[datensicherheit.de, 06.09.2024] Datenverluste durch fehlgeleitete E-Mails seien als Problem weiter verbreitet als gedacht, so Miro Mitrovic, „Area Vice President DACH“ bei Proofpoint, in seiner aktuellen Stellungnahme: „Bei Verlust sensibler Daten laufen Betroffene nicht nur Gefahr, gegen Vorschriften zu verstoßen, sondern müssen auch um Missbrauch der Daten und ihren guten Ruf fürchten.“ Von Phishing- und Ransomware-Angriffen bis hin zu ausgeklügelten Cyber-Bedrohungen: Es gebe eine lange Liste an Möglichkeiten, wie sensible Daten aus dem eigenen Unternehmen abfließen könnten. Mitrovic erläutert: „Für gewöhnlich sind Nachlässigkeit oder Absicht die Ursache. Entsprechend bestätigen rund zwei Drittel der ,CISOs’, dass ihren Organisationen Daten durch Insider verloren gegangen sind.“

Foto: Proofpoint

Miro Mitrovic: Um ungewollte oder vorsätzliche Datenverluste via E-Mail effektiv zu unterbinden, bieten ausschließlich KI-gestützte DLP-Lösungen ein ausreichendes Schutzniveau!

Fehlgeleitete E-Mails nicht nur weit verbreitet, sondern auch zumeist schwer aufzuhalten

Es gibt laut Mitrovic viele Möglichkeiten, wie Daten ungewollt aus einem Unternehmen abfließen: Schwache Passwörter und versehentliche Klicks oder Downloads stellten ein Risiko dar. Ein anderer Faktor, der demnach häufig zu Datenverlusten führe, werde jedoch weit weniger oft thematisiert: „Fehlgeleitete E-Mails, also legitime Nachrichten, die an die falschen Empfänger gesendet werden, sind die am häufigsten gemeldeten Vorfällen im Zusammenhang mit der Datenschutz-Grundverordnung, die dem britischen Information Commissioner’s Office (ICO) gemeldet werden.“

Fehlgeleitete E-Mails seien nicht nur weit verbreitet, sondern gemeinhin schwer aufzuhalten. Diese Art von Fehlern werde von regelbasierten Standardtools zur Verhinderung von Datenverlusten (Data Loss Prevention / DLP) meist nicht erkannt. „Folglich müssen die Benutzer allein dafür Sorge tragen, dass ihre E-Mails immer nur die vorgesehenen Empfänger erreichen!“ Leider sei dieser menschliche Sicherheitsmechanismus wenig verlässlich.

Problem herkömmlicher DLP: Fehlgeleitete E-Mails an legitime Empfänger lösen keinen Alarm aus

Traditionelle, regelbasierte DLP-Tools erfüllten ihre Aufgabe sehr gut. Solche Lösungen seien nach wie vor ein wichtiger Bestandteil einer effektiven Cyber-Abwehr. „Allerdings haben diese Tools einen großen Nachteil: Sie überwachen den Datenverkehr nur auf Basis vordefinierter Risiken.“ Eine herkömmliche DLP-Lösung könne zum Beispiel feststellen, ob Empfänger auf einer Sperrliste stehen, ob spezielle personenbezogene Daten (RegEx-Muster) im Inhalt der Nachricht enthalten sind und ob angehängte Dokumente mit Klassifizierungskennzeichen versehen sind. Eine solche Kennzeichnung würde beispielsweise vorliegen, wenn ein Administrator ein bestimmtes Dokument als „sensibel“ gekennzeichnet hat. Sofern eine E-Mail diese Prüfungen besteht, könne sie ohne Weiteres versendet werden.

Eine fehlgeleitete E-Mail an einen legitimen (wenn auch falschen) Empfänger würde keinen Alarm und somit keinen Stopp der Nachricht auslösen, „weil regelbasierte Systeme sie als ,sicher’ einstufen“. Wie die Daten des „Data Breach Investigations Report“ von Verizon belegten, seien E-Mail-Fehlzustellungen in allen Branchen weit verbreitet, so dass die Einstufung von E-Mails als „sicher“ häufig falsch sei.

