DLP: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
(Die Seite wurde neu angelegt: „== Definition == Hinter dem Akronym DLP werden die Begriffe„Data Leakage Prevention“ oder auch „Data Loss Prevention“ verstanden. Beide Begriffe werden…“)
 
Keine Bearbeitungszusammenfassung
 
Zeile 1: Zeile 1:
== Definition ==
== Definition ==
Hinter dem Akronym DLP werden die Begriffe„Data Leakage Prevention“ oder auch „Data Loss Prevention“ verstanden.
Hinter dem Akronym DLP werden die Begriffe '''Data Leakage Prevention''' oder auch '''Data Loss Prevention''' verstanden.<br />
Beide Begriffe werden im Allgemeinen synonym verwendet. In Fachkreisen hingegen werden die beiden Begriffe manchmal jedoch differenziert:
Beide Begriffe werden im Allgemeinen synonym verwendet. In Fachkreisen hingegen werden die beiden Begriffe manchmal jedoch differenziert.<br /><br />
In diesen Fällen bezeichnet „Data Loss Prevention“ den Schutz vor unerwünschtem Abfluss von Daten, der Schaden verursacht. Im Gegensatz zur „Data Leakage Prevention“ wird dieser Abfluss allerdings bemerkt. „Data Leakage Prevention“ hingegen bezeichnet den Schutz vor einem potentiellen Abfluss von Daten. Diesen Abfluss kann man nicht messen und manchmal sogar noch nicht einmal feststellen.
In diesen Fällen bezeichnet '''Data Loss Prevention''' den Schutz vor unerwünschtem Abfluss von Daten, der Schaden verursacht.<br />
Im Gegensatz zur Data Leakage Prevention wird dieser Abfluss allerdings bemerkt.<br /><br />
'''Data Leakage Prevention''' hingegen bezeichnet den Schutz vor einem potentiellen Abfluss von Daten.<br />
Diesen Abfluss kann man nicht messen und manchmal sogar noch nicht einmal feststellen.<br />
Beiden Begriffen ist jedoch gemein, dass ein ungewollter Datenabfluss verhindert werden soll.
Beiden Begriffen ist jedoch gemein, dass ein ungewollter Datenabfluss verhindert werden soll.


Zeile 10: Zeile 13:
Das Konzept von DLP geht davon aus, dass andere Schutzmechanismen wie Virenscanner oder Firewall versagen und deshalb das DLP-System eingreifen muss. Dies bedeutet, dass das DLP-System eine Vielzahl von Aufgaben und Funktionen haben kann:
Das Konzept von DLP geht davon aus, dass andere Schutzmechanismen wie Virenscanner oder Firewall versagen und deshalb das DLP-System eingreifen muss. Dies bedeutet, dass das DLP-System eine Vielzahl von Aufgaben und Funktionen haben kann:


    • Überwachung von Applikationen
:* Überwachung von Applikationen
    • Erkennung gefährlicher Applikationen
:* Erkennung gefährlicher Applikationen
    • Überwachung von Datentransfers
:* Überwachung von Datentransfers
    • Durchsetzung von Richtlinien beim Datenaustausch
:* Durchsetzung von Richtlinien beim Datenaustausch
    • Unterscheidung zwischen sensiblen und unkritischen Daten
:* Unterscheidung zwischen sensiblen und unkritischen Daten
    • Blockierung der Übertragung sensibler Daten
:* Blockierung der Übertragung sensibler Daten
    • zentrale Erfassung der Datenbewegungen
:* zentrale Erfassung der Datenbewegungen
    • Alarmierung bei kritischen Regelverstößen
:* Alarmierung bei kritischen Regelverstößen
    • usw.
:* usw.
Zusammengefasst bedeutet dies, dass DLP-Systeme sensible Daten identifizieren, Datenabflüsse protokollieren und möglichst den Abfluss sensibler Daten verhindern können müssen.
Zusammengefasst bedeutet dies, dass DLP-Systeme sensible Daten identifizieren, Datenabflüsse protokollieren und möglichst den Abfluss sensibler Daten verhindern können müssen.


