Mehr Effizienz in der Endpoint-DLP

Sacha Chahrvin ist Managing Director GB und Irland bei DeviceLock

Je mehr Kommunikationskanäle in einem Unternehmen nach draussen führen, umso grösser ist das Risiko, dass vertrauliche Daten abfliessen. Die ersten Produkte zur «Data Leak Prevention» (DLP), die solche Lecks verhindern sollten, kamen schon zwischen 2002 und 2004 auf den Markt. Sie filterten zum Beispiel den Webzugang, E-Mails oder Instant Messages (IM). Gleichzeitig stieg jedoch die Bedrohung durch Datenlecks direkt an den Endgeräten - über deren Ports oder Peripheriegeräte. Folglich stieg die Nachfrage nach Produkten zur Geräte- und Port-Kontrolle, bald auch nach Endpoint-DLP-Lösungen mit stärkerer Kontextsensitivität (engl. «Context Awareness»).

Netzwerkbasierte DLP-Appliances- und Endpoint-Device-Control-Produkte adressieren denselben Markt, allerdings mit unterschiedlichen Technologien: die einen mit Inhaltsfilterung (engl. Content Filtering) und die anderen mit kontextbasierten Methoden. Beide Technologien zielen auf die Erkennung sensitiver Daten ab, wobei die Daten beim Content Filtering nach bestimmten Begriffen analysiert werden. Bei der kontext-basierten Methode wird nicht der Inhalt einer Datei, sondern bestimmte Operationen (Verschieben, Kopieren, Löschen etc.) überwacht. Auf Anbieterebene entstand so eine fast schon ideologische Trennung zwischen Content Filtering und kontextbasierten DLP-Technologien. Die Befürworter von Content Filtering argumentierten, dass einzig und alleine ihre intelligenten Technologien das Problem von Datenlecks in Firmen umfassend lösen könnten, da sie direkt an den aussagekräftigen Inhalten der Daten - der Information - ansetzten. Als Gegenargument verwiesen die Anbieter von Device-Control-Produkten auf den hohen Anteil von «falsch positiven Ergebnissen» bei Content-Filtering-Lösungen sowie auf ihre totale Unfähigkeit, lokale Datenlecks einzelner Firmenrechner zu schliessen.

Kontext versus Content

Seitdem hat sich der Markt grundsätzlich gewandelt: Endpoint-Computer sind leistungsfähiger geworden, sodass reine Endpoint-DLP-Hersteller und einige DLP-Appliance-Anbieter Funktionalitäten zur Port-Content-Analyse in ihre Endpoint-Produkte integrieren konnten. Die Marktdurchdringung von Endpoint-Lösungen mit Content Filtering ist erheblich gestiegen. Bestätigt dies die Ineffizienz von kontextbasierten DLP-Technologien? Werden sie bald vom Markt verschwinden?

Keinesfalls! Mittlerweile sind nicht nur die Lösungen für Endpoint-Computer ausgereifter, sondern auch die Ansprüche der Unternehmenskunden. Die primäre Aufgabe einer DLP-Lösung ist das Verhindern von Datenlecks. Daher müssen diese Lösungen direkt die Bedeutung der weitergeleiteten Daten - also den Inhalt - erkennen und verifizieren. Da rein kontextbasierte Endpoint-DLP-Lösungen dies nicht können, müssen sie sich mit indirekten Methoden, zum Beispiel Device Access Control, behelfen. Erst durch die Verknüpfung mit einer Content-Filtering-Anwendung wird der Schutz komplett.

Andererseits lautet ein grundlegendes Prinzip der Informationstechnologie, dass man die wahre Bedeutung von Daten - also die enthaltenen Informationen - nur dann versteht und bewusst verwenden kann, wenn man sie im Kontext betrachtet. Ohne zu wissen, wer die Daten sendet, woher und über welchen Übertragungsweg sie kommen und wohin sie transferiert werden, ist es unmöglich zu erkennen, welche Informationen die Daten enthalten, wie vertraulich sie sind und ob ihre Weitergabe legitim ist. Mit anderen Worten: Kontextbasierte DLP-Methoden sind nur dann praxistauglich, wenn sie den vollen Kontext einer Datenübertragung erfassen und mit bestehenden Compliance-Richtlinien vergleichen.