Diagramme und Schaubilder mit Data-Loss-Prevention beschriftet
Security

Was ist Data-Loss-Prevention?

Für viele Unternehmen ist heutzutage kaum etwas so wertvoll wie Daten. Ein so kostbares Gut will gut geschützt sein, denn der Verlust sensibler Daten kann Probleme verschiedenster Art nach sich ziehen. Hier kommt Data-Loss-Prevention (DLP) als Konzept und wesentlicher Bestandteil von Datenschutzkonzepten ins Spiel.

Data-Loss-Prevention ermöglicht Unternehmen einen effizienten und automatisierten Schutz ihrer Daten. Lesen Sie jetzt, was Sie darüber wissen sollten.

Inhaltsverzeichnis

Was ist Data-Loss-Prevention?

Der Begriff Data-Loss-Prevention (DLP) beschreibt Maßnahmen zum Schutz sensibler Daten. Dabei kann es sich sowohl um die Strategie als Ganzes als auch um spezifische Cyber-Security-Lösungen zur Erreichung dieses Ziels handeln.

Was ist Data-Leak-Prevention?

Die oft synonym dafür verwendete Bezeichnung Data-Leak(age)-Prevention beschreibt Fachleuten zufolge nicht exakt das Gleiche: Während Data-Loss-Prevention demnach vor bemerktem Datenverlust schützt, soll Data-Leakage-Prevention der unerwünschten Weitergabe von Informationen vorbeugen.

Die Funktionsweise von Data-Loss-Prevention-Systemen

Damit wirksamer Schutz vor Datenverlust gelingt, ist es entscheidend, zunächst festzustellen, wo (besonders) sensible Daten geschützt werden müssen und welche das sind. Ist dies gelungen, lassen sich die notwendigen Schutzmaßnahmen einleiten. Welche Data-Loss-Prevention-Lösungen für all dies infrage kommen, hängt unter anderem vom Status der Daten ab. Dieser unterscheidet sich wie folgt:
  • Daten in Benutzung („Data in Use“ / DiU): etwa Daten im RAM oder Cache, also im flüchtigen Speicher eines Rechners (oder mehrerer)
  • Daten in Bewegung („Data in Motion“ / DiM): Datenübertragung über interne oder öffentliche Netzwerke (also in Rechnersystemen, Routern und auf Servern während der Übertragung)
  • Daten im Ruhezustand („Data at Rest“ / DaR): gespeicherte Daten, etwa in Datenbanken oder Dateisystemen (auf Festplatten)
Übliche Enterprise-DLP-Lösungen bieten in der Regel Schutz für alle drei genannten Datenzustände. Integrierte DLP-Lösungen beschränken sich dagegen mitunter nur auf einen Status. Zur Identifizierung schützenswerter Informationen analysiert die gewählte Software den Datenbestand mit DLP-Techniken wie diesen:
  • Exact-File-Matching: Datenerkennung anhand zugeordneter Hash-Dateien ohne Scan der Inhalte
  • Exact-Data-Matching (EDM): Abgleich von Datensätzen anhand einer Kombination von Kriterien (beispielsweise Name, Wohnort, Geburtsdatum)
  • Regelbasiertes Matching: Findet Daten basierend auf Mustern. Beispiele dafür sind etwa die IBAN oder Kreditkartennummern.
  • Maschinelles Lernen: KI-gestützte Suche
Nachdem das DLP-System die sensiblen Daten identifiziert hat, gibt es verschiedene Möglichkeiten, zu verhindern, dass diese in unautorisierte Hände gelangen oder gelöscht werden. Eine Option ist es, den Zugriff auf die Daten außer in begründeten Fällen zu blockieren oder auf einen bestimmten Nutzerkreis einzuschränken. Dies geschieht beispielsweise durch Firewalls, Verschlüsselung oder Zugriffskontrollen. Eine Alternative dazu sind Warnungen, die Nutzer:innen dafür sensibilisieren, verantwortungsvoll mit Daten umzugehen. Dies kann in Echtzeit geschehen, etwa beim Abruf sensibler Information, aber auch periodisch in Form von Schulungen. Folgender Überblick zeigt mögliche Funktionen von DLP-Lösungen:
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Anwendungsbereiche von DLP