Um Datenabflüsse zu erkennen werden verschiedene Scan-Methoden durchgeführt:
Um Datenabflüsse zu erkennen werden verschiedene Scan-Methoden durchgeführt:
    • Regelbasiertes Matching
:* Regelbasiertes Matching
      Es wird nach Daten gesucht, die einem bestimmten Muster entsprechen z.B. IBAN, BIC.
::Es wird nach Daten gesucht, die einem bestimmten Muster entsprechen z.B. IBAN, BIC.
    • Exact File Matching
:* Exact File Matching
      Dateien werden anhand ihres Hash-Wertes erkannt. Die Untersuchung erfolgt also nicht auf
::Dateien werden anhand ihres Hash-Wertes erkannt. Die Untersuchung erfolgt also nicht auf Dateiinhalte.
      Dateiinhalte.
:* Exact Data Matching
    • Exact Data Matching
::Kombinationen von Daten werden in einem Index zusammengefasst z.B. Name, Vorname, Adresse. Es wird nach diesen Daten in einer beliebigen Reihenfolge in einem maximal vorgegebenen Abstand gesucht.  
      Kombinationen von Daten werden in einem Index zusammengefasst z.B. Name, Vorname, Adresse.
:* Formulare
      Es wird nach diesen Daten in einer beliebigen Reihenfolge in einem maximal vorgegebenen Abstand  
::Dateien werden auf eine vorgegebenen Struktur / Muster hin untersucht z.B. Gehaltsabrechnungen.
      gesucht.  
:* Dateitypen
    • Formulare
::Spezielle Dateitypen dürfen das Netzwerk des Unternehmens nicht verlassen z.B. Konstruktionspläne
      Dateien werden auf eine vorgegebenen Struktur / Muster hin untersucht z.B. Gehaltsabrechnungen.
:* Maschinelles Lernen
    • Dateitypen
::Anhand von vielen Beispielen wird der Matcher trainiert, um selbstständig Entscheidungen zu treffen. Dieses Vorgehen kann bspw. bei der Erkennung von Quellcode genutzt werden.
      Spezielle Dateitypen dürfen das Netzwerk des Unternehmens nicht verlassen z.B. Konstruktionspläne
:* usw.
    • Maschinelles Lernen
      Anhand von vielen Beispielen wird der Matcher trainiert, um selbstständig Entscheidungen zu treffen.
      Dieses Vorgehen kann bspw. bei der Erkennung von Quellcode genutzt werden.
    • usw.


== Anwendungsbereiche ==
== Anwendungsbereiche ==
In der heutigen Zeit können Daten auf viele verschiedene Arten gespeichert und ausgetauscht werden.
In der heutigen Zeit können Daten auf viele verschiedene Arten gespeichert und ausgetauscht werden.
In diesem Zusammenhang werden folgende Arten unterschieden:  
In diesem Zusammenhang werden folgende Arten unterschieden:  
    • Data in Use / Daten in Benutzung
:* Data in Use / Daten in Benutzung
      Es handelt sich hierbei um Daten, die zum Zeitpunkt des Abfluss aktiv genutzt werden  
::Es handelt sich hierbei um Daten, die zum Zeitpunkt des Abfluss aktiv genutzt werden z.B. Daten im RAM, Cache oder CPU-Registern.  
      z.B. Daten im RAM, Cache oder CPU-Registern.  
:* Data in Motion / Daten in Bewegung
    • Data in Motion / Daten in Bewegung
::Es handelt sich hierbei um Daten, die zum Zeitpunkt des Abflusses über ein Netzwerk versendet werden z.B. Emails oder Uploads.
      Es handelt sich hierbei um Daten, die zum Zeitpunkt des Abflusses über ein Netzwerk versendet werden  
:* Data at Rest / Daten im Ruhezustand
      z.B. Emails oder Uploads.
::Es handelt sich hierbei um Daten, die eigentlich zum Zeitpunkt des Abfluss ungenutzt wären, jedoch für den Abfluss verwendet werden z.B. Dateien, Datenbanken Backups.  
    • Data at Rest / Daten im Ruhezustand
      Es handelt sich hierbei um Daten, die eigentlich zum Zeitpunkt des Abfluss ungenutzt wären,  
      jedoch für den Abfluss verwendet werden z.B. Dateien, Datenbanken Backups.  




