Was bedeutet Cloud-DLP (Data Loss Prevention)?

Warum ist Cloud-DLP so wichtig?

Als sensible Daten noch auf Papier gedruckt wurden, reichte für ihren Schutz oftmals ein verschlossener Aktenschrank. Heute aber bewegen sich Daten zwischen Rechenzentren, Cloud-Anbietern und Endgeräten und sind unzähligen möglichen Sicherheitsrisiken ausgesetzt. Um sie vor unbefugtem Zugriff zu schützen, braucht es daher eine umfassende Strategie zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP).

Zur Erarbeitung einer geeigneten DLP-Strategie sollten die Leiter der Fachabteilungen und die IT-Verantwortlichen zusammenkommen, um gemeinsam unternehmensspezifische Kriterien für sensible Daten und den richtigen Umgang mit solchen Daten festzulegen sowie Datenschutzverstöße zu definieren. Basierend auf diesen Sicherheitsrichtlinien – einschließlich Datenklassifizierung, Informationen zu Data Protection und Compliance sowie Verfahren zur Problembehebung – können dann DLP-Richtlinien erstellt werden.

Oft ergibt sich der unmittelbare Anreiz für den Einsatz von DLP aus der Notwendigkeit zur Einhaltung einschlägiger Vorschriften (DSGVO, HIPAA, PCI DSS usw.), um Bußgelder oder Einschränkungen des Geschäftsbetriebs zu vermeiden. Datenpannen bergen jedoch auch das Risiko, dass personenbezogene Daten von Endusern offengelegt werden. Damit drohen dem betroffenen Unternehmen der Verlust von Kunden, die Schädigung der Marke oder sogar rechtliche Konsequenzen. Mit einer gut definierten DLP-Richtlinie, die durch ordentlich verwaltete Begleittechnologien unterstützt wird, lassen sich diese Risiken maßgeblich reduzieren.

Vorteile der Cloud Data Loss Prevention

Eine cloudbasierte DLP bietet mehrere Vorteile:

• Einfache Skalierbarkeit, um wachsenden Datenmengen und sich verändernden Informations-Ökosystemen gerecht zu werden
• Geringere Infrastrukturkosten durch den Verzicht auf lokale Hardware und den damit verbundenen Wartungssaufwand
• Ortsunabhängiger Schutz für User und Zweigstellen ohne Backhauling zum Rechenzentrum
• Schnellere Bereitstellung und Konfiguration als bei On-Premise-DLP
• Automatische Updates aus der Cloud mit aktuellen Informationen und Funktionen ohne Ausfallzeit

Verfahren zur Verhinderung von Datenverlusten in der Cloud

Einfach ausgedrückt, identifiziert die cloudbasierte DLP-Technologie schutzbedürftige Daten und schützt diese dann angemessen. Je nach Konfiguration kann eine DLP-Lösung Daten im Einsatz, auf Übertragungswegen oder im Ruhezustand (oder in mehreren dieser Zustände) erkennen und entscheiden, ob sie als sensibel zu klassifizieren sind. Zu diesem Zweck können DLP-Agents verschiedene Techniken verwenden, darunter:

• Regelbasierter Abgleich bzw. „reguläre Ausdrücke“: Dies ist eine Technik zur Erkennung vertraulicher Daten auf der Grundlage vorformulierter Regeln (z. B. handelt es sich bei 16-stelligen Zahlen oft um Kreditkartennummern). Wegen der hohen Fehlalarmquote eignet sich der regelbasierte Abgleich am ehesten als erster Durchgang, dem eine gründlichere Überprüfung folgt.
• Exakter Datenabgleich (Datenbank-Fingerprinting): Bei dieser Technik werden Daten erkannt, bei denen eine exakte Übereinstimmung mit anderen vertraulichen Daten vorliegt, die bereits mit sogenannten Fingerabdrücken versehen wurden. In der Regel stammen diese Daten aus einer bereitgestellten Datenbank.
• Exakter Dateiabgleich: Im Unterschied zum exakten Datenabgleich werden bei dieser Technik übereinstimmende Datei-Hashes identifiziert, ohne dass der Inhalt der Datei analysiert wird.
• Teilweiser Dokumentenabgleich: Mit dieser Technik werden vertrauliche Daten durch Abgleich mit vorgegebenen Mustern oder Vorlagen erkannt (z. B. mit dem Format eines Standardformulars für Patienten in der Notaufnahme).
• Maschinelles Lernen, statistische Analyse usw.: Diese Techniken beruhen auf dem Einspeisen großer Datenmengen in ein Lernmodell. Dieses Modell wird dadurch „geschult“, potenziell sensible Datenfolgen zu erkennen. Diese Techniken haben sich insbesondere zur Erkennung unstrukturierter Daten bewährt.
• Benutzerdefinierte Regeln: Die konkreten Datentypen, die erkannt und geschützt werden müssen, unterscheiden sich von Organisation zu Organisation. Die Mehrzahl der heutigen DLP-Lösungen unterstützt daher die Konfiguration benutzerdefinierter Regeln, die neben den vorformulierten Regeln angewendet werden.

