind wie aktivierte Richtlinien für personenbezogene Daten, Telefon-, Steuer- oder Kontonummern etwa. Dann erkennt die DLP-Lösung „Kontonummer“ mit der Regel „darf nicht transferiert werden“ und blockiert den Versand von Datenblättern oder Bestellformularen, obwohl darin keine personenbezogenen Daten vorkommen.
Das Umfeld einbeziehen
Um die Quote der False Positives zu verringern, benötigt die Mustererkennung also eine Art Korrektiv für ihre strikte Ja-/Nein-Entscheidung. Es soll die Fälle aussieben, die zwar wie personenbezogene oder andere sensible Daten aussehen, aber keine sind, und sie von der Behandlung nach der hinterlegten Regel ausnehmen. Dafür müssen die Daten anhand von zusätzlichen Kriterien geprüft werden. Aufschluss über die Zugehörigkeit von Daten zu den zu schützenden Daten kann beispielsweise die Umgebung geben, in der sie auftauchen. Endpoint Protector durchsucht daher zusätzlich den Kontext der Fundstellen anhand bestimmter Kriterien für die Entscheidung, ob der Transfer der Daten geblockt wird oder nicht.
Diese als Umfeldsuche oder Kontexterkennung bezeichnete Funktion lässt sich als individuelle Suche innerhalb der Suchergebnisse konfigurieren. Sie berücksichtigt Kriterien wie Dateigröße und Dateityp; weitere Regeln können auf der Grundlage von Wörterbüchern und regulären Ausdrücken erstellt werden. Damit können Administratoren für die Kontexterkennung komplexe Erkennungsmuster definieren, mit denen sich False Positives in Endpoint Protector weitgehend vermeiden lassen.
