Katharina Friedmann ist Redaktorin bei der Computerwoche.

Im Jahr 2007 kamen mehr personenbezogene Daten abhanden als je zuvor. Schätzungen von Attrition.org, einer Expertengruppe für Internet-Security, gehen vom Verlust vertraulicher Informationen von rund 162 Millionen Personen aus - rund dreimal so viele wie 2006 (49 Millionen). Ursache für das Wachstum sei die explosionsartige Zunahme der von Firmen erstellten persönlichen Daten. Aber auch neue Kommunikationsprozesse und die im Zuge des Web 2.0 zunehmende Öffnung der Firmennetze gegenüber Kunden und Partnern erhöhten Zahl und Vielfalt möglicher Datenlecks.

Potenziert wird das Problem, weil der Verlust sensibler Daten immer teurer zu stehen kommt: Laut Ponemon Institute kostete 2007 jeder kompromittierte Datensatz im Schnitt 197 Dollar (2006: 182 Dollar). Parallel dazu steigen die durchschnittlichen Gesamtkosten von Datenverlusten seit 2006 von 4,8 auf 6,3 Millionen Dollar. Gartner schätzt deren jährlichen Zuwachs auf rund 20 Prozent.

Entsprechend versuchen Firmen verstärkt, die versehentliche oder böswillige Preisgabe vertraulicher Daten zu unterbinden. Laut einer Umfrage der Kaspersky-Tochter Infowatch stufen Europas IT-Profis interne Risiken heute als gefährlicher ein als Hacker und Malware (siehe Grafik). Als primäre Abflusskanäle für Daten gelten tragbare Speichermedien, E-Mail und das Internet (Web-Mail und Foren).

Schutz vor Datenverlust bietet Data Leakage Protection (DLP). Dieses identifiziert sensible Daten in Firmennetzen und Speichern und kontrolliert deren Nutzung und Verbreitung. Dafür umfasst DLP Tools, die einerseits Daten auf Endgeräten absichern, andererseits am Netz-Gateway den ausgehenden SMTP- und http-Verkehr kontrollieren und auf Policy-Verstösse filtern. Drittens überwachen die Werkzeuge Inhalte in allen Speichersystemen, von E-Mail-Inboxen bis hin zu Backend-Archivierungssystemen.

Zu den Kernfunktionen der CMF/DLP-Lösungen (Content-Management and Filtering) zählt Gartner neben Deep-Packet-Inspection und Session-Tracking über simples Keyword-Matching hinausgehende linguistische Analysefähigkeiten, mit denen anhand definierter Regeln die Nutzung (etwa Speicherung, Ausdruck, Weitergabe) der Inhalte erkannt, kontrolliert und notfalls blockiert werden kann.

Unabhängig von ihrer technischen Umsetzung, ob als Software-, Appliance- oder Host- respektive agentenbasierende Lösung, scannt das Gros der DLP-Produkte in Bewegung befindliche Daten (Data in motion), also Informationen, die das Unternehmen via E-Mail, Instant Messaging (IM) oder als Kopie auf Wechselspeichern verlassen.

Manche Lösungen überwachen auch ruhende Daten (Data at rest) und im Unternehmen gespeicherte Informationen. Damit haben Firmen sowohl Daten auf dem Weg nach aussen, als auch alle anderen Informationen, für die sie nicht zuletzt aus Compliance-Gründen verantwortlich sind, im Griff.

Die steigende Sensibilisierung der Firmen macht den stark wachsenden DLP-Markt zum heiss umkämpften Terrain: Gartner schätzt dessen derzeitiges Volumen auf weltweit 100 bis 150 Millionen Dollar (2006: rund 50 Mio. Dollar). Blut geleckt haben vor allem die grossen Security-Anbieter. Sie pumpten 2007 insgesamt gut 1,6 Milliarden Dollar in den Zukauf entsprechender Techniken.

So erwarb McAfee bereits im Jahr 2006 die israelische Softwareschmiede Onigma. Deren Software kontrolliert, respektive unterbindet das unerlaubte Verschicken von Daten via E-Mail oder IM sowie Ausdrucke oder das Kopieren auf mobile Datenträger. Darauf basierend bietet McAfee mit «Data Loss Prevention» sowohl ein Host-basierendes System zur Kontrolle des Datengeschehens auf Endgeräten als auch eine auf Netzebene agierende Gateway-Lösung an. Die Produkte der im Herbst 2007 übernommenen, auf Geräte-, Festplatten- und Content-Verschlüsselung spezialisierten Safeboot runden das DLP-Angebot ab.

Trend Micro erwarb im Oktober 2007 Provilla und deren DLP-Software «Leakproof». Die auf Endpunkten wie Laptops installierten Leakproof-Agenten verhindern mit der Fingerprinting-Technik «DataDNA», dass Daten aus dem Firmennetz geschleust, ausgedruckt oder auf unautorisierte Geräte kopiert werden.