Geeignete Maßnahmen zum Schutz der als vertraulich identifizierten Daten werden in der DLP-Richtlinie des Unternehmens festgelegt. Wie diese Maßnahmen im Einzelnen aussehen, hängt wiederum stark davon ab, warum die betreffenden Daten geschützt werden sollen.

Die wichtigsten Anwendungsfälle für Cloud DLP

Organisationen müssen die Sicherheit vertraulicher Daten nicht zuletzt deshalb gewährleisten, um sich vor Verlusten anderer Art zu schützen – beispielsweise der Abwanderung von Kunden, entgangenen Umsätzen und Reputationsschäden – und sicherzustellen, dass alle geltenden branchenspezifischen bzw. gesetzlichen Vorschriften eingehalten werden. Der Schutz vertraulicher Daten setzt selbstverständlich voraus, dass die Organisation einen genauen Überblick darüber hat, welche Daten betroffen sind und wo sie sich befinden. Entsprechend ergibt sich ein weiterer wichtiger Anwendungsfall für DLP: Gewährleistung von Transparenz.

Hier noch einmal die wesentlichen Anwendungsfälle im Überblick:

• Schutz von sensiblen Daten während der Übertragung und im Ruhezustand: DLP schützt vertrauliche Informationen, die zwischen mehreren Endgeräten, Netzwerken und Clouds übertragen oder dort gespeichert werden, mittels Verschlüsselung, Zugriffskontrollen und Überprüfung auf verdächtige Aktivitäten.
• Wahrung der Konformität mit geltenden Vorschriften: Mithilfe von DLP-Richtlinien und ‑Technologien können Organisationen Zugriffskontrollen anwenden, die Anwendungsnutzung überwachen und Audits durchführen, um die Übereinstimmung ihrer Verfahren mit gesetzlichen Datenschutzbestimmungen wie DSGVO, HIPAA und PCI DSS sicherzustellen.
• Gewährleistung umfassender Datentransparenz: DLP gewährt Organisationen wertvolle Einblicke in ihre Daten, einschließlich Informationen darüber, wo sich vertrauliche Informationen befinden und wohin sie übertragen werden, wer Zugriff darauf hat und wie sie verwendet werden. Auf dieser Grundlage lassen sich Schwachstellen und riskante Aktivitäten identifizieren und Datenpannen dadurch beheben oder verhindern.

5 Lösungen für Cloud-DLP

Da kein Verfahren alle Anwendungsfälle und Datenverlustrisiken allein abdecken kann, beinhalten effektive Data-Protection-Lösungen heutzutage mehrere Funktionen. Hier einige der gängigsten und wichtigsten Cloud-DLP-Technologien.

