„8.12 Data leakage prevention“ gehört zu den neuen Controls der ISO/IEC 27002:2022, die es in der bisherigen Version der Norm in dieser Form nicht gab. Data Leakage Prevention ist ein Feature in der Informationssicherheit, das sich in den letzten Jahren verstärkt in den Vordergrund gedrängt hat und das vielen Herstellern von Tools für die Informationssicherheit angeboten wird. Insbesondere mit der steigenden Nutzung von z. B. Cloud-Diensten (siehe hierzu auch Control 5.23 sowie unseren Blogbeitrag) steigt das Erfordernis, sensible Unternehmensdaten vor einem unberechtigten Abfluss zu schützen.
Data Leakage Prevention vs. Data Loss Prevention
Bevor die Anforderungen der Norm hierzu betrachtet werden, sollte jedoch eine Begriffsbestimmung vorgenommen werden, da es oft eine Vermischung von „Data Leak / Leakage Prevention“ und „Data Loss Prevention“ gibt (bei beiden Begriffen wird dann auch noch des Öfteren „Prevention“ durch „Protection“ ersetzt) und die Abkürzung DLP in beiden Fällen verwendet wird:
Beide Begriffe sind sehr eng verwandt und in der Praxis ist es auch nicht immer einfach, hier eine genaue Grenze zu ziehen. Grundsätzlich soll die „Data Leakage Prevention“ verhindern, dass sensible Daten aus dem Unternehmen heraus zu unberechtigten Dritten abfließen. Es werden hierzu Methoden eingesetzt, die den Umgang mit sensiblen Daten im Unternehmen überwachen und bei Übertragung solcher Daten nach außerhalb Alarm schlagen.
Demgegenüber soll die „Data Loss Prevention“ die Daten vor Verlust aufgrund von Hardwarefehlern, natürlichen Katastrophen und Malware-Angriffen schützen.
Grundsätzliches zum Control 8.12
Das Ziel dieses Controls ist es, dass der Abfluss von sensiblen Daten an unbefugte Dritte aufgedeckt und verhindert wird. Im Gegensatz zu Firewalls, Virenscannern und ähnlichen Maßnahmen, die Angriffe von außen abwehren sollen, setzt Data Leakage Prevention bei der internen Organisation an.
Es gibt im Wesentlichen vier Wege, wie sensible Daten aus einem Unternehmen abfließen können:
- Die unbeabsichtigte Verletzung, z. B. wenn E-Mails mit sensiblen Daten aus Versehen an den falschen Empfänger gesendet werden.
- Der Innentäter, bspw. ein verärgerter Mitarbeiter, der bewusst sensible Daten an unbefugte Dritte übermittelt.
- Ein Datenabfluss durch Malware.
- Ein Datenabfluss durch Phishing und Social Engineering.
Implementierung von Data Leakage Prevention
Bei Data Leakage Prevention stehen insbesondere die internen IT- Systeme und Netzwerke sowie Cloud-Dienste im Vordergrund, welche auf den Abfluss von sensiblen Unternehmensdaten überwacht werden sollen. Um dies zu erreichen, sollten diese zunächst einmal identifiziert und auch klassifiziert werden – eine Tätigkeit, die bei vielen Unternehmen nicht trivial und auch zeitaufwendig ist. Zum Teil können Tools hierbei unterstützen, häufig bleibt aber trotzdem ein größerer manueller Aufwand übrig.
Nachdem dieser Schritt vollzogen wurde, sollten die Kanäle, über die Datenlecks auftreten können, überwacht werden. Dies können bspw. E-Mails, Cloud-Speicher, mobile Geräte, USB-Sticks und sonstige Arten von Dateiübertragungen sein. Die Norm empfiehlt dazu den Einsatz entsprechender Tools. Diese analysieren dann z. B. den Upload von sensiblen Daten in Cloud-Dienste oder die Versendung per E-Mail. Bei Auffälligkeiten, die von den aufgestellten Regeln abweichen, muss dann proaktiv Alarm geschlagen und definierte Personengruppen, z. B. die Administratoren, benachrichtigt werden.
Auch sollten solche Tools in der Lage sein, Benutzeraktionen so zu reglementieren, dass bei einem Fernzugriff ein Bearbeiten der Daten möglich ist, aber das Kopieren außerhalb des Unternehmens unterbunden oder die Übertragung von sensiblen Daten auf Mobilgeräte geblockt wird.
Flankiert werden sollten diese Maßnahmen durch eine strikte Anwendung des „need-to-know“-Prinzips bei der Vergabe von Berechtigungen sowie starke Authentisierungstechniken. Backups mit sensiblen Daten sollten nach Möglichkeit verschlüsselt werden.
Der Einsatz solcher Tools kann natürlich nicht verhindern, dass sensible Daten vom Bildschirm mit einer Mobiltelefon-Kamera abfotografiert werden. Daher setzt die Norm darauf, entsprechende Verbote in den Nutzungsbedingungen oder Richtlinien zu erfassen und in den Awareness-Schulungen darauf hinzuweisen.
Es gibt zudem eine Vielzahl einschlägiger Rechtsvorschriften, insbesondere zum Datenschutz und zu arbeitsrechtlichen Themen, die berücksichtigt werden müssen.
In Zusammenhang mit der Einführung von Data Leakage Prevention sind auch weitere Controls wie z. B. „5.12 Classification of information“ (Informationsklassifizierung) und „5.15 Access control“ (Zugangskontrolle) zu beachten.
Fazit
Unerwünschter Datenabfluss kann für Unternehmen weitreichende Folgen haben, so kann bspw. der Diebstahl von sensiblen Daten zu finanziellen Auswirkungen (Lösegeld für die Daten), Imageverlust und auch zu rechtlichen Konsequenzen führen. Auch wenn die Einführung von Data Leakage Prevention im Unternehmenskontext arbeitsintensiv und mit Kosten verbunden ist, muss dies dem gegenübergestellt werden, was ein Abfluss von sensiblen Daten für das Unternehmen bedeuten würde, um eine fundierte Entscheidung dafür oder dagegen zu fällen. Betreiber von ISO/IEC 27001-zertifizierten Managementsystemen werden sich nach der Neuauflage bzw. durch die Aufnahmen von Data Leakage Prevention in die Controls zwangsläufig mit diesem Thema beschäftigen müssen.
Wie zu erkennen ist, führt die Einführung von Data Leakage Prevention im Unternehmen schon dazu, dass die (Online-)Aktivitäten der User überwacht und reglementiert werden. Darum sollten vor der Implementierung alle rechtlichen Anforderungen geklärt und der Datenschutzbeauftragte sowie ggf. auch der Betriebsrat informiert und etwaige Bedenken offen diskutiert werden.