Das seit Anfang dieses Jahres verfügbare «Leakproof 3.0» soll Anwender vor allem zu mehr Umsicht erziehen. IT-Administratoren können Content-sensitive Dialogfelder definieren, welche die User über den richtigen Umgang mit vertraulichen Daten informieren. Auch lassen sich Policies festlegen, welche die User bei bestimmten Vorgängen auffordern, Daten zu verschlüsseln oder die jeweilige Aktion zu rechtfertigen. PC/LAN Boundary Filtering an den Grenzen des Endpoint soll zudem dafür sorgen, dass sensible Daten nicht erst an den Grenzen des LAN, sondern bereits beim Verlassen des PC herausgefiltert werden.

Symantec kaufte im November 2007 mit Vontu eine führende Anbieterin für Datenschutz- und -kontrolllösungen und legte sich so Produkte zu, die sowohl den Mail-, Web- oder IM-Verkehr als auch den File-Transfer im Netz überwachen und auf Endgeräteebene die unautorisierte Weitergabe vertraulicher Daten verhindern. Zudem umfasst das Vontu-Angebot zentrales Policy-Management und eine Data-Discovery-Lösung, die Anhaltspunkte liefert, wo kritische Inhalte gespeichert sind, um eventuelle Datenlecks abzudichten.

Die noch als Stand-alone-Lösungen verfügbaren Vontu-Techniken sollen schrittweise auch in Symantecs bestehende Endpoint-Security- und Netzsicherheitsportfolios sowie die Backup- und Speicherprodukte Netbackup und Enterprise Vault integriert werden. Parallel dazu entwickelt das nun zur Symantec Security and Data Management Group gehörende Vontu-Team die Produktsuite «DLP 8» weiter. Diese bietet Symantec seit längerem als Add-on zu seiner Appliance-Reihe «Mail Security 8300» an. Die jüngste Version überwacht nicht nur das Datengeschehen auf Endgeräten, sondern identifiziert mittels Deep-Content-Inspection auch auf PCs und Laptops befindliches, sensibles Datengut, um dann zu verhindern, dass dieses nach aussen geschleust wird.

Auch die Speicherbranche zielt auf DLP. So kaufte EMC/RSA 2007 die DLP-Anbieterin Tablus. Mit deren Technik (neu: RSA DLP Version 6) erwarb EMC/RSA laut Executive Vice President Arthur Coviello «die Fähigkeit, Daten aufzuspüren und zu klassifizieren sowie den Datenfluss mittels Agenten im Netz und auf dem Desktop zu überwachen.» Zudem könne man damit Policy-Enforcement-Mechanismen um das Monitoring herum entwickeln. Laut Coviello könne EMC/RSA Verschlüsselung zur Durchsetzung firmenspezifischer und gesetzlicher Vorgaben sowie Techniken zur Schlüsselverwaltung anbieten und die Tablus-Engine biete auf Netz- wie auf Desktop-Ebene sehr ausgefeilte Monitoring-Funktionen.

Infowatch fokussiert exklusiv das Thema DLP. Mit «Traffic Monitor 3.0» bietet die Kaspersky-Tochter eine modular aufgebaute Perimeter-Lösung gegen den Abfluss von Daten über E-Mail, Internet, ISQ, Drucker und Wechseldatenträger an. Dank des Verfahrens «Post-Analyse» soll das System zudem komplexe Verbindungen zwischen Datenobjekten, Ereignissen und Usern erkennen. So könne der Verursacher eines Datenverlusts ermittelt und die Sicherheitslücke rasch geschlossen werden.

Laut Experton-Consultant Funk dürfte sich der Konsolidierungstrend im primär Emerging Vendors vorbehaltenen DLP-Markt fortsetzen. Die Angebote würden voraussichtlich in anderen Lösungen aufgehen und nicht als eigenständiges Marktsegment bestehen bleiben. Zwar müssten die grossen Security-Anbieter in Sachen DLP-Integration noch ihre Hausaufgaben machen. Für erste Produktevaluierungen sei 2008 jedoch das richtige Jahr.

Checkliste

Viele Anbieter von DLP-Systemen wurden übernommen - weitere dürften folgen. So stellt sich für Firmen die Frage, wann genau sie DLP-Tools kaufen sollen. Rich Mogull, Chef der Sicherheitsberaterin Securosis rät, DLP-Investitionsentscheide weniger von den Bewegungen des DLP-Marktes als von der eigenen Reife abhängig zu machen. Wer von DLP-Tools profitieren wolle, müsse darauf vorbereitet sein. Denn DLP lasse sich nicht losgelöst vom Geschäft betreiben. So müsse etwa klar sein, welche Daten zu schützen sind. Auch seien Policies zum Umgang mit kritischen Daten nötig und es müsse erkannt werden, dass DLP zwar bedingt vor Datendiebstahl schütze, primär aber fehlerhafte Geschäftsprozesse aufzeige. Vor dem Kauf sei daher zu klären:

- welche Inhalte zu schützen sind,

- wie und von wem diese Daten genutzt werden dürfen,

- wie Regelverstösse gehandhabt werden sollen,

wer für Handhabung und Untersuchung von Policy-Verstössen verantwortlich ist.