Maßnahmen zum Schutz vor Datenverlust kommen in unterschiedlichsten Branchen, Unternehmen und Organisationen zum Einsatz. Hier einige Beispiele für Anwendungsbereiche von DLP:
  • Finanzwesen: Schutz von Finanzberichten und Handelsinformationen
  • Gesundheitswesen: Schutz von Patientendaten
  • Regierungsbehörden: Schutz geheimer Regierungsinformationen
  • Einzelhandel: Schutz von Kundeninformationen
Da der Datenfluss in Unternehmen und Organisationen über viele verschiedene Kanäle erfolgt, müssen DLP-Lösungen in der Lage sein, diese im Auge zu behalten und gegebenenfalls einzugreifen oder Alarm zu schlagen. Beispiele hierfür sind:
  • E-Mail-Data-Loss-Prevention: Überwachung der Inhalte und Empfänger:innen von E-Mails. Auch fehlende Verschlüsselungen oder der E-Mail-Versand außerhalb der Arbeitszeiten können so unterbunden werden.
  • Cloud-Data-Loss-Prevention: Soll sicherstellen, dass alle Daten verschlüsselt sind und die Weitergabe an nicht autorisierte Empfänger:innen verhindern. Überwacht Cloud-Aktivitäten der Mitarbeiter:innen, erkennt untypisches Verhalten und kann den Zugriff auf Daten personenbezogen einschränken.
  • Wechseldatenträger: Automatische Datenverschlüsselung, Überwachung der Datenübertragung, personenbezogene Einschränkung des Zugriffs und regelmäßige Back-ups.
  • Endgeräte: Automatische Sicherheitsupdates für alle Geräte im Netzwerk. Sicherstellung von Datenverschlüsselung, ausreichendem Passwortschutz und nur autorisiertem Zugriff.
Zahlen unter der Lupe und ein Zettel mit der Aufschrift „Data-Loss-Prevention“
Data-Loss-Prevention identifiziert wichtige Daten, die schützenswert sind

Nützliche Tools & Software gegen Datenverlust

Nachdem wir Ihnen die Definition, Funktionsweise und Anwendungsbereiche von DLP-Lösungen erklärt haben, stellen wir Ihnen nun Data-Loss-Prevention-Software bekannter Anbieter vor. Zum Schutz vor Datenverlust sowie zur Abwehr von Cyberangriffen stehen unter anderem folgende Optionen zur Auswahl:

Microsoft Data-Loss-Prevention

Microsoft Data-Loss-Prevention ist in verschiedene Produkte des Windows-Erfinders integriert – unter anderem in Microsoft 365 Business und Azure. DLP verhindert hier unbefugten Zugriff und eine unerwünschte Weitergabe von Daten. Dafür kommen beispielsweise folgende Methoden zum Einsatz:
  • Vorgefertigte oder benutzerdefinierte Richtlinien zur Identifizierung vertraulicher Daten in E-Mails und Dokumenten sowie auf Webseiten
  • Maschinelles Lernen zur Erkennung sensibler Informationen wie Kreditkartennummern oder Passwörtern
  • Verschlüsselung und Authentifizierung zur Zugriffskontrolle
  • Überwachungs- und Audit-Tools zur Erkennung verdächtiger Aktivitäten und entsprechende Warnmeldungen

Google Data-Loss-Prevention

Google Data-Loss-Prevention ermöglicht es Unternehmen, Daten in ihren Cloud-Anwendungen zu schützen. Dafür greift die cloud-basierte DLP-Lösung unter anderem auf folgende Methoden zurück:
  • Maschinelles Lernen, um personenbezogene und andere sensible Daten in Echtzeit zu erkennen
  • Automatische Klassifizierung der erkannten Daten und Einleitung passender Sicherheitsmaßnahmen
  • Automatische Verschlüsselung
  • Data-Masking, um sensible Daten unlesbar zu machen
  • Warnmeldungen

Sophos Data-Loss-Prevention

Die Sophos-DLP-Software überwacht die Datenverwendung und -übertragung innerhalb und außerhalb von Unternehmensnetzwerken. Zum Funktionsumfang zählen:
  • Erkennung sensibler Daten anhand vordefinierter Regeln und Muster
  • Überwachung der Datenübertragung unter Berücksichtigung von E-Mails, File-Sharing, Cloud-Diensten und USB-Geräten
  • Automatisierte Richtlinien zur Zugriffsbeschränkung
  • Compliance: Unterstützung bei der Einhaltung von Vorschriften und Datenschutzbestimmungen
  • Warnmeldungen