1. Cloud Access Security Brokers (CASBs) überwachen und kontrollieren Useraktivitäten und Datenübertragungen zwischen Endgeräten und Cloud-Anwendungen. Dabei werden Sicherheitsrichtlinien durchgesetzt, um unautorisierten Zugriff, Datenlecks und Compliance-Verstöße zu verhindern. CASB bietet Einblicke in das Userverhalten, die Anwendungsnutzung und die Datenspeicherung in Cloud-Umgebungen.
2. DLP-Software bietet Schutz vor Datenlecks bei Endgeräten, E‑Mail-Verkehr, Cloud-Services und anderen Kanälen. Durch Echtzeit-Monitoring und ‑Durchsetzung von Richtlinien werden dabei potenzielle Sicherheitsrisiken erkannt und behoben.
3. User and Entity Behavior Analytics (UEBA) umfasst die Überwachung, Analyse und Korrelation von Aktivitäten wie Userverhalten, Zugriffsmustern und Systemereignissen mit dem Ziel, Anomalien und Bedrohungen wie Insider-Angriffe, kompromittierte Konten und laterale Bewegung zu erkennen.
4. SaaS Security Posture Management (SSPM) unterstützt Organisationen bei der Bewertung und Verwaltung von Sicherheitskonfigurationen, Berechtigungen und Sicherheitsrisiken in verschiedenen SaaS-Anwendungen, damit diese exponierte Daten und unautorisierte Zugriffe aufdecken und geeignete Gegenmaßnahmen ergreifen können.
5. Browser-Isolierung dient der Ausführung von Webinhalten in einer sicheren Umgebung, um potenziell schädliche Inhalte und Aktivitäten (z. B. Drive-by-Downloads, Malware, Phishing) vom Endgerät, Netzwerk oder von vertraulichen Daten des Users fernzuhalten.

Exact Data Match für Cloud-DLP

Bislang arbeiten DLP-Lösungen mit einem sogenannten Musterabgleich, um kritische Inhalte wie Kreditkarten- und Sozialversicherungsnummern zu identifizieren. Leider ist diese Technik ungenau, weshalb die Sicherheitsteams in vielen Fällen mit Fehlalarmen bombardiert werden. Oft wird unbedenklicher Traffic nämlich blockiert, weil er ein Muster enthält, das als schützenswert identifiziert wurde.

Exact Data Match (EDM) ist eine leistungsstarke neue DLP-Technologie zur Verbesserung der Erkennungsgenauigkeit und Vermeidung von Fehlalarmen. Statt Muster abzugleichen, werden mit EDM sozusagen Fingerabdrücke von vertraulichen Daten erstellt. Anhand dieser Fingerabdrücke kann die IT-Umgebung auf Versuche überwacht werden, die jeweiligen Daten zu verschieben, und ihre unzulässige Weitergabe oder Übertragung so verhindern.

Best Practices für Cloud-DLP

Welche DLP-Strategie für Sie die richtige ist, hängt von den spezifischen Daten und Anforderungen Ihrer Organisation ab. Empfehlungen für Best Practices sind daher höchst individuell und eine ausführliche Erläuterung würde an dieser Stelle den Rahmen sprengen. Stattdessen soll die folgende Auswahl universeller Best Practices für verschiedenste DLP-Anwendungsfälle einen ersten allgemeinen Überblick geben:

• Nutzen Sie in der Anfangsphase der Bereitstellung den Überwachungsmodus („Monitor only“), um einen besseren Eindruck des Datenflusses in der gesamten Organisation zu gewinnen und auf dieser Grundlage geeignete Richtlinien zu formulieren.
• Halten Sie Mitarbeiter durch User-Benachrichtigungen auf dem Laufenden, damit Richtlinien nicht ohne ihr Wissen ausgeführt werden – denn dies kann zu Störungen der Arbeitsabläufe und damit zu Frustration führen.
• Bieten Sie Usern die Option, Feedback zu den Benachrichtigungen zu geben (um eigene Aktionen zu rechtfertigen oder fehlerhafte Richtlinien zu melden). Anhand dieser Rückmeldungen können dann die Richtlinien optimiert werden.
• Nutzen Sie erweiterte Klassifizierungstechniken wie Exact Data Match (EDM), um die Fehlalarmquote zu reduzieren.
• Setzen Sie auf eine Lösung, die über die Fähigkeit zur Entschlüsselung von TLS/SSL-Traffic verfügt, da die überwiegende Mehrheit des Internet-Traffics heute verschlüsselt ist.

