Irgendwann hat sich in Ihrem Unternehmen die Erkenntnis durchgesetzt, dass eine Lösung für Data Loss Prevention benötigt wird, vielleicht im Hinblick auf die DSGVO. Sie haben sich informiert, was der Markt hergibt, sich einige Produkte näher angeschaut und zwei, drei getestet, bevor Sie eines davon zur Anschaffung empfohlen haben.
So sind Sie zu Endpoint Protector gekommen. Und jetzt? Das Benutzerhandbuch durchackern? Woher im Tagesgeschäft die Zeit nehmen? Das soll nicht heißen, dass Sie es komplett ignorieren sollen. Aber wir wollen Ihnen mit Endpoint Protector nicht das Leben schwer machen. Deshalb haben wir einige Hinweise und Erläuterungen zusammengestellt, die Ihnen dabei helfen sollen, das zu nutzen, was die Lösung Ihnen bietet.
- Mit dem Monitoring-Modus einsteigen
Ist das DLP-System installiert und die Client-Software auf die Endpunkte verteilt, sollte die Lösung zunächst im Monitoring-Modus betrieben werden. Erfahrungsgemäß ist ein Beobachtungszeitraum von ein, zwei Wochen in einer möglichst aktiven Abteilung ausreichend, beispielsweise im Marketing oder in der Personalabteilung. Dabei werden alle Transfer-Aktivitäten erfasst und aufgezeichnet, aber noch keine Warnungen oder Restriktionen gesetzt. Durch das Monitoring wird ermittelt, welche Devices, welche Schnittstellen und Tools die Mitarbeiter überhaupt nutzen, welche Dateien wohin bewegt oder geteilt werden, welche Mitarbeiter und Gruppen aktiv sind.
Diesen Ist-Zustand hinsichtlich der Datenbewegungen werten Sie dann im Hinblick auf die Schutzziele des Unternehmens aus und ermitteln den Handlungsbedarf: Welche Aktionen muss das Unternehmen im Hinblick auf DSGVO-konforme Datentransfers unterbinden, welche sollten blockiert werden, weil die Risiken mit den verfügbaren Ressourcen nicht zu beherrschen sind? Welche Mitarbeitergruppen müssen im Rahmen ihrer Arbeit Aufgaben bestimmte Datenbewegungen durchführen können? Die Auswertung fließt dann in die Entwicklung der Richtlinien ein, beispielsweise keine unbekannten USB-Sticks an den Endpoints zulassen, die Übermittlung personenbezogener Daten in Cloud-Speicher unterbinden, jegliche Transfer-Aktionen von Dateien mit mehr als fünf Kontonummern blockieren.
- Voreingestellte Richtlinien nutzen
Wie die meisten anderen DLP-Lösungen auch, enthält Endpoint Protector voreingestellte Richtlinien für unterschiedliche Gruppen von personenbezogenen Daten, darunter Adress- und Kontaktdaten, Konto- und Kreditkartennummern, Personalausweis- und Sozialversicherungsnummern. Aber auch für besonders zu schützende personenbezogene Daten wie Gesundheitsdaten sind Richtlinien vorhanden. Die voreingestellten Richtlinien bringen Sie sehr schnell ans Ziel, wenn es darum geht, dass das Unternehmen bestimmte Standards oder gesetzliche Regelungen umsetzen muss, wie die DSGVO, im Gesundheitswesen HIPAA oder im Zahlungsverkehr PCI-DSS. Wenn Sie beispielsweise verhindern wollen, dass Kreditkarten-Nummern herausgegeben werden, klicken Sie die gewünschte Richtlinie an. Sie sichern sie und können sie dann für weitere Anpassungen editieren. Standardmäßig wird die Regel an allen Schnittstellen bzw. Zielen wie Web-Browser, E-Mail-Client, Drucker, Instant Messaging, Zwischenablage etc. wirksam.
Aber nicht alle Richtlinien passen für jedes Unternehmen. Wenn die Standardeinstellung zu restriktiv ist, können Sie die Auswahl auf die Ziele beschränken, die das größte Risiko darstellen, beispielsweise Cloud-Speicher, oder Sie nehmen von der Richtlinie diejenigen Mitarbeiter – einzelne oder eine Gruppe –aus, die für ihre Arbeit solche Daten über bestimmte Schnittstellen übermitteln müssen. Außerdem können Sie Grenzwerte einrichten. Sie können also beispielsweise festlegen, dass Dokumente mit mehr als fünf Kontonummern geblockt werden, sofern dies in Ihrem Unternehmen ein guter Indikator für einen möglichen Verstoß ist. Oder Sie können einen Grenzwert für die Dateigröße eingeben.
- Richtlinien selbst konfigurieren
Darüber hinaus sollte sich jedes Unternehmen darum kümmern, welche Daten es unter den Bedingungen seines speziellen Geschäftsfeldes außerdem noch als „sensibel“ einstuft, wie das Unternehmenswissen mit den Betriebs- und Geschäftsgeheimnissen. Ihr Schutz vor Verlust und Diebstahl ist genauso entscheidend für den Fortbestand eines Unternehmens wie die Einhaltung einschlägiger Normen und Verordnungen. Allerdings ist hier ist das Spektrum ziemlich breit und sehr unternehmensspezifisch: Kaufmännische Informationen wie Umsatzzahlen, Bezugsquellen, Kalkulationsunterlagen, Verträge gehören ebenso dazu wie Informationen aus F&E, Verfahren, Rezepturen, Konstruktionszeichnungen, Designentwürfe und Manuskripte. Neben den voreingestellten Richtlinien gibt es daher in DLP-Lösungen eine weitere Möglichkeit, nämlich selbst Richtlinien zu konfigurieren. Dafür können Sie unternehmensspezifische Schlüsselwort-Wörterbücher anlegen und Richtlinien mittels Dateityp- und Semantik-Erkennung konfigurieren.
Eine DLP-Lösung wie Endpoint Protector läuft, einmal eingerichtet, im Hintergrund. Aber die Rahmenbedingungen ändern sich fortlaufend. Neue Mitarbeiter bringen vielleicht andere Vorlieben für Kommunikationsanwendungen mit, neue Tools und Anwendungen kommen auf den Markt, im Unternehmen entstehen neue Inhalte. Data Loss Prevention muss als Prozess verstanden werden, und Sie sollten regelmäßig prüfen, ob Ihre DLP-Lösung noch alle sensiblen Daten erfasst.