Best Practices Data Loss Prevention

Der Schaden, der durch versehentlichen Datenverlust und Industriespionage entsteht, wird in Deutschland auf mehr als 100 Milliarden Euro geschätzt. Der Branchenverband Bitkom untersucht regelmäßig die Folgen von Spionage und Datendiebstahl [1]. Die geschätzten Schäden sind in den letzten Jahren ebenso kontinuierlich gestiegen wie der Anteil betroffener Unternehmen.

Der Begriff Data Loss Prevention (DLP) erfüllt alle Bestandteile eines Buzzwords. Unter dem Begriff, oder der verwandten Data Leakage Prevention, vermarkten Sicherheitsunternehmen und Berater Konzepte und Software zum Schutz von Unternehmensdaten vor Datenverlust. Leider gibt es dabei keine DLP-spezifischen Standards, sodass die Produkte nur bedingt miteinander vergleichbar sind. Es gibt jedoch in Compliance-Anforderungen immer wieder Bestandteile, die sich für eine DLP-Umsetzung eignen.

Der Payment Card Industry Data Security Standard (PCI DSS) etwa erfordert die Installation einer Firewall, die Einschränkung von Datenzugriffen auf das Notwendige, eindeutige Benutzerkonten für jeden Computerbenutzer und die Protokollierung und Prüfung der Zugriffe auf die sensiblen Daten. Auch die Datenschutz-Grundverordnung (DSGVO), der IT-Grundschutz und das IT-Sicherheitsgesetz fordern unter anderem DLP-Maßnahmen zum Schutz von Kunden- oder Unternehmensdaten.

Daten sichten und bewerten

Bevor sich ein Unternehmen auf die Suche nach einer passenden Schutzmaßnahme macht, ist es notwendig, die vorhandenen Daten zu sichten und zu bewerten. Grundsätzlich sind alle im Unternehmen anfallenden Daten schützenswert. Allerdings hilft es beim Einschätzen der Kritikalität, die Daten in unterschiedliche Klassen einzuteilen. Die Tabelle auf der nächsten Seite zeigt die beispielhafte Einteilung von im Unternehmen anfallenden Daten und der Lage dieser Daten im Unternehmen. Die Einteilung unterscheidet die Daten in die drei Klassen

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.