Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

15.12.2011 - 

Datenverlust

Kombination von DLP und Verschlüsselung

Michael Schmidt
Wenn Data Leakage Prevention und Verschlüsselung zusammenspielen, haben Datendiebe kein leichtes Spiel. Sogar das IT-Budget kann davon profitieren.
Kombination von DLP und Verschlüsselung.
Kombination von DLP und Verschlüsselung.
Foto: fotolia.com/nightfly84

Vielen von uns mag die Veröffentlichung von Tausenden von vertraulichen Dokumenten durch ein Informationsleck des US State Department – die sogenannte Wikileaks-Affäre – noch ein wenig unheimlich vorkommen. Doch ein genauerer Blick auf die Umstände des Datenlecks zeigt, dass der Abfluss der Daten keineswegs unvermeidlich war. So hatten annähernd eine halbe Millionen Regierungsangestellte und freie Mitarbeiter unkontrollierten Zugriff auf diese Daten. Die von der US-Regierung gewollte, transparente Verbreitung von sicherheitspolitisch relevanten Informationen innerhalb der eigenen Behörden muss jedoch nicht zwangsweise damit einhergehen, dass jeder Adressat die ungehinderte Möglichkeit zur Weiterverbreitung erhält.

Gute Vorbereitung ist wichtig

Stellt man vertrauliche Informationen einem größeren Anwenderkreis zur Verfügung, sollte man sich bereits im Vorfeld Gedanken über potenziellen Missbrauch machen. Wenn möglich, sollte der direkte Zugriff auf die Daten nur einer Untermenge dieses Anwenderkreises erlaubt sein. Verschlüsselung der Daten kann hier sehr effizient sein, wenn man den Zugriff auf den Schlüssel auf die autorisierten Leser beschränkt. Dies ermöglicht ein Dokumenten-Verschlüsselungsprodukt mit einer leistungsfähigen Schlüsselhierarchie. Diese Hierarchie ist meist in einer Baumstruktur ähnlich der Firmenhierarchie aufgebaut. Das bedeutet, dass jeder Benutzer einen persönlichen Schlüssel zur Dokumentenverschlüsselung besitzt, und optional über die Gruppen, in denen er sich befindet, Zugriff auf weitere Schlüssel hat. Diese teilt er mit den anderen Mitgliedern der Gruppen. Der Zugriff auf den persönlichen Schlüssel ist jedoch typischerweise exklusiv für den Inhaber. Letzteres kann ein Problem darstellen, wenn der Mitarbeiter die Firma verlässt, und sein Nachfolger keinen Zugriff mehr auf die verschlüsselten Dokumente hat. Um diese Situation zu vermeiden, empfiehlt es sich, das Dokument zusätzlich mit einem weiteren sogenannten Escrow-Schlüssel zu verschlüsseln, der im Notfall noch einer weiteren Person Zugriff auf das Dokument erlaubt.

Im Sinne der Vermeidung von Datenlecks ist es auch überlegenswert, einem Mitarbeiter den vollen Zugriff - insbesondere den Export - auf seine zur Dokumentenverschlüsselung verwendeten Schlüssel zu verwehren. Somit kann er seine verschlüsselten Dokumente nur auf den Geräten bearbeiten, auf denen er dazu autorisiert ist.