All diese Arten sind dazu geeignet Daten  abfließen zu lassen und Datentransaktionen in diesen Bereichen müssen somit überwacht werden.
All diese Arten sind dazu geeignet Daten  abfließen zu lassen und Datentransaktionen in diesen Bereichen müssen somit überwacht werden.
    • USB-Sticks
:* USB-Sticks
    • Speicherkarten
:* Speicherkarten
    • externe Festplatten
:* externe Festplatten
    • E-Mails
:* E-Mails
    • Netzlaufwerke
:* Netzlaufwerke
    • Uploads in bspw. Cloud-Applikationen
:* Uploads in bspw. Cloud-Applikationen
    • Smartphones
:* Smartphones
    • Tablets
:* Tablets
    • Multifunktionsdrucker
:* Multifunktionsdrucker
    • Cut & Paste / Printscreen
:* Cut & Paste / Printscreen


Durch die verstärkte Möglichkeit mobil zu arbeiten und so unbeobachtet die Daten vom Bildschirm abzufotografieren, gibt es einen Weg, der nicht oder nur mit großem Aufwand erkannt werden kann.
Durch die verstärkte Möglichkeit mobil zu arbeiten und so unbeobachtet die Daten vom Bildschirm abzufotografieren, gibt es einen Weg, der nicht oder nur mit großem Aufwand erkannt werden kann.
Zeile 74: Zeile 70:
Seitdem Daten eine neue Form der Währung sind, häufen sich die Vorfälle von Datendiebstählen.
Seitdem Daten eine neue Form der Währung sind, häufen sich die Vorfälle von Datendiebstählen.
Anbei ein kleiner Auszug an bekannten Vorfällen, bei dem die Prävention nicht gegriffen hat:
Anbei ein kleiner Auszug an bekannten Vorfällen, bei dem die Prävention nicht gegriffen hat:
    • AOL-Accountdaten, 2004
:* AOL-Accountdaten, 2004
    • Steuerdaten der LGT Bank, 2006
:* Steuerdaten der LGT Bank, 2006
    • Steuerdaten der Credit Suisse, 2010
:* Steuerdaten der Credit Suisse, 2010
    • Steuerdaten der UBS, 2012
:* Steuerdaten der UBS, 2012
    • Sicherheitsrelevante Informationen des Flughafens London Heathrow, 2017
:* Sicherheitsrelevante Informationen des Flughafens London Heathrow, 2017
    • usw.
:* usw.


== Hinderungsgründe ==
== Hinderungsgründe ==

Aktuelle Version vom 22. April 2022, 19:54 Uhr

Definition

Hinter dem Akronym DLP werden die Begriffe Data Leakage Prevention oder auch Data Loss Prevention verstanden.
Beide Begriffe werden im Allgemeinen synonym verwendet. In Fachkreisen hingegen werden die beiden Begriffe manchmal jedoch differenziert.

In diesen Fällen bezeichnet Data Loss Prevention den Schutz vor unerwünschtem Abfluss von Daten, der Schaden verursacht.
Im Gegensatz zur Data Leakage Prevention wird dieser Abfluss allerdings bemerkt.

Data Leakage Prevention hingegen bezeichnet den Schutz vor einem potentiellen Abfluss von Daten.
Diesen Abfluss kann man nicht messen und manchmal sogar noch nicht einmal feststellen.
Beiden Begriffen ist jedoch gemein, dass ein ungewollter Datenabfluss verhindert werden soll.

Beim Begriff „DLP“ handelt es sich ursprünglich um einen Marketingbegriff - eine wissenschaftliche Definition des Begriffes „DLP“ existiert nicht.

Funktionen und Funktionsweise

Das Konzept von DLP geht davon aus, dass andere Schutzmechanismen wie Virenscanner oder Firewall versagen und deshalb das DLP-System eingreifen muss. Dies bedeutet, dass das DLP-System eine Vielzahl von Aufgaben und Funktionen haben kann:

  • Überwachung von Applikationen
  • Erkennung gefährlicher Applikationen
  • Überwachung von Datentransfers
  • Durchsetzung von Richtlinien beim Datenaustausch
  • Unterscheidung zwischen sensiblen und unkritischen Daten
  • Blockierung der Übertragung sensibler Daten
  • zentrale Erfassung der Datenbewegungen
  • Alarmierung bei kritischen Regelverstößen
  • usw.

Zusammengefasst bedeutet dies, dass DLP-Systeme sensible Daten identifizieren, Datenabflüsse protokollieren und möglichst den Abfluss sensibler Daten verhindern können müssen.

