Weil Lösungen für Data Loss Prevention immer noch im Ruf stehen, dass sie schwierig einzurichten und zu bedienen seien, unterlassen es viele Unternehmen, ihre Sicherheitspolicies mithilfe technischer Maßnahmen durchzusetzen und ihre sensiblen Daten vor unerwünschten Abfluss zu schützen. Wie sehr zu Unrecht das Vorurteil besteht, zeigt ein Blick auf die Management-Konsole von Endpoint Protector.
Von der technischen Seite her ist Data Loss Prevention ohne Frage eine komplexe Angelegenheit. Aber diese Komplexität muss nicht bei der Bedienung der Lösung in Erscheinung treten. Wie bei unserer Lösung Endpoint Protector kann sie sich hinter einer einfach und übersichtlich gehaltenen Oberfläche verbergen. Der Administrator arbeitet dabei auf einer zentralen Konsole. Sie ist webbasiert und über jeden Browser erreichbar. Ruft er das Dashboard auf, werden ihm Informationen angezeigt, die er ohne weitere Navigation vor Augen haben sollte. Die Server-ID gehört dazu sowie eine Liste der von Endpoint Protector geschützten Endpunkte, die er für mehr Informationen oder Änderungen einzeln aufrufen kann. Statistiken zeigen ihm die wichtigsten Ereignisse im voreingestellten Zeitraum im Überblick, beispielsweise zum Lizenzstatus oder zu den aktivsten Nutzern. Finden sich hier keine Auffälligkeiten, die er weiterverfolgen muss, geht er zur Menüleiste am linken Bildschirmrand. Dort findet er eine längere Liste von Menüpunkten, die er für spezifische Einstelloptionen oder im Rahmen administrativer Arbeiten ansteuert.
Menüpunkte für Richtlinien und Rechte
Los geht es mit den Modulen von Endpoint Protector: Device Control, Content Aware Protection, eDiscovery und Verschlüsselung. Angezeigt werden alle Module, auch wenn das Unternehmen beispielsweise nur Device Control lizensiert hat. Diese Menüpunkte ruft der Administrator auf, wenn er Richtlinien und Rechte in den Modulen einstellen oder bearbeiten will, beispielsweise Ausnahmen von strengen Regeln für Device Control für einen Benutzer, einen Rechner oder eine Gruppe. Welche Policies und Rechte grundsätzlich eigestellt sein müssen, hat das Unternehmen in der Regel bereits für die Umsetzung der DSGVO oder anderer Vorgaben zusammengestellt und entschieden.
Menüpunkte für häufige Arbeiten
Danach folgen Menüpunkte zu häufigen oder regelmäßigen Aufgaben und Arbeiten. Die Darstellung als abgegrenzte Aufgabenbereiche hat zur Folge, dass sich der Administrator nicht durch lange Aufstellungen und Untermenüs klicken muss, sondern auf einen Blick findet, was er sucht. Das sind zunächst zwei Menüpunkte mit Bezug zu den Modulen, „Blacklists + Whitelists“ sowie „Offline Temporary Password“. Unter „Blacklists + Whitelists“ ändert und ergänzt der Administrator die Einträge der vertrauenswürdigen bzw. nicht vertrauenswürdigen Ziele; dort hat er auch Zugriff auf die Funktion „Deep Packet Inspection“, die das Whitelisting von internen und externen URLs erlaubt und seit der aktuellen Version 5.2.0.8 für alle drei Plattformen zur Verfügung steht. Unter „Offline Temporary Password“ vergibt er Einmal-Passwörter für die Verwendung von USB-Sticks an Rechnern unterwegs, die je nach Unternehmen möglicherweise häufiger angefragt werden; hier finden sich dazu weitere Angaben.
Menüpunkte für Querschnittsaufgaben
Anschließend folgen die Menüpunkte für alle wichtigen administrativen Querschnittsaufgaben und Informationen:
- Reporte + Analysen: Hier liegen sämtliche Reporte aus den verschiedenen Modulen oder Bereichen. Sie sind mit einem zweiten Passwort geschützt, damit das Vier-Augen-Prinzip gewahrt bleibt.
- Benachrichtigung: Der Administrator kann individuelle Benachrichtigungen über Vorkommnisse oder den Systemstatus anlegen.
- Directory Service: Hier wird die Synchronisation der Benutzerdaten aus den lokalen Active Directories direkt angestoßen.
- Appliance: Unter diesem Menüpunkt finden sich Angaben zum Speicherplatz sowie sämtliche Informationen zu Endpoint Protector Server. Zudem kann über diesen Punkt Endpoint Protector an ein Security Information and Event Management (SIEM) angeschlossen werden. Unterstützt werden Lösungen wie Splunk, IBM, Exabeam, Rapid7, LogRythm etc.
- Systemwartung: Hier wird eingestellt, wann welche Dateien, wie Log-Dateien oder Dateimitschnitte, wohin gespeichert werden sollen. Der Administrator verwaltet und exportiert Logs, erstellt und plant Backups, schließt externe Speicher an und legt fest, wohin z. B. Dateimitschnitte (diese benötigen relativ viel Speicherplatz) gesichert werden sollen.
- System-Konfiguration: Über die System-Konfiguration erledigt der Administrator alle Arbeiten im Zusammenhang mit der Client-Software. Sie kann manuell oder per Active Directory Sync auf den Endgeräten ausgerollt, deinstalliert oder upgegradet werden. Weiterhin werden hier Administratoren-Accounts angelegt und deren Rechte verwaltet.
- System-Lizensierung: Der Menüpunkt enthält alles zum Thema Lizenzen, von der Server-ID über die Info, welche Module lizensiert sind, bis zur Möglichkeit, weitere Lizenzen zu kaufen.
- System-Parameter: Unter diesem Menüpunkt findet sich die Liste aller Geräte, die in Endpoint Protector verwaltet werden. Zudem können von hier aus die Richtlinien als XML-Datei gespeichert werden, damit sie sich in einen neuen Server einspielen lassen.
Endpoint Protector hat den Aufbau des Dashboards entlang der Tätigkeiten konzipiert, die für die Umsetzung der firmenspezifischen Sicherheitspolicies in die Technik grundlegend sind: der Arbeiten, die der Administrator einer DLP-Lösung häufiger erledigen muss, sowie der Informationen zum Zustand der Lösung und der Aktivitäten im Firmennetz, die möglicherweise Eingriffe erfordern. Der Administrator benötigt weder Handbuch noch Schulung, um sich zurechtzufinden, und gelangt intuitiv auch dann zur richtigen Stelle, wenn er zum ersten Mal oder nach langer Pause wieder mit Endpoint Protector arbeitet. Wenn Sie sehen wollen, wie einfach DLP sein kann, vereinbaren Sie doch eine Produkt-Demo.