Empfehlung: Erkennung fehlgeleiteter E-Mails mittels KI

Vorteile gegenüber traditionellen DLP-Systemen biete eine adaptive, KI-gestützte Lösung: „Eine solche Lösung sucht nicht nur nach generellen, zuvor definierten Gefahrenquellen. Vielmehr analysiert sie alle Aspekte einer E-Mail auf mögliche Ungereimtheiten. Eine solche Lösung achtet nicht nur auf die üblichen Warnhinweise, sondern erkennt auch ungewöhnliche Empfängergruppen und markiert sensible Wörter, Ausdrücke oder Inhalte, die normalerweise nicht mit den vorgesehenen Empfängern geteilt werden, sei es im Nachrichtentext oder in Anhängen.“ Anschließend lege das System fest, ob eine E-Mail versendet werden darf. „Sobald ein potenzieller Fehler bzw. der Verlust sensibler Daten entdeckt wird, greift eine solche moderne KI-DLP-Lösung ein, um die Richtigkeit des Empfängers zu überprüfen, eine kurze Erläuterung des potenziellen Problems anzuzeigen und den Absender zu fragen, ob er fortfahren oder abbrechen möchte.“

Um es auf den Punkt zu bringen: „Herkömmliche DLP-Lösungen sind nicht in der Lage fehlgeleitete E-Mails adäquat zu verhindern, da keine entsprechenden Regeln zuvor definiert werden können. Eine moderne, adaptive E-Mail-DLP-Lösung kann hingegen potenzielle Katastrophen in Echtzeit verhindern.“ Hierzu zeige sie dem Benutzer einfach einen Warnhinweis, um etwaige Fehler korrigieren und die richtigen Entscheidungen treffen zu können. Darüber hinaus profitierten die Security-Teams von einer vollständigen Chronologie jedes Vorfalls. „Diese beinhaltet, was gesendet wurde, an wen es geschickt wurde und warum der Versand gestoppt wurde. Auf Grundlage dieser Einblicke können die Verantwortlichen analysieren, ob es sich um einen einfachen Fehler handelt oder einen absichtlichen Versuch, Unternehmensdaten auf persönliche oder nicht autorisierte Konten umzuleiten.“

KI-gestützte DLP-Lösungen fügen sich nahtlos in bestehende Arbeitsweisen und Prozesse ein

Die Stärke einer adaptiven, KI-gestützten DLP-Lösung liege nicht nur in ihrer Fähigkeit, Datenverluste effektiv zu verhindern. „Sie ist auch so konzipiert, dass sie sich nahtlos in bestehende Arbeitsweisen und Prozesse einfügt. Es gibt keine zusätzlichen Schritte, die bedacht werden müssen, oder Änderungen an bestehenden Prozessen für die Endbenutzer.“ Stattdessen verfassten und versendeten die Angestellten E-Mails in gewohnter Manier. „Die KI-DLP-Lösung arbeitet im Hintergrund, um festzustellen, ob E-Mails sicher versendet werden können – und greift nur dann ein, wenn ein potenzielles Problem vorliegt.“

Ein entscheidender Vorteil für die Nutzer bestehe darin, dass sie nur alle paar Wochen mit der Lösung interagieren müssten – und nicht mehrmals am Tag. Dadurch werde das Risiko einer Warnmüdigkeit reduziert, die schlimmstenfalls zum Ignorieren wichtiger Warnhinweise führen könne, „wenn solche Hinweise zu oft eingeblendet werden“. Ferner profitierten die Unternehmen von der schnellen Einsatzbereitschaft moderner KI-DLP-Lösungen. „Denn es gibt keine Regeln, die implementiert und mit der Zeit verfeinert werden müssten, um ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herzustellen.“ In den meisten Fällen sei eine solche Lösung innerhalb von Minuten implementiert, lerne in wenigen Stunden auf Basis des historischen E-Mail-Verkehrs und sei innerhalb von wenigen Tagen einsatzbereit, um Mitarbeiter und Daten zu schützen.

KI-gestützte DLP-Lösungen können sogar helfen Katastrophen zu verhindern

An einem einfachen Beispiel lasse sich der Nutzen einer KI-gestützten DLP-Lösung direkt erkennen: „Versendet ein Mitarbeiter im Verlauf einer geplanten Fusion bzw. Übernahme aus Versehen Informationen an einen Journalisten, lässt sich die Katastrophe kaum noch abwenden. Der wirtschaftliche Schaden für das Unternehmen im Falle einer geplatzten Fusion bzw. Übernahme wäre immens.“ Aber auch bei böswilligen Insidern könnten solche Lösungen Abhilfe schaffen: „Man stelle sich einfach einen scheidenden Mitarbeiter vor, der sich wichtige Unternehmensgeheimnisse an seine eigene E-Mail-Adresse schickt, um so regelbasierte Kontrollen zu umgehen. Nutznießer könnte nach wenigen Monaten die Konkurrenz sein, die von den Betriebsgeheimnissen profitiert.“

Mitrovics Fazit: „Um solche ungewollten oder vorsätzlichen Datenverluste via E-Mail effektiv zu unterbinden, bieten ausschließlich KI-gestützte DLP-Lösungen ein ausreichendes Schutzniveau.“ Diese seien eine vielversprechende Alternative zu traditionellen DLP-Ansätzen. Sie minimierten das Risiko von Datenverlusten durch fehlgeleitete E-Mails und gewährleisteten die Benutzerfreundlichkeit. „Unternehmen sollten solche Systeme schnell implementieren, um ihre Daten wirksam zu schützen und die Produktivität ihrer Mitarbeiter zu erhalten“, so Mitrovics Empfehlung.

Weitere Informationen zum Thema:

verizon business
Data Breach Investigations Report 2024

proofpoint
Threat Report / State of the Phish 2024: Europa und Naher Osten

Von unserem Gastautor Andrew Ladouceur, Clearswift

[datensicherheit.de, 16.06.2014] Jeden Tag gehen sensible Unternehmensdaten verloren. Das ist eine Tatsache. Die Datentypen in Unternehmen sind dabei vielfältig – angefangen bei Finanz- und Personaldaten, M&A-Informationen,  privaten Kundendaten, Sozialversicherungsnummern, über Vertriebsprognosen und Informationen aus Forschung und Entwicklung, bis hin zu Kreditkartennummern und kompletten Marketingstrategien.

Betrachtet man diese Liste, wird schnell deutlich, dass bereits der Verlust weniger Gigabyte für Unternehmen erhebliche Konsequenzen nach sich ziehen kann. Die schwerwiegendsten sind Rufschädigung und negatives Markenimage, Kundenverlust, finanzielle Belastungen durch Gerichtsverfahren und der Verstoß gegen Compliance-Vorschriften. Ein zusätzliches Risiko stellt der Gebrauch mobiler und persönlicher Geräte am Arbeitsplatz im Rahmen von BYOD-Initiativen und der Speicherung von Daten in der Cloud dar. Das Analystenhaus Gartner schätzt daher, dass der Markt für Data Loss Prevention (DLP) in diesem Jahr eine Größenordnung von rund 500 Millionen Euro erreichen wird.

Die Vorteile von DLP:

• DLP unterstützt Organisationen bei der Entwicklung, Schulung und Umsetzung effektiver Geschäftspraktiken im Bereich Zugriff, Handhabung und Übertragung sensibler Daten.
• DLP ermöglicht das Reporting und den Workflow zur Unterstützung von Identity und Access Management (IAM), Initiativen zur Einhaltung der gesetzlichen Vorschriften, Schutz von geistigem Eigentum und Management von Datenschutzrichtlinien. Nahezu alle Unternehmen haben mit diesen Bereichen zu kämpfen.
• DLP unterstützt die Organisationen bei der Entwicklung, Schulung und Umsetzung effektiver Geschäftspraktiken zur Handhabung und Übertragung sensibler Daten.
• DLP hilft bei der dynamischen Anwendung von Richtlinien auf Grundlage der Einstufung von Inhalten in Echtzeit und vermindert Risiken durch effektive Früherkennung.

DLP-Lösungen strategisch auswählen

Viele Unternehmen haben diese Vorteile erkannt, halten jedoch DLP-Initiativen für schwierig und  kostspielig. Traditionelle DLP-Lösungen sind in der Tat dafür bekannt, dass die Umsetzung aufwendig ist und im Durchschnitt drei Jahre dauert. Pragmatische Unternehmen integrieren DLP und nutzen die Technologie als einen von mehreren Bausteinen für die Informationssicherheit. Erfolgreiche Unternehmen verfolgen dabei einen mehrstufigen Ansatz:

Schritt 1 – Festlegen der Ebenen

Unternehmen müssen sich im Klaren darüber sein, dass DLP allein nicht alle Probleme bei der Datensicherheit löst und alle Risiken beseitigt. DLP ist lediglich ein Bestandteil eines größeren Sets von Informationssicherheits-Tools.

Schritt 2 – Lokalisieren der Daten

Viele Daten werden bewegt, ohne dass Unternehmen es wissen. Doch um Unternehmensdaten zu schützen, müssen Unternehmen wissen, wo sie abgelegt sind oder wie sie übertragen werden. Unternehmen sollten folgende Fragen leicht beantworten können: wie viele Daten befinden sich in ihrem Netzwerk, wie viele dieser Daten befinden sich in Langzeitspeichern, wie viel ist archiviert? Doch nur ein Bruchteil der Unternehmen kann verlässliche Aussagen zu seinen Datenbibliotheken treffen. Mit Hilfe eines Data-Discovery-Projekts lassen sich alle Daten im Netzwerk ausfindig machen. Es kann jedoch Monate dauern bis die Hauptspeicherorte der Daten lokalisiert, dargestellt und dokumentiert sind.

