Datenlecks erkennen und vermeiden: Data Leakage / Loss Prevention.
Spätestens seit der Berichterstattung über PRISM, TEMPORA und ähnlichen Systemen ist jedem klar, dass weltweit auf allen Ebenen großflächig Daten abgesaugt, gespeichert und ausgewertet werden – nicht zuletzt, weil heute nahezu jede Kommunikation von jedem Ort der Welt aus belauschbar ist. Selbst befreundete Staaten scheinen in das Visier mancher Geheimdienste geraten zu sein.
Neben dem tatsächlichen oder vermeintlichen Schutz des eigenen Staates und der frühzeitigen Gewinnung politisch relevanter Informationen steht dabei auch die Unterstützung der eigenen Wirtschaft bzw. eigener Unternehmen im Mittelpunkt, um deren Konkurrenzfähigkeit auf dem Weltmarkt behaupten und ausbauen können. Für andere Unternehmen wird damit der Schutz des eigenen Know-hows und der Betriebsgeheimnisse immer schwieriger.
Neben dieser „staatlichen“ Spionage ist auch das Thema der Wirtschaftsspionage zwischen Unternehmen zu beachten: Dies reicht von der systematischen Überwachung aller Aktivitäten eines Unternehmens, über elektronische Angriffe per Internet und mittels anderer Kommunikationskanäle bis hin zur Abwerbung und Bestechung von Know-how-Trägern.
Da die allermeisten sensiblen Informationen in IT-Systemen gespeichert und über das Netz übertragen werden, konzentrieren sich entsprechende Spionage-Aktivitäten immer mehr darauf, sogenannte Datenlecks (Data Leaks) anzuzapfen. Hierunter versteht man Schnittstellen, Kanäle und Medien, über die man sensible Daten – natürlich unerwünscht und meist unentdeckt – transportieren kann.
Sensible Informationen / Daten eines Unternehmens fallen in den Sicherheitskonzepten – sofern solche vorhanden sind – unter das Sicherheitsziel der Vertraulichkeit, das meist durch vielfältige Sicherheitslücken und Schwachstellen bedroht ist. Dies kann zu exorbitanten Risiken für das Unternehmen führen. Diesen Risiken begegnet man in aller Regel mit der Forderung nach Access Control (Zutritts-, Zugriffs, Zugangskontrolle), die im Sicherheitskonzept mit vielen Detailmaßnahmen geplant und später eingerichtet wird.
Das Problem bei diesem Vorgehen ist, dass Access Control einerseits nie so umfassend wirkt, dass alle möglichen Kanäle und Datenlecks erfasst werden, andererseits meist die Devise verfolgt wird, Befugten etwas zu gestatten, Unbefugten dagegen etwas zu verwehren. Damit sind Aktionen von Befugten eigentlich gar nicht kontrollierbar, d. h. die gesamte Insider-Problematik fällt aus dieser Form der Sicherheitsmaßnahme heraus. Um Data Leakage zu entdecken und zu vermeiden, muss neben dem Zugang auch der Umgang – speziell Transport und Speicherung – von Befugten mit sensiblen Daten kontrolliert werden, was natürlich juristische Implikationen nach sich zieht. Gerade hier ist aber ein hohes Potenzial für den unerwünschten Abfluss von Daten vorhanden.
In den letzten Jahren ist diese Thematik mit den Begriffen Data Loss Prevention bzw. Data Leakage Prevention umschrieben worden, wobei der erste Begriff mehr den Abfluss von Daten mangels geeigneter Kontrollen, der zweite Begriff mehr den zufälligen, technisch nicht erfassbaren Abfluss meint. Die Abkürzung DLP steht für beides.
Man könnte allerdings meinen, DLP sei eigentlich „ein alter Hut“. Bereits 1999 erschien in der FAZ ein Artikel zu diesem Thema mit dem Titel „Diebstahl unter Freunden“.
Gehen wir in Gedanken 30 Jahre zurück und denken an die Bemühungen der US-amerikanischen Administration, IT-Sicherheitskriterien aufzustellen: Da wird manchem das Stichwort Orange Book von 1983 einfallen. Mit diesem Werk hat das damalige National Computer Security Center (NCSC) – eine Unterorganisation der NSA – viele damalige Rechnersysteme und Netze amerikanischer Hersteller evaluiert und nach Sicherheitsklassen wie C1, C2, B1, B2, B3 und A1 bewertet. Ab der Klasse B1 aufwärts ging es um die Verarbeitung klassifizierter (staatlich geheim zuhaltender) Informationen, für die besondere Informationsflusskontrollen vorhanden sein sollten. Dabei tauchte dann auch der Begriff Covert Channel (verdeckter Kanal) auf, der unserem Data Leak entspricht, aber die unangenehme Zusatzeigenschaft besitzt, von der normalen Access Control nicht entdeckt und kontrolliert werden zu können. Die Vermeidung bzw. Kontrolle solcher Kanäle wurde in den Sicherheitsklassen ab B2 aufwärts ein wesentliches Kriterium. Um Systeme und Netze, die gegenüber Covert Channels und unerlaubtem Datenabfluss mehr oder weniger resistent sind, ist es in den letzten Jahren außerhalb der USA relativ stillgeworden – heute spätestens weiß man warum. Sie würden bei ihrer Verbreitung einschlägige Organisationen bei ihrer Arbeit ziemlich behindern.
Solche Covert Channels und andere Data Leaks sind also in vielen unserer heutigen Systeme und Netze zahlreich vorhanden. Inzwischen gibt es auf dem Markt Produkte, die zumindest einige Defizite vorhandener Systeme kompensieren, in dem sie beispielsweise
- auch die Aktivitäten Befugter (!) protokollieren und bei der Auswertung der Logs unterstützen, so dass etwa das Kopieren einer sensiblen Datei auf einen externen Datenträger nachvollzogen werden kann und möglicherweise zu einem Alarm führt, oder
- zu kopierende bzw. zu übertragende Daten dynamisch nach bestimmten Regeln, Klassen oder anderen Merkmalen als sensibel einstufen und bei einer hohen Sensibilität geeignet überwachen.
Bei solchen DLP-Produkten geht es natürlich darum, sie vernünftig zu konfigurieren, sie in vorhandene Sicherheitskonzepte und Richtlinien so einzubauen, dass ein wesentlicher Beitrag zur Vermeidung oder zumindest Begrenzung von Datenlecks geleistet wird.
Eine absolut sichere Lösung wird es nicht geben – eine Art von Speicher bzw. Kanal wird man ohnehin niemals kontrollieren können: Im Kopf kann jede Person Informationen heraustragen und an Dritte mündlich weitergeben – möglichweise bleibt dies über lange Strecken unentdeckt oder ist in einem Verdachtsfall nicht nachweisbar. Alle für DLP eingesetzten Maßnahmen stellen also nur eine gewisse Hürde dar und begrenzen die Menge der abfließenden Informationen, können aber den unerlaubten Informationsabfluss nicht vollständig verhindern...
Wer sich mit diesem immer wichtiger werdenden Thema DLP näher beschäftigen möchte: Einen ersten Einstieg liefert die Sicherheitsmaßnahme M 4.345 des BSI-Grundschutzes sowie das Control A.12.5 bei ISO 27001. Man kann zudem einschlägige Seminare zu DLP besuchen (beispielsweise Data Leakage Prevention). Die ältere Guideline des genannten NCSC:„A Guide to Understanding Covert Channel Analysis...“ ist ebenfalls hochinteressant. In Herbst wird eine umfassende Darstellung als Buch „DLP: Data Loss / Leakage Prevention“ bei mitp erscheinen.
Weitere Artikel: