Die Cybersicherheitslandschaft entwickelt sich aufgrund von technologischen Fortschritten und globalen Veränderungen ständig weiter. Die Pandemie beispielsweise führte zu vielen unerwarteten und raschen Veränderungen im Bereich der Cybersicherheit, die sich aus der Verlagerung von Arbeitsplätzen in die Ferne und der verstärkten Migration zu Cloud-Diensten ergaben, und das Nachbeben ist bis heute spürbar. Eine der wichtigsten Entwicklungen im Bereich der Cybersicherheit ist jedoch eine proaktive Veränderung, um die Ziele effektiver zu erreichen. Unternehmen suchen immer nach besseren Möglichkeiten, um mit altbekannten Bedrohungen umzugehen, die nicht verschwinden, während sie sich gleichzeitig auf neue Disziplinen wie die Cloud-Sicherheit konzentrieren müssen.
Data Loss Prevention (DLP) ist eine der Disziplinen der Cybersicherheit, die viele Paradigmenwechsel erlebt hat. Der bedeutendste war der Versuch, von einem integrierten, unternehmensweiten DLP-Ansatz abzurücken und DLP in spezifische Sicherheitslösungen zu integrieren, die sich auf bestimmte Technologien konzentrieren – so sehr, dass dies zur Aufgabe des Gartner Magic Quadrant für DLP und zum Wechsel zu einem Market Guide geführt hat. So war man beispielsweise der Meinung, dass DLP für E-Mail mit anderen Aspekten der E-Mail-Sicherheit integriert werden sollte, um eine umfassende Abdeckung zu gewährleisten.
Ein ähnlicher Wandel vollzieht sich beim Insider Threat Management (ITM) und bei der Data Loss Prevention. Diese beiden Disziplinen verschmelzen, oder besser gesagt, ITM wird zunehmend als eine Komponente von DLP betrachtet.
Die Wichtigkeit des richtigen Fokus
Viele große Unternehmen haben beschlossen, sich von großen, mehrstufigen DLP-Systemen abzuwenden und sich für integrierte DLP zu entscheiden, die in Verbindung mit anderen Lösungsarten arbeitet und sich auf bestimmte Technologien und Aspekte der Cybersicherheitslandschaft konzentriert. Solche Integrationen bieten zwar hervorragende Funktionen für die zugehörigen Technologien, manchmal sogar einschließlich der Reaktion auf Vorfälle und der Behebung von Sicherheitslücken, doch ihre Verwendung hinterlässt erhebliche vertikale Lücken, die mit spezieller DLP-Software geschlossen werden müssen.
Was ist die Ursache dafür? Es ist alles eine Frage des Fokus. Bei der integrierten DLP wird dem wichtigsten Aspekt – Ihren Daten – keine Priorität eingeräumt. Stattdessen konzentriert sie sich auf eine einzige Technologie und deckt diese vollständig ab. Im Falle von E-Mails stellen solche Lösungen beispielsweise sicher, dass jeder Aspekt der E-Mail-Übertragung sicher ist, einschließlich der Tatsache, dass es sich bei den in E-Mails enthaltenen Daten nicht um sensible Daten handelt. Das Ziel solcher Lösungen ist es, E-Mails sicher zu machen und nicht, Datendiebstahl, Datenlecks, Datenexfiltration oder Datenschutzverletzungen zu verhindern. Und was ist für Sie wichtiger – der Zugang oder die Sicherheit Ihrer Daten?
Ein solcher Ansatz ist vergleichbar mit dem Versuch, Krankheiten zu heilen, indem man sich mit den Symptomen befasst, anstatt sich auf die Grundursache zu konzentrieren und den Körper gesund und stark zu halten. Unternehmen verpassen etwas, wenn sie sich nicht auf den Schutz ihres wertvollen geistigen Eigentums konzentrieren, sondern auf die Technologien, mit denen sie auf dieses Eigentum zugreifen.
Unternehmen, die erkannt haben, wie wichtig es ist, den richtigen Fokus zu setzen, erkennen jetzt auch, dass viele andere Cybersicherheitstechniken wie das Management von Insider-Bedrohungen den Fokus von „was kann Schlimmes passieren und wie können wir es verhindern“ auf „was müssen wir schützen und was können wir tun, um es besser zu schützen“ verlagern müssen. Infolgedessen sind diese Unternehmen zunehmend an Lösungen und Ansätzen zur Vermeidung von Datenverlusten interessiert, die mit ITM konvergieren und volle Funktionalität bieten, mit dem primären Ziel, sensible Daten zu schützen.
Was sind die Unterschiede zwischen DLP und ITM?
Obwohl sie auf den ersten Blick sehr unterschiedlich erscheinen, weisen die Disziplinen Data Loss Protection und Insider Threat Management häufig viele ähnliche Technologien und Ansätze auf. Der wahre Unterschied liegt in ihrem Fokus. Data Loss Prevention konzentriert sich auf die Datensicherheit, wobei sensible Daten im Vordergrund stehen. Das Insider Threat Management konzentriert sich auf den Benutzer, wobei das Datenzugriffsverhalten im Vordergrund steht.
DLP- und ITM-Systeme stehen häufig im Widerspruch zueinander oder bieten doppelte Funktionen. Ein DLP-System überwacht beispielsweise die Zwischenablage in Echtzeit, da diese dazu verwendet werden kann, geschützte Informationen aus einem internen System zu kopieren und in unsichere Medien und Anwendungen einzufügen. Ein ITM-System für denselben Endpunkt hingegen überwacht die Zwischenablage auf verdächtiges Benutzerverhalten, z. B. das Kopieren von Daten aus einem internen System und Einfügen in unsichere Medien und Anwendungen. Je nach Implementierung können die ITM-Systeme DLP-Prüfungen sogar als bedrohlich empfinden und falsch positive Ergebnisse melden.
Es sollte nicht überraschen, dass die beiden Ansätze konvergent sind. Wenn es viele gemeinsame Funktionen gibt, ist es sinnvoll, sie zu erweitern, anstatt sie zu duplizieren. Ein DLP-System kann beispielsweise seine Funktionalität um ITM erweitern, indem es Analysen von Benutzerentitäten und -verhalten sowie EDR-Techniken (Endpoint Detection and Response) wie maschinelles Lernen zur Erkennung ungewöhnlicher Benutzeraktivitäten (z. B. Zugriff auf sensible Daten nach Geschäftsschluss) oder die Tiefenüberwachung von Prozessen und Verbindungen einbezieht.
Es ist auch keine Überraschung, dass Data Loss Prevention das Management von Insider-Bedrohungen übertrumpft. Unternehmen, die bereits negative Erfahrungen mit der Verlagerung des Schwerpunkts weg vom zentralen Informationsschutz und hin zu spezifischen Zugangstechnologien gemacht haben, wünschen sich eher Lösungen, die ihre Informationssicherheit in den Mittelpunkt stellen.
Insider-Bedrohungsmanagement vs. Insider-Risikomanagement
Der Übergang von ITM zu DLP führt auch dazu, dass Insider-Bedrohungs- und Risikomanagement stärker als bisher getrennt betrachtet werden. Während sich das Insider-Bedrohungsmanagement auf Bedrohungen und verdächtiges Nutzerverhalten konzentriert, konzentriert sich das Insider-Risikomanagement wie DLP auf die eigentliche Ursache, in diesem Fall auf die Hauptgründe für Insider-Bedrohungen.
Da sich der Schwerpunkt des Insider-Bedrohungsmanagements mehr auf die sensiblen Informationen verlagert, die es schützen soll, kann sich das Insider-Risikomanagement jetzt noch stärker auf die Gründe konzentrieren, warum Benutzer eine Bedrohung für diese Informationen darstellen. Es kann sich sowohl mit unbeabsichtigten Bedrohungen befassen, die durch Faktoren wie unzureichende Schulung und Sensibilisierung verursacht werden, als auch mit beabsichtigten Bedrohungen, die durch Faktoren wie Unzufriedenheit der Mitarbeiter oder unzureichendes Screening bei Neueinstellungen verursacht werden.
Der Gewinner? Ihre sensiblen Daten
Die Konvergenz zwischen DLP und ITM mag zunächst schwierig erscheinen, da Unternehmen, die von dieser Konvergenz profitieren möchten, sicherstellen müssen, dass die von ihnen gewählten Lösungen keine Lücken in der Cybersicherheit schaffen. Bei der Ablösung von ITM müssen Unternehmen sicherstellen, dass alle von ITM gebotenen Sicherheitsvorteile erhalten bleiben, und diese Vorteile werden häufig aus zwei verschiedenen Perspektiven betrachtet: die zu schützenden Objekte und die Personen, die auf diese Objekte zugreifen. Bevor Unternehmen auf den Zug aufspringen und den Versprechungen einer DLP-Lösung, die umfassenden Schutz bietet, Glauben schenken, müssen sie daher eine gründliche Lückenanalyse durchführen.
FAQ's
DLP und ITM haben viele Technologien und Ansätze gemeinsam, was zu Softwarekonflikten oder sich überschneidenden Funktionen führen kann. Diese Gemeinsamkeiten sowie das zunehmende Interesse von Unternehmen, sich auf das zu schützende Gut und nicht auf potenzielle Bedrohungen zu konzentrieren, sind die Hauptgründe für die Konvergenz zwischen diesen beiden Technologien. Ein weiterer Beweggrund ist, dass die Implementierung und Wartung einer einzigen Lösung anstelle von zwei Lösungen für das Unternehmen viel einfacher und kostengünstiger ist und bessere Automatisierungsmöglichkeiten bietet.
Die Konvergenz von DLP und ITM bedeutet, dass Unternehmen ITM, dessen Funktionen in DLP-Lösungen enthalten sind, wahrscheinlich früher oder später auslaufen lassen werden. Vor dem Ausstieg müssen die Sicherheitsteams der Unternehmen jedoch potenzielle Lücken bewerten und sicherstellen, dass der Funktionsumfang der gewählten DLP-Lösung ausreichend ist.
Abgesehen von dem offensichtlichen Vorteil, nur noch eine Lösung statt zwei kaufen und warten zu müssen, besteht der größte Vorteil darin, dass sich die resultierende Lösung ganz auf das konzentriert, was für Unternehmen am wichtigsten ist - ihre Daten. Die neuen, konvergenten Lösungen werden sich natürlich mit Cyberangriffen wie Phishing sowie mit Aktivitäten von nicht vertrauenswürdigen oder böswilligen Insidern befassen, aber ihr Hauptziel wird darin bestehen, sicherzustellen, dass wertvolle Daten wie persönlich identifizierbare Informationen (PII) oder geschützte Gesundheitsinformationen (PHI) vor Diebstahl, Zerstörung oder Manipulation geschützt sind. Eine bessere Einhaltung von GDPR, HIPAA, PCI-DSS und anderen Standards, die den Wert von Informationen in den Vordergrund stellen, ist ein dringend benötigter Vorteil.