Apex One Data-Loss-Prevention

Hierbei handelt es sich um eine DLP-Lösung von Trend Micro, die Daten in Echtzeit identifizieren und schützen kann. Zu den Funktionen zählen:
  • Erkennung sensibler Daten mithilfe von vordefinierten Regeln und Mustern
  • Überwachung der Datenübertragung (E-Mails, Cloud-Dienste. File-Sharing, USB-Geräte)
  • Verschlüsselung und Maskierung von Daten
  • Compliance-Unterstützung
  • Warnmeldungen

AWS Data-Loss-Prevention

Dieser Dienst von Amazon Web Services (AWS) ist speziell auf AWS-Systeme zugeschnitten und ermöglicht hier eine effiziente Verwaltung. Zum Schutz Ihrer Daten kommen beispielsweise folgende Methoden zur Anwendung:
  • Machine-Learning-Algorithmen und Mustererkennung
  • Erstellung von Richtlinien
  • Automatisches Verschlüsseln, Löschen oder Anonymisierung von Daten
  • Compliance-Unterstützung
  • Berichterstattung und Auditierung

Cisco Umbrella Data-Loss-Prevention

Diese cloudbasierte DLP-Lösung lässt sich mit anderen Sicherheitslösungen desselben Anbieters kombinieren (etwa mit Cisco AnyConnect, Cisco Web Security Appliance oder Cisco Secure Email Threat Defense). Hier ein Auszug der Funktionen:
  • Echtzeit-Datenidentifikation über Machine-Learning-Algorithmen
  • Richtlinienbasierte Regeln für den Umgang mit sensiblen Daten
  • Automatisches Verschlüsseln, Blockieren oder Anonymisieren von Daten
  • Compliance-Unterstützung
  • Berichterstattung und Auditierung
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Risiken von Datenverlust und der Datenschutz: Darauf sollten Sie achten

Datenschutz spielt bei Data-Loss-Prevention eine wichtige Rolle. Folgende Dinge sollten Sie in Ihre Überlegungen einbeziehen:
  • Datenschutzkonformität: Die von Ihnen eingesetzten DLP-Technologien müssen mit geltenden Datenschutzgesetzen übereinstimmen. Stellen Sie sicher, dass die Verarbeitung personenbezogener Daten dementsprechend erfolgt.
  • Klare Richtlinien und Verfahren: Damit Ihre Mitarbeiter:innen DLP-Lösungen datenschutzkonform anwenden können, sollten Sie diese entsprechend schulen.
  • Keine Totalüberwachung: Das Ausmaß der Überwachung darf nicht unverhältnismäßig sein und sollte sich auf den Umgang mit sensiblen Daten beschränken, die Sie zuvor identifiziert haben (s.o.).
  • Transparenz und Offenlegung: Informieren Sie potenziell Betroffene im Vorfeld über durchgeführte DLP-Überwachungsmaßnahmen. Sowohl Mitarbeiter:innen als auch Kund:innen sollten Bescheid wissen, inwiefern Sie ihre Daten erheben und verwenden.
  • Datensicherheit: Die durch DLP-Dienste geschützten Daten sollten sicher aufbewahrt sein. Dafür empfehlen sich entsprechende technische und organisatorische Maßnahmen.
  • Rechenschaftspflicht: Ihr Unternehmen muss nachweisen können, dass es Datenschutzvorgaben einhält. Dokumentieren Sie dafür Ihre Datenschutzmaßnahmen und nutzen Sie Auditierungsmethoden, beispielsweise nach ISO 27001.

DLP in Unternehmen einführen: Best-Practices

Die Einführung von Data-Loss-Prevention in Unternehmen ist ein komplexes Unterfangen, das Spezialist:innen aus dem Bereich der Cybersicherheit begleiten sollten. Sofern die entsprechende Expertise bzw. Manpower nicht bereits inhouse vorhanden ist, empfiehlt sich ein darauf spezialisierter externer Partner. Dieser sollte Sie bei der Konzeption, Strategie und Einführung von DLP-Maßnahmen unterstützen. Bei der Implementierung gilt es folgende Punkte zu beachten:

Was ist das Ziel?

