Die 8 besten Lösungen zur Verhinderung von Datenverlust, mit denen Sie Millionen sparen können

von

Die wertvollsten Unternehmensressourcen sind oft die am schwierigsten zu sichernden.

Es geht um Daten, die essenzielle Grundlage, die das Nervensystem jedes Unternehmens am Laufen hält. Zum Glück existiert eine ganze Branche, die sich darauf spezialisiert hat, Unternehmen bei der Vermeidung von Datenverlusten zu unterstützen. Diese Branche wird von einer Reihe von Anbietern dominiert, die eine Technologie namens Data Loss Prevention, kurz DLP, anbieten.

DLP-Technologien erfüllen zwei Hauptaufgaben:

  • Identifizierung der sensiblen Daten, die es zu schützen gilt.
  • Verhinderung des Verlustes dieser Daten.

Die Arten von Daten, die geschützt werden, lassen sich in drei Hauptkategorien einteilen:

  • Daten in Gebrauch
  • Daten in Bewegung
  • Ruhende Daten

Daten in Gebrauch beziehen sich auf aktive Daten, meistens Daten, die sich im RAM, in Cachespeichern oder in CPU-Registern befinden.

Daten in Bewegung sind Daten, die über ein Netzwerk übertragen werden, sei es ein internes und gesichertes Netzwerk oder ein ungesichertes öffentliches Netzwerk (Internet, Telefonnetz usw.).

Ruhende Daten sind Daten, die sich in einem inaktiven Zustand befinden und entweder in einer Datenbank, einem Dateisystem oder einer Speicherinfrastruktur gespeichert sind.

Im Hinblick auf den Abdeckungsbereich lassen sich DLP-Lösungen in zwei Kategorien einteilen:

  • Enterprise DLP (EDLP)
  • Integriertes DLP (IDLP)

EDLP-Lösungen decken das gesamte Spektrum an Streuvektoren ab. IDLP-Lösungen hingegen konzentrieren sich auf ein einzelnes Protokoll oder nur auf eine der drei zuvor genannten Datenarten. Beispiele für IDLP-Lösungen sind Websicherheit, E-Mail-Verschlüsselung und Gerätesteuerung.

Was zeichnet eine hervorragende DLP-Lösung aus?

Es gibt keine Universallösung für DLP. Die ideale Lösung hängt von zahlreichen Faktoren ab, darunter die Größe des Unternehmens, das Budget, die Arten sensibler Daten, die Netzwerkinfrastruktur und die technischen Anforderungen. Die Wahl der passenden Lösung erfordert sorgfältige Analyse und Recherche, um die besten DLP-Ansätze, Erkennungsmethoden und Lösungsarchitekturen zu ermitteln.

Nachdem Sie Ihre Anforderungen analysiert und recherchiert haben, sollte Ihre ideale DLP-Lösung die optimale Balance folgender Aspekte bieten:

  • Umfassende Abdeckung: DLP-Komponenten sollten das Netzwerk-Gateway umfassen, um den gesamten ausgehenden Datenverkehr zu überwachen und Lecks in E-Mails und Web-/FTP-Datenverkehr zu verhindern. Sie sollten auch gespeicherte Daten auf allen Speicherressourcen und Endpunkten abdecken, um Datenverluste bei der Nutzung zu vermeiden.
  • Zentrale Verwaltungskonsole: Die Verwaltung einer DLP-Lösung erfordert Zeit und Aufwand für die Systemkonfiguration/-wartung, Richtlinienerstellung/-verwaltung, Berichterstellung, Vorfallmanagement/-triage, Risikofrüherkennung/-minderung und Ereigniskorrelation. Diese Bereiche sollten über eine zentrale Verwaltungskonsole zugänglich sein, um unnötige Risiken zu vermeiden.
  • Vorfallmanagement zur Einhaltung von Vorschriften: Wenn ein Datenverlust auftritt, ist dessen angemessene Handhabung entscheidend. Datenverluste sind unvermeidlich, aber der Unterschied zwischen hohen Strafen und einer Verwarnung liegt in der Art und Weise, wie ein solcher Vorfall behandelt wird.
  • Präzision der Erkennungsmethoden: Dieser Aspekt unterscheidet gute von schlechten DLP-Lösungen. DLP-Technologien nutzen verschiedene Erkennungsmethoden, um sensible Daten zu identifizieren. Der Musterabgleich mit regulären Ausdrücken ist eine weit verbreitete Methode, die aber oft ungenau ist und zu vielen Fehlalarmen führt. Hochwertige DLP-Technologien sollten andere Erkennungsmethoden hinzufügen, um die Genauigkeit zu verbessern.

Wichtige DLP-Ansätze

Als DLP-Lösungen auf den Markt kamen, versuchten alle Anbieter, die gesamte Unternehmensinfrastruktur mit ihren Komponenten abzudecken. Mittlerweile haben sich die Ansätze diversifiziert und nicht alle Anbieter verfolgen die gleiche Strategie. Diese Ansätze lassen sich in zwei Hauptkategorien einteilen:

  • Traditionelles DLP
  • Agent-basiertes DLP

Traditionelles DLP wird von Anbietern wie Forcepoint, McAfee und Symantec angeboten. Dieser Ansatz verfolgt mehrere Stränge und deckt das Netzwerk-Gateway, die Speicherinfrastruktur, die Endpunkte und die Cloud ab. Dieser Ansatz war erfolgreich und prägte den heutigen DLP-Markt maßgeblich.

Der zweite Ansatz ist das Agent-basierte DLP (ADLP), das Endpoint-Agenten auf Kernel-Ebene einsetzt, um alle Benutzer- und Systemaktivitäten zu überwachen. Daher werden Lösungen mit diesem Ansatz oft auch als Endpoint-DLP-Lösungen bezeichnet.

Die Auswahl des besten Ansatzes hängt stark von den zu schützenden Datentypen, der Branche und den Gründen für den Datenschutz ab. Unternehmen im Gesundheits- und Finanzwesen müssen beispielsweise DLP zur Einhaltung von Vorschriften einsetzen. Diese Unternehmen benötigen eine DLP-Lösung, die persönliche und Gesundheitsinformationen über verschiedene Kanäle und in unterschiedlichen Formaten erkennen kann.

Wenn ein Unternehmen jedoch sein geistiges Eigentum schützen möchte, sind spezialisiertere Erkennungsmethoden erforderlich. Die genaue Erkennung und der Schutz sensibler Daten ist dann deutlich schwieriger. Nicht alle traditionellen DLP-Lösungen bieten die passenden Werkzeuge für diese Aufgabe.

DLP-Architektur: Die Komplexität meistern

DLP-Technologien sind komplex und erfordern Inputs aus vielen unterschiedlichen Bereichen: Web, E-Mail, Datenbanken, Netzwerke, Sicherheit, Infrastruktur, Speicherung usw. Die Auswirkungen einer DLP-Lösung können auch nicht-IT-Bereiche wie Recht, Personalwesen und Risikomanagement betreffen. Zudem sind DLP-Lösungen oft schwierig zu implementieren, zu konfigurieren und zu verwalten.

Traditionelle DLP-Lösungen erhöhen die Komplexität zusätzlich, da sie mehrere Geräte und Softwarekomponenten benötigen, darunter Appliances (virtuell oder physisch) und Server.

Die Netzwerkinfrastruktur des Unternehmens muss diese Geräte integrieren, was die Überprüfung des ausgehenden Netzwerkverkehrs und die E-Mail-Blockierung umfasst. Nach der Integration folgt eine weitere Komplexitätsebene: die Verwaltung, die je nach Anbieter variiert.

Agent-basierte DLP-Lösungen sind meist weniger komplex, da sie weniger oder gar keine Netzwerkintegration erfordern. Diese Lösungen interagieren jedoch auf Kernel-Ebene mit dem Betriebssystem, sodass eine fortgeschrittene Optimierung erforderlich ist, um Konflikte mit dem Betriebssystem und anderen Anwendungen zu vermeiden.

DLP-Anbieter im Detail:

Acronis DeviceLock

Acronis DeviceLock Data Loss Prevention bietet eine umfassende Endpoint-Lösung, die sensible Daten schützt und gleichzeitig Informationsoperationen überwacht. Verhindern Sie Datenlecks, indem Sie unbefugte Versuche blockieren, Daten zu übertragen oder darauf zuzugreifen.

Erhalten Sie Einblicke in den Datenschutz, dessen Abläufe und das Nutzerverhalten. Reduzieren Sie die Komplexität des Datenschutzes und die Berichtszeiten. Erfüllen Sie IT-Sicherheitsvorschriften und -standards und minimieren Sie das Risiko von Datenlecks durch die Steuerung und Durchsetzung von Richtlinien zur Datennutzung.

Profitieren Sie von unterbrechungsfreien Upgrades und nativer Integration mit Gruppenrichtlinien. Acronis DeviceLock bietet zentrale Verwaltungskonsolen, die sich Ihren Unternehmensbedürfnissen anpassen. Sie können Benutzeraktivitäten überwachen, Protokolle sammeln, Berichterstellungstools nutzen, Protokollaufzeichnungen einsehen und eine modulare Architektur zur Kontrolle der Gesamtbetriebskosten (TCO) verwenden.

Ermöglichen Sie notwendige Operationen für Ihre Geschäftsprozesse und minimieren Sie interne Bedrohungen. Acronis DeviceLock bietet Lösungen für Microsoft RDS, Citrix XenApp, Citrix XenDesktop, VMware Workstation-Player, Windows Virtual PC, Oracle VM VirtualBox, VMware Workstation und VMware Horizon. Sie können auch Datenspiegelung, Warnungen, Protokollierung, Kontext- und Inhaltserkennung steuern.

Registrieren Sie sich für eine 30-tägige KOSTENLOSE Testversion.

ManageEngine

ManageEngine Device Control Plus schützt Ihre Daten vor Bedrohungen, indem Sie Geräten rollenbasierte Zugriffskontrollen zuweisen, sie vor Malware-Angriffen schützen und sie analysieren können.

Die Verwendung von Wechseldatenträgern wie USB-Sticks kann zu Datenverlusten führen, aber es gibt auch andere Risiken. Device Control Plus verhindert den unbefugten Zugriff auf Geräte. Setzen Sie einfache Richtlinien durch, wie z.B. schreibgeschützten Zugriff, das Blockieren des Kopierens von Dateien von Wechseldatenträgern und mehr.

Sie können Dateityp und -größe basierend auf den Daten einschränken, die Ihr Unternehmen verarbeitet. Gewährleisten Sie Echtzeit-Datenschutz, indem Sie die Übertragung von Daten begrenzen. Das Identifizieren und Entfernen von bösartigen Geräten ist eine komplexe Aufgabe. Erstellen Sie eine Liste vertrauenswürdiger Geräte, um sicherzustellen, dass nur autorisierte Geräte auf die Endpunkte zugreifen können.

Verfolgen Sie mit Berichten und Audits, wer das Gerät an welchem Endpunkt verwendet, um Hacking-Versuche zu überwachen. Das Tool bietet auch sofortige Warnungen bei unbefugtem Zugriff. Laden Sie die Software herunter und nutzen Sie die Funktionen für eine 30-tägige KOSTENLOSE Testversion.

Digital Guardian

Digital Guardian wurde 2003 als Verdasys gegründet, mit dem Ziel, Technologie zur Verhinderung des Diebstahls geistigen Eigentums bereitzustellen. Das erste Produkt war ein Endpoint-Agent zur Überwachung von Benutzer- und Systemaktivitäten.

Die Lösung protokolliert nicht nur illegale, sondern auch scheinbar harmlose Aktivitäten, um verdächtige Aktionen zu erkennen. Der Protokollbericht kann analysiert werden, um Ereignisse zu erkennen, die TDLP-Lösungen nicht erfassen.

DG erwarb Code Green Networks, um seine ADLP-Lösung mit traditionellen DLP-Tools zu ergänzen. Es gibt jedoch wenig Integration zwischen den ADLP- und TDLP-Lösungen von DG. Sie werden sogar separat verkauft.

Forcepoint

Forcepoint ist im „magischen Quadranten“ von Gartner für TDLP-Anbieter sehr gut positioniert. Die Sicherheitsplattform umfasst URL-Filterung, E-Mail- und Websicherheit. Diese Tools werden durch Lösungen von Drittanbietern ergänzt: SureView Insider Threat Technology, Stonesoft NGFW von McAfee und Skyfence CASB von Imperva.

Die Architektur der Forcepoint-Lösung ist im Vergleich zu anderen Lösungen einfach. Sie umfasst Server für die Verwaltung, Überwachung des Daten- und Netzwerkverkehrs sowie E-Mail-Blockierung/Überwachung des Webverkehrs. Die Lösung ist benutzerfreundlich und enthält viele Richtlinien, die nach Land, Branche usw. kategorisiert sind.

Einige Funktionen machen die Forcepoint DLP-Lösung besonders, zum Beispiel die OCR-Fähigkeit zur Erkennung sensibler Daten in Bilddateien oder die Risikoeinstufung von Vorfällen, um Systemadministratoren zu helfen, die wichtigsten Vorfälle zu priorisieren.

McAfee

Seit der Übernahme durch Intel hat McAfee nicht viel in sein DLP-Angebot investiert. Die Produkte erhielten daher nicht viele Updates und verloren gegenüber konkurrierenden DLP-Produkten an Boden. Nachdem Intel seine Sicherheitssparte ausgegliedert hatte, wurde McAfee wieder ein eigenständiges Unternehmen und die DLP-Produktlinie erhielt einige notwendige Updates.

Die McAfee DLP-Lösung besteht aus drei Hauptteilen:

  • Netzwerkabdeckung
  • Datenentdeckung
  • Endpunktschutz

Eine besondere Komponente ist der McAfee DLP Monitor. Diese Komponente ermöglicht die Erfassung von Daten aus Vorfällen, die durch Richtlinienverstöße ausgelöst wurden, zusammen mit dem gesamten Netzwerkverkehr. So können die meisten Daten geprüft und Vorfälle aufgedeckt werden, die andernfalls unbemerkt blieben.

McAfees ePolicy Orchestrator übernimmt den Großteil der Verwaltung der DLP-Lösung. Einige Verwaltungsaufgaben müssen aber weiterhin außerhalb des Orchestrators erledigt werden. Das Unternehmen muss sein DLP-Angebot noch vollständig integrieren. Ob dies in Zukunft geschehen wird, ist noch nicht bekannt.

Symantec

Symantec ist dank kontinuierlicher Innovationen Marktführer im Bereich DLP-Lösungen. Das Unternehmen verfügt über die größte installierte Basis aller DLP-Anbieter. Die Lösung ist modular aufgebaut, wobei für jede Funktion eine andere Softwarekomponente benötigt wird. Die Komponentenliste ist beeindruckend, darunter Network Prevent for Web, Network Prevent for Email, Network Monitor, Endpoint Prevent, Data Insight, Endpoint Discover usw.

Die Data-Insight-Komponente bietet Einblick in die Nutzung, den Besitz und die Zugriffsberechtigungen unstrukturierter Daten. Dieser Vorteil lässt es mit Produkten außerhalb des DLP-Bereichs konkurrieren und bietet einen zusätzlichen Wert für Organisationen, die diese Funktion nutzen können.

Symantecs DLP kann umfassend angepasst werden. Fast jede Funktion hat eigene Konfigurationen, die ein hohes Maß an Richtlinienoptimierung ermöglichen. Dieser Vorteil führt jedoch zu einer größeren Komplexität. Die Lösung ist wahrscheinlich die komplexeste auf dem Markt und kann viele Stunden für die Bereitstellung und den Support benötigen.

RSA

Die DLP-Lösung von EMC, RSA Data Loss Prevention, ermöglicht die Erkennung und Überwachung sensibler Daten wie geistiges Eigentum, Kundenkreditkarten usw. Die Lösung hilft Endbenutzern bei der Schulung und Durchsetzung von Kontrollen in E-Mail, Internet, Telefonen usw., um das Risiko der Gefährdung kritischer Daten zu minimieren.

RSA Data Loss Prevention zeichnet sich durch umfassende Abdeckung, Plattformintegration und Workflow-Automatisierung aus. Es kombiniert Inhaltsklassifizierung, Fingerprinting, Metadatenanalyse und Expertenrichtlinien, um vertrauliche Informationen präzise zu identifizieren.

Die umfassende Abdeckung von EMC umfasst viele Risikovektoren, nicht nur E-Mail, Web und FTP, sondern auch soziale Medien, USB-Geräte, SharePoint usw. Der Ansatz mit Fokus auf Benutzerschulung soll das Risikobewusstsein der Endbenutzer verbessern und ihr Verhalten im Umgang mit sensiblen Daten lenken.

CA Data Protection

CA Data Protection (Broadcoms DLP-Angebot) fügt eine vierte Datenklasse hinzu – neben In-Use, In-Motion, At-Rest – die geschützt werden muss: On-Access. Der Fokus liegt auf dem Speicherort, der Handhabung und der Sensibilität der Daten. Ziel der Lösung ist es, Datenverlust und -missbrauch zu reduzieren, indem nicht nur die Informationen, sondern auch der Zugriff darauf kontrolliert werden.

Die Lösung soll Netzwerkadministratoren helfen, das Risiko für ihre wichtigsten Ressourcen zu reduzieren, Informationen unternehmensweit zu kontrollieren, risikoreiche Kommunikationsmodi zu mindern und die Einhaltung gesetzlicher und Unternehmensrichtlinien zu ermöglichen. Sie bildet auch die Grundlage für den Übergang zu Cloud-Diensten.

Millionen sparen oder Millionen kosten?

Die beste DLP-Lösung kann tatsächlich Millionen sparen. Wenn Sie jedoch nicht die richtige Lösung wählen oder sie nicht richtig einsetzen, kann sie auch Millionen kosten. Die Auswahl einer DLP-Lösung ist mehr als nur ein Vergleich der Funktionen.

Seien Sie bereit, viel Aufwand zu betreiben, um nicht nur eine DLP-Lösung nach dem Kauf zu implementieren, sondern auch alle Angebote zu analysieren und dasjenige auszuwählen, das am besten zu Ihrem Unternehmen passt.

Weitere Artikel:

  1. 9 WordPress WAF zur Verhinderung von Sicherheitsbedrohungen
  2. Leitfaden zur Verhinderung von Netzwerkangriffen
  3. Stellen Sie den besten Produktfotografen für Ihre Millionen-Dollar-Idee ein [9 Resources]
  4. Erstellen Sie atemberaubende Trainingsvideos und verdienen Sie Millionen [9 Software]