Schritt 3 – Klassifizieren der Daten

Nicht alle Daten sind gleich. Daher ist ein Projekt erforderlich, um die Daten zu klassifizieren, und zu verstehen, was geschützt werden muss und warum. Dabei sind die Risiken für den Datenschutz und generelle Gefahrenpotentiale aufzulisten, die aus einem Datenverlust resultieren können. Der erste Schritt zum Thema DLP ist dabei die Definition der wertvollen und sensiblen Daten. Eine wichtige Frage ist, wie viele der Daten der Geheimhaltung unterliegen. Noch wertvoller sind geistiges Eigentum und Betriebsgeheimnisse.

Schritt 4 – Aufsetzen einer DLP-Strategie

Organisationen brauchen eine formale DLP-Strategie, die ihren speziellen geschäftlichen und technischen Bedürfnissen und Anforderungen genügt. Am Anfang stehen die übergeordneten Ziele und erst später die jeweiligen Anforderungen. Wichtig ist ferner eine langfristige Ausrichtung, denn bei DLP handelt es sich nicht um Plug-and-Play-Technologie. Vom Anfang bis zur vollständigen Umsetzung und Optimierung sind Zeit und Nachdruck erforderlich. Unternehmen machen oft den Fehler, ihr Datenchaos durch DLP managen lassen zu wollen. Damit DLP wirklich funktioniert, sollten aber viele kleine Schritte erfolgen und die Strategie gut durchdacht sein.

Schritt 5 – Auswählen der DLP-Lösung, Erprobung und Einsatz

Sobald die Anforderungen dokumentiert sind, wird ein Pilotprojekt zur Erprobung mehrerer DLP-Produkte aufgesetzt. Hierbei wird ein Produkt unter verschiedenen Bedingungen getestet. Dazu nutzen Organisationen spezifische und objektive Metriken, um sicherzustellen, dass die Kontrollen getestet werden und präzise Ergebnisse geliefert werden.

Neue Adaptive-Redaction-Technologie

Der Trend geht hin zu einer technologischen Innovation, dem so-genannten Adaptive Redaction. Diese erweitert die traditionellen Data Loss Prevention (DLP)-Richtlinien durch das Zulassen der automatischen Entfernung sensibler und vertraulicher Informationen aus E-Mails und der webbasierten Kommunikation. Dabei wird der Inhalt gescannt und es werden sowohl „sichtbare“ als auch „unsichtbare“ Daten, die gegen die Richtlinien verstoßen, automatisch erkannt und entfernt. Die redigierten E-Mails bzw. die Anhänge werden dann ohne „Stopp und Block“ an den beabsichtigten Empfänger gesendet. Die Änderungen, die dabei stattfinden, basieren auf Richtlinien, die wiederum von den Personen abhängen, die die Informationen versenden oder erhalten. Dadurch wird der Prozess „adaptiv“.

Die Adaptive-Redaction-Funktionalität erweitert hierzu die Pattern-Analyse, die bereits in der DLP-Funktionalität zum Einsatz kommt. Eine Content Inspection Engine gewährleistet dann, dass die gesamten Informationen, die elektronisch per E-Mail oder über das Web in und aus dem Unternehmen fließen, einer tiefgreifenden Content-Analyse unterzogen werden.

Folgende Adaptive-Redaction-Optionen stehen zur Verfügung:

• Datenredaktion (Data Redaction) – Automatische Entfernung sensibler Informationen aus Webseiten, E-Mails und Dokumenten sowie Ersetzen sensibler Daten, z.B. Kreditkartennummern, durch “*”-Symbole. Damit können unberechtigte Dritte diese Daten nicht einsehen, und die Business Compliance wird sichergestellt. Dies ermöglicht Unternehmen auch den Austausch von Informationen, ohne dabei gegen gesetzliche Vorgaben zu verstoßen (z.B. PCI DSS).
• Dokumentenbereinigung (Sanitization) – Automatische Erkennung und Entfernung „unsichtbarer“ sensibler Daten aus Dokumenten, z.B. eingebettete Metadaten oder die Änderungshistorie. Damit erfüllen öffentliche Institutionen die ICO-Richtlinien zu „versteckten“ Daten.
• Strukturelle Bereinigung (Structural Sanitization) – Automatische Entfernung aktiver Inhalte aus Dateien und Webseiten. Die automatische Erkennung und Entfernung aktiver Inhalte verbessert den Schutz vor Malware im Netzwerk.

