Schützenswerte Daten
Damit ein wie auch immer geartetes DLP-System überhaupt arbeiten kann, müssen zwei grundsätzliche Fragen geklärt werden: Welche Daten müssen eigentlich unbedingt geschützt werden und wo liegen diese Daten? Die erste Frage lässt sich vergleichsweise leicht beantworten, indem die Verantwortlichen der einzelnen Unternehmensbereiche wie Finanzen, Entwicklung, Marketing oder Vertrieb Beispiele für relevante Daten und Dateien heraussuchen und diese Files von der DLP-Lösung untersucht werden. Alles, was von nun an durchs Netzwerk rauscht und eine gewisse Ähnlichkeit mit den gespeicherten Daten hat, wird vom System mit Argusaugen beobachtet. Je nach Hersteller variieren die technischen Wege, durch die die Daten klassifiziert werden. Gemeinsam ist den Lösungen beispielsweise von RSA, Symantec und McAfee, dass sie die Dateien und deren Inhalt auch dann erkennen, wenn nur Teile davon übertragen werden. Die Klassifizierungsalgorithmen zerlegen die relevanten Daten in kleine Häppchen und erstellen mehrere Hashwerte pro File, sodass beispielsweise auch einzelne, aus einer Kundendatenbank kopierte Datensätze zielsicher von den DLP-Scannern identifiziert werden.
Weitaus schwieriger gestaltet sich den Experten zufolge die Suche nach den Daten. Offenbar herrscht in vielen Unternehmensnetzwerken ein über die Jahre schlimmer gewordener Wildwuchs, und es nimmt viel Zeit in Anspruch, alle Server und vor allem Clients nach in Datenbanken strukturierten und unstrukturierten (Office-Dokumente, PDFs etc.) Daten abzusuchen. Denn nur wenn der DLP-Scanner alle Daten erfassen kann, kann er sie hinterher auch schützen. Und selbst wenn die Übertragung einer unbekannten, aber relevanten Datei blockiert und der IT-Verantwortliche alarmiert wird: Was nutzt ein Alarm, wenn aufgrund der unbekannten Datei nicht so recht klar ist, ob es ein falscher oder ein berechtigter Alarm ist?