Diese Webseite nutzt nur technisch notwendige Cookies – Datenschutzerklärung

Sinn und Unsinn von Data Loss Prevention + Umsetzung

Du hast die Anforderung bekommen eine Data Loss Prevention zu planen / umzusetzen?

… aber Du hast keinen Plan wie …

Hier ist Dein Guide für eine gelungene Umsetzung.

Starten wir

Inhalt verstecken
  1. 1 Was ist DLP?
  2. 2 Warum DLP einsetzen? – Pro
  3. 3 Warum DLP meistens sinnlos ist? – Contra
  4. 4 Einfacher Schutz: DLP-Grundlagen
    1. 4.1 Zugriffsschutz und Klassifizierung
    2. 4.2 Umfassendes Rollenmodell
    3. 4.3 Speicherort nur mit Vollverschlüsselung
    4. 4.4 Mehrfaches Backup – 3-Fach hält besser
    5. 4.5 Sichere Dekommissionierung
  5. 5 Erweiterter Schutz für Unternehmen mit kritischen Daten
    1. 5.1 Screening, Schwur und Spionage
    2. 5.2 Unterschätzte Personenkontrollen
    3. 5.3 Abgabe von Smartphones und Smartwatches
    4. 5.4 Einsichtnahme in das Büro
    5. 5.5 Anti-Kopierschutz und DRM
    6. 5.6 Schwache oder engmaschige Überwachung
    7. 5.7 Web / E-Mails mit klassifizierten Daten
    8. 5.8 Verpasse nicht

Was ist DLP?

DLP (Data Loss Prevention) ist ein Konzept sowie eine Technologie zur Verhinderung von Datenverlusten – also dem ungewollten, unbeabsichtigten oder auch böswilligen Abfluss sensibler Daten aus einem Unternehmen, einer Behörde oder Organisation.

Daten sollen nicht abhanden kommen ...
Daten sollen nicht abhanden kommen …

Ziel von DLP: Der Schutz von vertraulichen, personenbezogenen oder geschäftskritischen Informationen, z. B.:

  • Kundendaten (z. B. Name, Adresse, Kontodaten)
  • Gesundheitsdaten (gemäß DSGVO besonders schützenswert)
  • Geschäftsgeheimnisse, interne Dokumente
  • Quellcodes, Patente, Preisstrategien

Warum DLP einsetzen? – Pro

  • Schutz der Geschäftsgeheimnisse: Ein DLP ist sinnvoll, um Geschäftsgeheimnisse wie eine Rezeptur, Patent oder einen Prototyp zu sichern. Diese tragen für den Geschäftserfolg bei und sollen geheim bleiben. Das Unternehmen muss wissen, wer die geheimen Daten einsieht und wann Kopien erstellt werden.
  • Zeitvorsprung sichern: Wenn ein Smartphone releast wird, dann sind fast alle Geheimnisse mit dem neuen Modell veröffentlicht. Die anderen Hersteller kaufen sich das Produkt und analysieren die Komponenten und Software-Bestandteile. Ein DLP hilft dabei, dass die anderen Hersteller kein Vorabwissen erhalten. Ein Entwicklungszyklus bis zur Marktreife dauert normalerweise X Monate, sodass ein DLP einen Zeitvorsprung für das Unternehmen sichert.
  • Schutz der persönlichen Daten: Unternehmen arbeiten mit den persönlichen Daten von Kunden und Mitarbeitern und sie sind per Gesetz verpflichtet, die Daten zu schützen. Keiner möchte das die private Handynummer durch den Arbeitgeber „ins Netz verloren geht“.
Jeder Online Shop möchte unsere Daten. Speichern und verlieren?
Jeder Online Shop möchte unsere Daten. Speichern und verlieren?
  • Schutz vor Datenverlust: Unabsichtliches Löschen oder andere (Natur-)Katastrophen führen schnell zum Datenverlust. Ein richtiges DLP kann vor einem solchen Verlust schützen.
  • Klare Wissensstände: Nicht jeder soll alles im Unternehmen wissen. Deshalb kann ein Rollen- und Berechtigungsmodell im Unternehmen Wissen korrekt steuern.

