Zentrale Funktionalität einer Lösung für Data Loss Prevention ist die Inhaltskontrolle. In Endpoint Protector prüft das Modul Content Aware Protection (CAP) Daten in Bewegung auf sensible Inhalte. Die Funktionalität wird zunehmend wichtiger, denn als Alternative zu USB-Stick & Co stehen massenhaft Tools für Datenaustausch und Kollaboration zur Verfügung.
Mit einem Klick ist die Mail falsch adressiert, die falsche Datei an die Mail angehängt, versehentlich in einen Messenger geladen oder mit anderen geteilt. Enthält die Datei personenbezogene Daten, die infolge des Klicks bei Adressaten landen, die nicht befugt sind, diese Informationen einzusehen, handelt es sich um eine Datenschutzverletzung entsprechend der DSGVO mit allen Folgen. Fließen geistiges Eigentum oder sensible Unternehmensinformationen auf diesem Weg ab, kann das zu erheblichen wirtschaftlichen Einbußen für das Unternehmen führen.
Verhindern lassen sich diese nicht erwünschten Datentransfers, wenn der Inhalt von Dateien bei der Übertragung geprüft wird. Sind sensible Inhalte darunter, die nur einem bestimmten Personenkreis zugänglich gemacht werden dürfen, lässt sich die Übermittlung blockieren. Die Entscheidung darüber, welche Inhalte transferiert beziehungsweise blockiert werden, trifft die Inhaltskontrolle. Sie ist die zentrale Funktionalität von DLP-Lösungen. In der DLP-Lösung Endpoint Protector ist sie als das Modul Content Aware Protection (CAP) erhältlich, welches zusätzlich zum Basisschutz Device Control verwendet werden sollte.
Vordefinierte Richtlinien für sensible Daten
Die Inhaltskontrolle arbeitet mit Mustern der Daten, die das Unternehmen als sensibel festlegt. Sie werden in CAP als Black- und White-Regeln hinterlegt. Um Unternehmen vor allem beim Schutz personenbezogener Daten schnell handlungsfähig zu machen und um für die IT-Administration die Arbeit mit Endpoint Protector zu vereinfachen, sind in CAP bereits vordefinierte Erkennungs-Schemata für Kategorien von Daten wie Adressdaten und Telefonnummern, IBAN, Kreditkarten- und Sozialversicherungsnummern, Pass- und Personalausweisnummern etc. verfügbar. Diese vordefinierten Schemata vereinfachen die Einrichtung der Richtlinien und lassen sich zudem für die Umsetzung von Richtlinien aus gesetzlichen Vorgaben und internationalen Standards wie DSGVO, HIPAA oder PCI-DSS zusammenfassen. Der Administrator kann mit einem einzigen Klick sämtliche für den Standard erforderlichen Richtlinien einrichten und muss ein passendes Paket mit personenbezogenen Daten nicht manuell zusammenstellen.
Zudem können Unternehmen zum Schutz des geistigen Eigentums oder kritischer Infrastrukturen Dateien auf unternehmensspezifische Inhalte prüfen. Dafür lassen sich individuelle Wörterbücher mit Schlüsselbegriffen anlegen. Für Quellcode und Reguläre Ausdrücke zur Analyse von Zeichenketten beispielsweise sind ebenfalls Definitionen hinterlegt. CAP ermöglicht auch die Filterung nach Dateitypen oder Namen.
Mit CAP arbeiten
Die Kategorien der sensiblen Daten, auf die die CAP-Richtlinien angewendet werden sollen, werden in Blacklists übernommen, Kategorien, die von der Anwendung der Richtlinien ausgenommen werden sollen, kommen in Whitelists. Danach wird die Richtlinie erstellt, die für die jeweilige Datenkategorie gelten soll. Zunächst werden die Betriebssysteme ausgewählt, auf die sie angewendet werden soll. In Endpoint Protector werden neben Windows auch macOS und die gängigen Linux-Distributionen abgedeckt. Danach werden die Austrittspunkte ausgewählt, die überwacht werden sollen, also Webmailer, Cloud-Speicher, Filesharing-, Collaboration-Tools etc. Die überwachten Ausgangskanäle werden fortlaufend um die neuen Tools am Markt ergänzt, damit ein flächendeckender Schutz gewährleistet werden kann und sich keine Ausweichmöglichkeiten für unerwünschte Transfers eröffnen. Die Liste der aktuell von CAP überwachten Anwendungen kann hier eingesehen werden. Zuletzt wird die Aktion bestimmt, die erfolgen soll, falls die Regel verletzt wird. Die Aktion kann darin bestehen, dass die Regelverletzung reportet oder der Transfer der Daten geblockt wird, oder aber dass sowohl reportet als auch geblockt wird.
Die Richtlinien können nun unternehmensweit angewendet werden oder nur für bestimmte Abteilungen, Gruppen, Nutzer oder Rechner. Wie bei Device Control helfen granulare Einstellmöglichkeiten dabei, Ausnahmen von strengen Regeln zuzulassen, ohne gleich einen größeren Personenkreis einbeziehen zu müssen. Über die zentrale Konsole können die Richtlinien jederzeit ein- und ausgeschaltet werden sowie Ausnahmen konfiguriert werden.
Strenge Datenschutzgesetze und steigendes Bewusstsein für den Stellenwert von Daten für den unternehmerischen Erfolg machen die Inhaltskontrolle zu einem wichtigen Instrument zum Schutz vor unerwünschtem Datenabfluss. Als technisch ausgereifte Lösung mit ausdifferenzierter Funktionalität ermöglicht CAP Unternehmen die Überwachung und Regulierung von Datentransfers in und über browserbasierte Anwendungen, ohne die Produktivität der Mitarbeiter einzuschränken.