Erziehung der Anwender
Der eigentliche Charme von DLP liegt nicht notwendigerweise in der harten Unterbindung nicht autorisierter Datenexporte, sondern eher in der Gewöhnung der Mitarbeiter an sicherheitsbewusste Arbeitsabläufe. Mitarbeiter, die routinemäßig vom DLP-Produkt darauf aufmerksam gemacht werden, dass ein versuchter Datenexport möglicherweise gefährlich ist, und die entsprechenden Daten verschlüsselt werden sollten, werden von sich aus ihre Einstellung ändern und frühzeitig zur Verschlüsselung greifen. In diesem Sinne ist eine sanfte, aber progressive Einführung von DLP-Richtlinien am vielversprechendsten: Zuerst sehen Mitarbeiter nur automatisierte Warnungen, die auf potentielle Gefahren aufmerksam machen. Wird dieser Schritt akzeptiert, so kann man nach und nach daran gehen, die Restriktionen auch hart durchzusetzen.
Man sollte sich aber nicht der Illusion hingeben, dass DLP allein Datenspione mit fundierten IT-Kenntnissen davon abhalten kann, vertrauliche Daten aus dem Unternehmen zu schmuggeln. Zu vielfältig sind die Wege, mit denen Daten kodiert oder verschleiert über kaum dokumentierte Kommunikationskanäle, wie zum Beispiel exotische Instant Messenger, aus dem System geschleust werden können. DLP-Produkte können solche Lecks kaum vollständig abdichten. Hier sind also noch weitere Maßnahmen erforderlich, wie zum Beispiel eine effiziente Kontrolle der Applikationen, die dem Anwender zur Verfügung stehen.
Angreifer verraten sich bisweilen durch den “elektronischen Staub”, den sie aufwirbeln, bevor sie erfolgreich ein noch nicht gestopftes Leck nutzen können. Typischerweise gehen die ersten Versuche zum Datenexport schief, und das lässt sich später in den Protokollierungsdateien des DLP-Produkts und eventuell des Betriebssystems identifizieren. Eine regelmäßige Kontrolle der Protokollierung hilft also, nach und nach vorhandene Lücken zu schließen. (ph)