Warum DLP meistens sinnlos ist? – Contra

  • Umsetzung schwierig: Ein umfassender Schutz ist nahezu unmöglich. Wenn ein Insider schlechte Intentionen hat (keine Gehaltserhöhung, Spionage), dann schauen viele technische Maßnahmen alt aus.
  • Umsetzung teuer: Die technischen und personellen Maßnahmen sind enorm, um ein effektives DLP aufzustellen. Selbst wenn wir davon ausgehen, dass wir keine Insider im Unternehmen haben, ist es eine teure Angelegenheit.
  • Alle Bereiche: Ein DLP betrifft alle Bereiche des Unternehmens. Nicht nur die Technik, die das illegale Abzapfen von Daten verhindert, gehört zum DLP, sondern auch Verhaltensregeln und Prozesse.
  • Schützenswert genug: Viele CEOs überschätzen den Wert der Daten, die sie speichern. Mit Data-Mining könnte man einen Mehrwert generieren, aber oft passiert das nicht. Solange Dein Unternehmen keinen militärischen Prototypen oder geheime Patente / Rezeptur speichert, reicht ein einfacher Schutz aus (siehe unten).
Aus Daten Wissen und Wissen Geld machen. Geht aber schwierig

Einfacher Schutz: DLP-Grundlagen

Zugriffsschutz und Klassifizierung

Daten kannst Du mit AES verschlüsseln, sodass nur Personen mit dem gleichen Passwort an die Daten können. Datei-Clouds, Wikis und Datenbanken ermöglichen oft das Verwalten von Zugriffsmodellen. Du kannst einzelne Dokumente(sammlungen) an bestimmte Personen oder Personengruppen freigeben.

Grundsätzlich haben alle auf nichts Zugriff. Jemand der die Datei erstellt / hochlädt, legt die Berechtigungen für andere fest. Die Klassifizierung in öffentlich, intern, geheim und streng geheim hilft dabei, den Zugriffsschutz richtig zu definieren.

Umfassendes Rollenmodell

Selbst ein Administrator hat keinen vollen Zugriff auf alles. Seine Aufgabe ist es die Benutzerkonten zu verwalten. Den Zugriff auf die Dateien hat er nicht.

Der Admin teilt einzelne Nutzer Rollen wie Auditor (nur Lesezugriff), Ingenieur (Lese- und Schreibzugriff Ordner Pläne) zu. Eine Person kann mehrere Rollen oder Einzelberechtigung für einzelnen Dateien aus anderen Bereichen haben.

Zugriffsrechte festlegen

Speicherort nur mit Vollverschlüsselung

Bei Standard Betriebssysteminstallationen liegen die Daten unverschlüsselt vor. Die Systeme sind „auf dem üblichen Weg“ mit einem Passwort geschützt, aber nicht sicher gegen einen Live-USB-Stick. Nur eine echte Vollverschlüsselung der Festplatte verhindert einen Datenabfluss.

Mehrfaches Backup – 3-Fach hält besser

Kriminelle können auch die Festplatten ganz stehlen und versuchen später die Daten in Ruhe zu stehlen. Alte Verschlüsselung können heutzutage mit wenige Rechnzeit geknackt werden. Ein Backup an einem anderen Ort ist das Minimum, um die Daten zu behalten

Sichere Dekommissionierung

Wenn Altgeräte das Unternehmen verlassen, verlassen Daten bei vielen Unternehmen das Gebäude. Ein sicheres Löschen von Festplatten, SDDs und anderen Speichermedien in allen Geräte ist Pflicht. Nicht alle Geräte sind „sicher löschbar“, hier hilft nur einen zerstören des Speicherbauteils.

Erweiterter Schutz für Unternehmen mit kritischen Daten

Entscheidung zwischen einfachen Schutz und „erweiterter“ Schutz – Der Aufwand für eine sichere DLP steigt enorm an, wenn man sich um echten Schutz bemüht:

Screening, Schwur und Spionage

Geheime Dateien sollten nur vertrauenswürdige Personen einsehen.

  • Was macht der Mitarbeiter in der Freizeit?
  • Bekommt dieser ein zweites Gehalt vom Feind?
  • In welchen Vereinen engagiert sich die Person?
  • Welche Arbeit hat die Person vor diesem Job?

Eine Sicherheitsüberprüfung Ü3 nach dem Verfassungsschutz ermöglicht die Einsichtnahme in Verschlusssachen. Deutsche Privatunternehmen dürfen aus Datenschutzgründen fast gar nicht screenen (bis aus Führungszeugnis), solange keine staatlichen Themen behandelt werden.

Unterschätzte Personenkontrollen

Nicht jeder darf und soll sich im Büro aufhalten, wo der Kriminelle einen schnellen Blick auf den Monitor erhaschen kann. Jede Person muss sich einzeln ausweisen (Besitz) und mit einem Passwort (Wissen) und Fingerabdruck (Biometrie) sich Zugang zu dem Bereich verschaffen. Das hört sich nach Agentenfilm an, aber eine Industrie Spionage als Handwerker / Reinigungskraft ist keine Seltenheit.

