Autor Peter Forster (Lead Architect | Base-IT)
In den ersten Artikeln haben wir uns einen grundsätzlichen Überblick über die Datenerkennung bzw. Klassifizierung im Unternehmen verschafft. Durch die von Information Protection sehr wertvolle Information, welche Daten im Unternehmen schützenswert sind, können wir aufbauend darauf mit der Dataloss Prevention (nachfolgend „DLP“) weiterführende Maßnahmen setzen.
Dataloss Prevention kann im Unternehmen auch ohne Information Protection eingesetzt werden, das Regelwerk dazu ist jedoch um einiges komplexer, da wir die zu schützenden Daten erst definieren müssen.
Die Dataloss-Prevention schützt uns davor, dass Daten die Unternehmensgrenze nicht überschreiten dürfen.
Im Zuge der Implementierung einer DLP-Lösung muss ähnlich wie in einem Information Protection Projekt definiert werden, welche Daten im Zuge der DLP identifiziert werden sollen und welche Beschränkungen darauf liegen. Es schließt sich somit rasch der Kreis, warum die Identifizierung von Daten gemäß einer Datenschutzklassifizierung enorm hilfreich ist.
Dataloss Prevention Richtlinien definieren einerseits allgemein, welche Inhalte in Dokumenten bzw. E-Mails zu suchen sind und ob Maßnahmen ergriffen werden müssen, damit diese Daten im eigenen Unternehmen bleiben.
Dabei können wir wieder auf die bekannten Sensitive Information Types bzw. selbst erstellte Regular Expressions zurückgreifen. Je genauer diese Definition vorliegt, umso genauer können Daten später geschützt werden.
Wichtiger Aspekt bei der technischen Funktionalität von DLP ist, dass diese nur innerhalb der eigenen Unternehmensgrenzen aktiv ist. Sollten Daten wegen fehlerhaften Regeln oder wegen nicht korrekt eingestellter Suchkriterien die Unternehmensgrenze überschreiten, besteht mit DLP keine Möglichkeit mehr die Daten zu schützen.
Enorm wichtig für das Verständnis von Dataloss Prevention ist zusätzlich auch, dass DLP die Daten nicht durch Aufbringen einer Dokumenteigenschaft (Label) oder ähnliches schützt, sondern die Systeme so konfiguriert sind, dass die Inhalte an die Empfänger nicht zugestellt werden. Dataloss Prevention verändert also in keiner Form Daten, sondern blockiert diese an der Unternehmensgrenze.
Der Schutz von Daten über die Unternehmensgrenze hinaus besteht nur über die Funktionalitäten von Microsoft Purview Information Protection.
Ein mögliches Szenario wäre die Daten in Microsoft Teams, SharePoint Online, OneDrive sowie Exchange mit einer DLP Policy zu schützen. Bei Exchange bezieht sich der Schutz der Dataloss Prevention auf den Inhalt einer E-Mail bzw. das angehängte Dokument. In der Abbildung (rechts) sehen Sie ein mögliches Konfigurationsszenario:
Dabei ist per DLP definiert, dass gewisse Informationen sehr wohl zu einem berechtigten Geschäftspartner übermittelt werden dürfen. Andere Empfänger sind jedoch nicht berechtigt und die Dataloss Prevention würde diese Nachrichten dann auch blockieren.
Ab Windows 10 steht uns mit der Endpoint Dataloss Prevention eine umfangreiche Methodik zum Schutz von Daten zur Verfügung. Dabei wird über den Endpunkt selbst die Prüfung der DLP-Richtlinien durchgeführt und direkt hier entschieden, ob diese Aktion erlaubt ist oder nicht.
Beispiel für diese Aktionen sind:
Vor allem der Punkt Daten auf einen USB-Wechseldatenträger zu kopieren bzw. der Upload zu Clouddiensten stellt einen einfachen Weg dar, Daten aus dem Unternehmen abzuziehen. Wenn Sie bereits Defender for Endpoint mit Device Control aktiv haben, sind Sie vor der unberechtigten Verwendung von USB-Geräten gut geschützt. Allerdings können Mitarbeiter dann wiederum alle Daten auf diesen Wechseldatenträger kopieren.
Hier kommt die Endpoint Dataloss Prevention zum Tragen und verhindert den Kopiervorgang von zu schützenden Elementen.
Während bei Exchange = Outlook der E-Mail-Inhalt geprüft wird und auch per DLP-Richtlinie blockiert werden kann, muss bei Teams noch auf die Chat-Kommunikation geachtet werden. Hierbei wäre es möglich durch simples Kopieren von Text als Chatnachricht schützenswerte Informationen an Dritte zu übermitteln.
Die Dataloss Prevention von Microsoft liefert aber auch hierfür entsprechende Richtlinien und kann den Chatverkehr mit dritten kontrollieren und im Bedarfsfall direkt noch bei der Übermittlung einer Chatnachricht eingreifen. Ein Empfänger würde hierbei nur den Hinweis erhalten, dass die Nachricht aufgrund von zu schützendem Inhalt nicht übermittelt wurde.
Ein Projektstart im Umfeld der Dataloss Prevention beginnt mit der Identifikation der zu schützenden Daten und dem Ausmaß einer DLP-Implementierung. Die Richtlinien können auch nur auf einzelne Dienste angewandt werden. Ähnlich wie bei der Implementierung einer Information Protection Richtlinie muss auch für die Dataloss Prevention ein Datenschutzklassifizierungskonzept vorhanden sein.
Wichtig in einem DLP-Projekt ist es, dass zu Beginn an die Regeln im Audit-Modus betrieben werden. So kann über das Reporting erkannt werden, welche Inhalte im Zuge der Aktivierung der Richtlinien blockiert werden und somit möglicherweise auch einen Incident am Servicedesk auslösen.
Nach und nach werden die Richtlinien im Zuge eines Projektes aktiviert.
Auch bei einem DLP-Projekt ist die Einbindung der MitarbeiterInnen über eine proaktive Kommunikation wichtig, damit diese die Notwendigkeit der Maßnahme verstehen und Maßnahmen ergreifen können, falls es zu einer False/Positive Erkennung kommt.