Kontextsensitive DLP ist die Zukunft

Doch auch das geht im Grunde noch nicht weit genug, denn die Endgeräte müssen ebenfalls geschützt werden. Die Endgeräte sollten Fokus jeder Sicherheitsstrategie hin zur Information Governance sein, denn umfassende Transparenz geschäftskritischer Daten zu jeder Zeit gewährleistet die sichere Zusammenarbeit. Unternehmen und einzelne Nutzer brauchen zentrale Richtlinien zum Informationsmanagement über die Endgeräte hinweg – von Laptops und Computern bis hin zu Wechselmedien wie USB-Sticks. Kontextsensitive DLP-Lösungen sind darauf ausgelegt, sich den granularen Geschäftsanforderungen anzupassen, indem sie eine zentrale Verwaltung und Durchsetzung der Richtlinien für alle Zugangspunkte ermöglicht. Dadurch können Anwender die Komplexität sowie die administrativen IT-Ressourcen reduzieren. Unser kürzlich vorgestellter Critical Information Protection Management Server integriert sich beispielsweise mit einem durchgängigen Richtliniensatz und Umsetzung des Schutzes vor Datenverlusts in die Clearswift Secure  Exchange, Web und Email Gateways und verhindert so zuverlässig böswillige und ungewollte Sicherheitsverletzungen.

Verfahren von kontextsensitiver DLP:  

• Data-In-Motion (DIM – bewegliche Daten): Beispiel: Verschickt ein Nutzer per E-Mail eine Tabelle mit personenbezogenen Daten, verhindern die SECURE-Gateways die unbefugte Weitergabe und verringern das Risiko von Sicherheitsverletzungen oder Nichteinhaltung der Richtlinien.
• Data-In-Use (DIU – genutzte Daten): Beispiel: Kopiert ein berechtigter Mitarbeiter eine Tabelle mit personenbezogenen Daten auf einen USB-Stick, informiert der Critical Information Protection Management Server diese Person. Optional können die Daten vor dem Kopieren verschlüsselt werden. Zusätzlich kann festgelegt werden, dass vorgesetzte Personen über den Vorgang informiert werden.
• Data-At-Rest (DAR – ruhende Daten): Erstellt ein Mitarbeiter eine Tabelle mit personenbezogenen Daten auf einem Laptop, protokolliert der Critical Information Protection Management Server die Erstellung der Datei um bei Verstößen gegen die Richtlinien die nötigen  Schutzmaßnahmen einleiten zu können.

Inhaltssensitive DLP kann verschiedene Maßnahmen einleiten, wenn ein Verstoß gegen bestehende Richtlinien erkannt wird. Mögliche Aktivitäten beinhalten beispielsweise die adaptive Redaktion wichtiger Informationen, ein besseres Workflow-Management, wenn Inhalte durch übergeordnete Stellen verschoben werden, Verschlüsselung und Benachrichtigung zur Sensibilisierung der Mitarbeiter für einen sicheren Umgang mit Informationen und um sie auf neue Richtlinien hinzuweisen – dadurch stehen zusätzliche kontextbasierte Vorgehensweisen in DLP-Lösungen zur Verfügung.

Fazit

In unserer Zeit ist es ein Muss für eine digital versierte Belegschaft permanent online zu sein und in Echtzeit zu kommunizieren. Mitarbeiter wollen dabei mit jedem Endgerät an jedem Ort zusammenarbeiten können. Unternehmen müssen derartige Kommunikation und Zusammenarbeit über alle Kanäle hinweg erleichtern, aber gleichzeitig den Schutz von wichtigen Informationen und geistigen Eigentumsrechten angemessen gewährleisten. Moderne DLP-Lösungen gehen auf diesen Bedarf ein, indem sie einen sicheren Informationsaustausch und umfassend durchgängige Richtlinien über alle Kommunikationswege hinweg schafft. So können sich Unternehmen sicher sein, dass ihre Daten geschützt behandelt werden. Damit können sie nicht nur die Wahrscheinlichkeit von Sicherheitsverletzungen erheblich reduzieren, sondern haben darüber hinaus die Gewissheit, dass sie ihre eigenen Verpflichtungen zum Schutz sensibler Daten eingehalten haben.

© Clearswift

Andrew Ladouceur, Clearswift

Website: http://www.clearswift.de