Um Datenabflüsse zu erkennen werden verschiedene Scan-Methoden durchgeführt:

  • Regelbasiertes Matching
Es wird nach Daten gesucht, die einem bestimmten Muster entsprechen z.B. IBAN, BIC.
  • Exact File Matching
Dateien werden anhand ihres Hash-Wertes erkannt. Die Untersuchung erfolgt also nicht auf Dateiinhalte.
  • Exact Data Matching
Kombinationen von Daten werden in einem Index zusammengefasst z.B. Name, Vorname, Adresse. Es wird nach diesen Daten in einer beliebigen Reihenfolge in einem maximal vorgegebenen Abstand gesucht.
  • Formulare
Dateien werden auf eine vorgegebenen Struktur / Muster hin untersucht z.B. Gehaltsabrechnungen.
  • Dateitypen
Spezielle Dateitypen dürfen das Netzwerk des Unternehmens nicht verlassen z.B. Konstruktionspläne
  • Maschinelles Lernen
Anhand von vielen Beispielen wird der Matcher trainiert, um selbstständig Entscheidungen zu treffen. Dieses Vorgehen kann bspw. bei der Erkennung von Quellcode genutzt werden.
  • usw.

Anwendungsbereiche

In der heutigen Zeit können Daten auf viele verschiedene Arten gespeichert und ausgetauscht werden. In diesem Zusammenhang werden folgende Arten unterschieden:

  • Data in Use / Daten in Benutzung
Es handelt sich hierbei um Daten, die zum Zeitpunkt des Abfluss aktiv genutzt werden z.B. Daten im RAM, Cache oder CPU-Registern.
  • Data in Motion / Daten in Bewegung
Es handelt sich hierbei um Daten, die zum Zeitpunkt des Abflusses über ein Netzwerk versendet werden z.B. Emails oder Uploads.
  • Data at Rest / Daten im Ruhezustand
Es handelt sich hierbei um Daten, die eigentlich zum Zeitpunkt des Abfluss ungenutzt wären, jedoch für den Abfluss verwendet werden z.B. Dateien, Datenbanken Backups.


All diese Arten sind dazu geeignet Daten abfließen zu lassen und Datentransaktionen in diesen Bereichen müssen somit überwacht werden.

  • USB-Sticks
  • Speicherkarten
  • externe Festplatten
  • E-Mails
  • Netzlaufwerke
  • Uploads in bspw. Cloud-Applikationen
  • Smartphones
  • Tablets
  • Multifunktionsdrucker
  • Cut & Paste / Printscreen

Durch die verstärkte Möglichkeit mobil zu arbeiten und so unbeobachtet die Daten vom Bildschirm abzufotografieren, gibt es einen Weg, der nicht oder nur mit großem Aufwand erkannt werden kann.

Vorteile beim Einsatz von DLP

Abbildung 1: DLP-Vorteile (Quelle: Eigene Darstellung)

Datendiebstahl-Vorfälle

Seitdem Daten eine neue Form der Währung sind, häufen sich die Vorfälle von Datendiebstählen. Anbei ein kleiner Auszug an bekannten Vorfällen, bei dem die Prävention nicht gegriffen hat:

  • AOL-Accountdaten, 2004
  • Steuerdaten der LGT Bank, 2006
  • Steuerdaten der Credit Suisse, 2010
  • Steuerdaten der UBS, 2012
  • Sicherheitsrelevante Informationen des Flughafens London Heathrow, 2017
  • usw.

Hinderungsgründe

Neben den Kosten und den üblichen technischen Problemen, die bei Einführung eines neuen Systeme auftreten können, muss bei einer DLP-Einführung auf den Datenschutz im Allgemeinen, den Arbeitnehmerdatenschutz im Speziellen und die daraus resultierende Abstimmung mit dem Betriebsrat geachtet werden.

Quellen

https://www.diva-portal.org/smash/get/diva2:1026824/FULLTEXT02

http://www.fim.uni-linz.ac.at/diplomarbeiten/Masterarbeit_BauerSimon.pdf

https://digitalguardian.com/blog/what-data-loss-prevention-dlp-definition-data-loss-prevention

https://de.wikipedia.org/wiki/Data_Loss_Prevention

https://de.wikipedia.org/wiki/Liste_von_Datendiebst%C3%A4hlen