Definieren Sie zusammen mit Ihren Cybersecurity-Expert:innen genau, welche Ziele Sie mit Data-Loss-Prevention verfolgen möchten. Häufig erfolgt die Einführung, um Compliance-Standards einzuhalten. Damit allein reizen Sie die Möglichkeiten jedoch nicht ansatzweise aus. Besprechen Sie daher im Vorfeld, was alles möglich und gewünscht ist.

Integration in bestehende Sicherheitsarchitektur

Berücksichtigen Sie das bereits vorhandene Sicherheitsumfeld. Ihre DLP-Lösung sollte sich möglichst nahtlos und komplett integrieren, sodass Sie etwa bestehende Firewalls oder Überwachungssysteme weiterverwenden können.

Implementierung nach Plan

Entwickeln Sie gemeinsam mit den DLP-Verantwortlichen Pläne, die Zweck und Verwendung der neuen Tools festhalten. Analysieren Sie dabei deren betriebliche Auswirkungen und stellen Sie fest, in welchem Maß diese tolerierbar sind.

DLP-Lösungen aktuell halten

Üblicherweise wächst der Funktionsumfang von DLP-Lösungen kontinuierlich – analog zu den Bedrohungen, vor denen sie schützen sollen. Prüfen Sie daher neue Optionen regelmäßig auf ihr Potenzial für Ihr Unternehmen und ermöglichen Sie den regelmäßigen Rollout neuer Features für Ihr DLP-System. Nur so kann der Schutz vor Datenverlust mit den potenziellen Gefahren schritthalten.

Richtlinien für Änderungen

Wie soeben angedeutet, ist es mit der einmaligen DLP-Einrichtung allein nicht getan. Die verwendeten Tools müssen bei Bedarf aktualisiert werden. Prüfen und dokumentieren Sie die Konfiguration mehrmals pro Jahr.

Testen Sie Ihr DLP-System

Führen Sie in regelmäßigen Abständen Audits und Selbsttests durch, um die Zuverlässigkeit Ihres DLP-Systems sicherzustellen. Mögliche Schwachstellen können Sie beispielsweise mit einem Penetrationstest ermitteln. Darüber hinaus hilft Ihnen dieser unter Umständen bei der Ausrichtung Ihrer Maßnahmen. Beachten Sie außerdem, dass Advanced-Persistent-Threats (APTs) unter Umständen zusätzliche Sicherheitsmaßnahmen erfordern.

Das Wichtigste zu Data-Loss-Prevention in Kürze

  • Data-Loss-Prevention (DLP) identifiziert und schützt sensible Daten in Ihrem Unternehmen.
  • Um schützenswerte Daten zu erkennen, scannen DLP-Lösungen den Bestand mit verschiedenen Methoden.
  • Bei Auffälligkeiten kommt es zum Einsatz geeigneter Maßnahmen, um einen Datenverlust zu vermeiden.
  • DLP-Lösungen gibt es von vielen verschiedenen Anbietern.
  • Bei der Anwendung ist die Einhaltung von Datenschutzgesetzen und -richtlinien essenziell.
Das könnte Sie auch interessieren:
Cloud & Hosting
Ansicht eines Hafens, in dem Containerschiffe be- und entladen werden

Was ist Docker? Komponenten und Funktionalitäten einfach erklärt

Mit virtuellen Computern aus der Cloud setzen Sie sich ganz einfach neue Entwicklungsumgebungen für das Software-Development auf. Noch leichter geht dies mit Software-Containern, die Sie bequem per Docker erstellen. Was die Container-Software noch alles kann und wie Sie sie verwenden, erfahren Sie hier. Das Cloud-Angebot für Unternehmen reicht inzwischen von Office-Anwendungen wie Microsoft 365 bis hin zu spezialisierten Angeboten wie Functions-as-a-Service (FaaS). Bei FaaS können Sie gezielt einzelne Funktionen anmieten, etwa aus dem Bereich der künstlichen Intelligenz. Ein prominentes, aktuelles Beispiel hierfür ist der Chatbot ChatGPT, der auf KI basiert, API-fähig ist und somit in andere Anwendungen integriert werden kann. Viele Anwendungen dieser Art laufen in der Cloud heute virtualisiert. Eine Softwarevirtualisierung von Anwendungen können Sie auch selbst über sogenannte Software-Container umsetzen: beispielsweise mit Docker. Was Docker ist und wie Sie es sinnvoll für Ihr Business einsetzen, erfahren Sie hier.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort