ISSS Zürcher Tagung 2010 zum Thema Data Leakage Prevention

ISSS Zürcher Tagung 2010 zum Thema Data Leakage Prevention

Artikel erschienen in IT Magazine 2010/07

Schutzmechanismen als Teil der Daten

Der zweite Teil der Veranstaltung behandelte die Möglichkeiten der technischen Umsetzung von DLP. Sandy Porter, Head of Identity and Security bei Avoco Secure, ging in seiner Keynote insbesondere auf die Zukunft von DLP ein. Ausgehend von den klassischen DLP-Massnahmen wie Verschlüsselung der Daten auf dem Überragungsweg, Verschlüsselung der Datenträger und strikten Access-Control Mechanismen argumentierte Porter, dass diese unter Berücksichtigung der immer stärkeren Auflösung der klassischen Security-Perimeter (Stichwort Cloud) und modernen Formen der Zusammenarbeit in Zukunft nicht mehr genügen. Seine Vision ist es deshalb, dass die Schutzmechanismen ein inhärenter Teil der Daten selbst sein müssen, wodurch die Daten selbst hinsichtlich Vertraulichkeit und Integrität konsequent geschützt sind und zwar unabhängig davon, wo sich die Daten gerade befinden oder über welchen Überragungskanal sie gerade gesendet werden. Es gibt heute zwar bereits Rights-Management Systeme, die diesen Ansatz verfolgen, diese sind aber noch weit davon entfernt, einfach, universal (und damit auch über Unternehmensgrenzen hinweg) und flexibel eingesetzt zu werden. Die Vision von Sandy Porter geht entsprechend über heute gebräuchliche Systeme hinaus.


Daten finden, klassifizieren, überwachen

Johann Petschenka, Channel Manager für internationale Sales Partner bei Secude IT Security GmbH, ging auf die goldenen Regeln der Data Loss Prevention ein. Diese zehn einfach verständlichen und prägnant formulierten Regeln sind eine praktische Hilfestellung, wenn man selbst an die Einführung von DLP-Massnahmen denkt oder die bestehenden Massnahmen optimieren möchte. Die Regeln decken nicht nur technische Aspekte (wie zentrale Benutzerverwaltung, Endpoint-Security, Datenträgerverschlusselung und Access-Control) und organisatorische Aspekte (zum Beispiel Risikoabschätzung, Identifikation der schützenswerten Daten), sondern behandeln auch «menschliche» Aspekte. So empfiehlt eine Regel die Einführung einer Unternehmensethik bezüglich sicherem Verhalten und eine weitere Regel warnt vor zu starker Kontrolle, wodurch eine «Big Brother»-Mentalität entstehen und an die Öffentlichkeit gelangen könnte.


Oliver Jäschke von Group IT Risk der Zurich Financial Services präsentierte, wie die Zurich Financial Services DLP in der Praxis umgesetzt haben. Der Ansatz folgt dem einfachen Prinzip: Daten finden, klassifizieren und überwachen. Die Eckpfeiler des Systems bestehen dabei aus

· dem Erkennen und Überwachen der Daten auf Client- und Server Systemen durch einen DLP Client


· dem Überwachen der Daten bei deren Übermittlung


· der Verschlüsselung der Daten beim kopieren auf mobile Geräte


· der Entfernung oder Anpassung von unsicheren Clients


Oliver Jäschke betonte, dass die eingesetzten technischen Massnahmen nur eine Seite des DLP Konzepts sind. Die auf der organisatorischen Seite ergriffenen Massnahmen wie die Klassifizierung von Daten oder Abklärungen im Bezug auf regulatorische Anforderungen sowie der Definition eines Vorgehens im Falle eines Verlustereignisses, seien mindestens genauso wichtig.


In seinem Talk «Data Protection in der Praxis» betont Thomas Maxeiner, Product Line Executive für Data Protection Central Europe bei McAfee GmbH Deutschland, dass Daten heute eine harte Währung sind: Daten wie Kreditkartennummern, PayPal-Konten oder Sozialversicherungsnummern werden genauso im Internet gehandelt wie auch Software zur Ausspähung dieser Daten. Neben dem Fakt, dass Daten zur “New Age Currency“ wurden, motiviert Thomas Maxeiner den Einsatz von DLP auch durch regulatorische Gründe wie die in den USA, Deutschland und Österreich eingeführte Informationspflicht im Falle eines Verlustes von schützenswerten Daten sowie der zusätzlichen Flexibilität durch die sichere Nutzung von Daten auch ausserhalb speziell geschützter und vollständig kontrollierter Infrastrukturen.


Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
SPONSOREN & PARTNER