Abgabe von Smartphones und Smartwatches

Jeder nimmt sein privates Smartphone überall mit. Ein Schnappschuss vom Bildschirm ist auch ein Datenverlust für das Unternehmen.

Deshalb müssen technische Geräte draußen bleiben. Das Gleiche gilt für Speichermedien. Edward Snowden hat den Großteil der NSA-Dokumente auf einer kleinen microSD-Karte versteckt und in einem Rubics Cube herausgeschmuggelt. Hätten die Computer im Büro externe Datenträger aktiv unterbunden, wäre der Datenabfluss nicht geschehen.

Einsichtnahme in das Büro

Viele Büros haben große Glasfronten, um viel Licht in das Büro zu lassen. Genauso lassen die Fenster neugierige Blicke durch.

Wenn der Monitor entsprechend seitlich / schräg zum Fenster positioniert ist, ist eine Einsichtnahme per Fernglas möglich. Normen wie die TISAX empfehlen deshalb Büros in erhöhten Stockwerken oder Milchglasfolie an den Scheiben.

Was machst Du in Deinem Büro? Ferngläser helfen bei der Einsichtnahme

Anti-Kopierschutz und DRM

Web Anwendungen können das Kopieren von Dokumenten massiv erschweren. Die Dokumente laden in vielen Schnipseln, sodass ein Zusammensetzen mühselig wird. Die klassischen Strg+C / Strg+V Tastenkürzel zum Kopieren funktionieren nicht.

Ein DRM-Schutz (Digital Rights Management) verhindert, dass Bildschirmaufzeichnungssoftware nur geschwärzte Inhalte abspeichern können. Kopierschutz am Computer ist ein Katz-und-Maus-Spiel. Mit genügend Energie und Programmierfähigkeit ist jeder Kopierschutz knackbar.

Schwache oder engmaschige Überwachung

Die Software protokolliert genau, wer wann wie auf eine Datei zugegriffen hat. Das ermöglicht dem Prüfer auch die Arbeitszeit / Arbeitsverhalten zu kontrollieren. Eine engmaschige Überwachung könnte in Konflikt mit dem Arbeitnehmerdatenschutz in Deutschland kommen. Pseudonyme ermöglichen eine Kontrolle, die nur die HR-Abteilung in echte Namen umwandeln kann.

Web / E-Mails mit klassifizierten Daten

Ein Mitarbeiter kann klassifizierte streng geheime Dateien auch per Mail oder Cloud (Dropbox / Nextcloud) aus dem Unternehmen bekommen. Der Kopierschutz ist nur mit dem passenden DLP System gewährleistet, welche das Teilen mit unberechtigten verhindert.

Verpasse nicht

  1. Datenschutzerklärung & Impressum
    Datenschutzerklärung & Impressum
  2. Übersicht Gesetze und Regeln EU / Deutschland für die IT
    Übersicht Gesetze und Regeln EU / Deutschland für die IT
  3. Hackerangriff was tun - Hacking Series Steffen Lippke
    Hackerangriff was tun? Wie Hacker herausfinden?
  4. Internen Audit ISO 27001 - Steffen Lippke Security and Hacking Series
    Warum Interne Audits oft scheitert – und wie du…
  5. Privacy by Design - Steffen Lippke Security and Hacking Series
    Privacy by Design in der Software Entwicklung (9 Tipps)
  6. Risikomanagement meistern - Steffen Lippke Security and Hacking Series
    Warum Unternehmen mit Risikomanagement scheitern (Chance?)
  7. Home Office Sicherheit - Hacking Series Steffen Lippke
    Homeoffice Sicherheit – TOP 14 Punkte Checklist (2026)
  8. IT Sicherheit im Unternhemen oder Privat - Hacking Series Tutorial Steffen Lippke
    IT-Sicherheit im Unternehmen vs. Privat?…
  9. Papierloses Büro - Coding Tutorials Steffen Lippke
    Papierloses Büro – Einfach und Sicher zum Digitalen Büro
  10. ISMS erklärt 27000 - Steffen Lippke Hacking Series
    Was ist ein ISMS – einfache Erklärung ISO 27001 / 27002

Author:

Steffen Lippke

Categories:

,

Updated:

Tags:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  1. Übersicht Gesetze und Regeln EU / Deutschland für die IT
    Übersicht Gesetze und Regeln EU / Deutschland für die IT
  2. ISMS erklärt 27000 - Steffen Lippke Hacking Series
    Was ist ein ISMS – einfache Erklärung ISO 27001 / 27002
  3. Hackerangriff was tun - Hacking Series Steffen Lippke
    Hackerangriff was tun? Wie Hacker herausfinden?