Entscheiden Sie sich für Zscaler Cloud Data Loss Prevention

Angesichts steigender Risiken und Verschärfungen der Data Protection-Vorschriften sind Unternehmen unbedingt gefordert, die durch Cloud und Mobilität verursachten Sicherheitslücken zu schließen – unabhängig davon, ob diese auf Schwachstellen oder Fehlkonfigurationen zurückzuführen sind.

Früher hätte man dazu einen bereits komplexen Security-Stack um weitere Appliances ergänzen müssen. Mit Zscaler Cloud Data Loss Prevention (DLP), Bestandteil der umfassenden Zscaler Data Protection Suite, gibt es heute eine zu 100 % cloudbasierte Alternative, um Datenschutzlücken zuverlässig zu schließen – und zwar unabhängig davon, wo User sich verbinden und Anwendungen gehostet werden. Gleichzeitig werden die IT-Kosten und die Komplexität reduziert.

Zscaler DLP bietet:

• Identische Schutzmaßnahmen für alle User und Daten unabhängig vom Stand- bzw. Speicherort
• Sicherheit für alle Internetverbindungen, Endgeräte, E-Mails, SaaS-Umgebungen, interne Anwendungen und Cloud-Bereitstellungen
• Skalierbare TLS/SSL-Überprüfung mit der weltweit größten Inline-Security-Cloud
• Optimierte Workflows und Betriebsabläufe durch innovative ML-gestützte Datenerkennung

Data Visibility: The Foundation of Effective Cloud DLP

DLP can’t prevent data loss if it’s blind to traffic. This is crucial as organizations continue to move more and more data in the cloud, where three key challenges leave traditional network-based DLP unable to see the traffic it’s supposed to inspect:

• Remote users: With network DLP, the levels of visibility and protection depend on where users are. They can easily bypass inspection when off-network, connecting directly to cloud apps. Effective DLP and security policies must follow users wherever they connect, and on whatever devices they may be using.
• Encryption: The incredible growth of TLS/SSL-encrypted traffic has created a significant blind spot for network-based DLP incapable of decrypting it for inspection.
• Performance limitations: Appliance-based DLP solutions have finite resources that constrain them from scaling effectively to inspect the constantly growing amount of internet traffic inline.

Why Cloud DLP Is Critical for the Modern Cloud and Mobile-First Enterprise

To address the data protection challenges that accompany digital transformation and overcome the weaknesses of traditional enterprise DLP, you need a new mindset and new technology. Reconfiguring a traditional hardware stack for the cloud isn’t enough—it's inefficient and lacks the protection and services of a cloud-built DLP solution, including:

• Identical protection for all users on- or off-network, ensuring comprehensive data protection for all users, wherever they are—at HQ, a branch, an airport, or a home office.
• Native inspection of TLS/SSL-encrypted traffic, giving the organization crucial visibility into the traffic where more than 85% of today’s attacks hide.
• Elastic scalability for inline inspection, preventing data loss by inspecting all traffic as it comes and quarantining.

Cloud DLP Best Practices

The perfect DLP strategy depends on your organization’s data and its needs, so the best practices will vary—but that’s a subject for an entire article. Here, we’ll look at some broader DLP best practices that apply in any situation:

• Start in monitor-only mode when you first deploy to get a sense of the data flow across your organization to inform you on the best policies.
• Keep employees in the loop with user notifications so that policies aren't executed without their knowledge, as this can disrupt workflows and frustrate them.
• Ensure your users can submit feedback on notifications (to justify their actions or flag broken policies), which you can use to refine your policies.
• Leverage advanced classification measures like EDM to reduce false positives.

Get Started with Zscaler Cloud Data Loss Prevention

100% cloud-delivered Zscaler Data Loss Prevention, part of Zscaler Data Security. Zscaler DLP empowers you to close your data protection gaps no matter where your users or applications are—while simultaneously reducing IT cost and complexity.

Zscaler DLP provides:

• Identical protection for users and data anywhere
• Protection across internet, endpoint, email, SaaS, private apps, and cloud posture
• Scalable TLS/SSL inspection from the world’s largest inline security cloud
• Streamlined workflows and operations with innovative ML-powered data discovery

Ready to see how Zscaler DLP can safeguard your organization? Request a demo today!