Data Leakage Prevention fasst sämtliche technische und organisatorische Maßnahmen zusammen, die der Erkennung und Verhinderung von Datenverletzungen, Exfiltration oder unerwünschter Zerstörung von sensiblen Daten dient. Organisationen nutzen DLP, um ihre wertvollsten digitalen Assets zu schützen und zu sichern als auch um gesetzliche Vorschriften einzuhalten.

DLP bezieht sich sowohl auf den Schutz von Organisationen vor Datenverlusten als auch auf die Verhinderung von Datenlecks. Datenverluste bezieht sich auf Ereignisse, bei dem wichtige Daten für das Unternehmen verloren gehen, beispielsweise bei einem Data-Harvest-Angriff. Die Verhinderung von Datenlecks konzentriert sich darauf, die unerlaubte Übertragung von Daten außerhalb der Unternehmensgrenzen zu verhindern.

C-I-A-Dreieck – Data Leakage Prevention (DLP)

Eine Positionierung in der Cybersicherheit (C-I-A-Dreieck) kann wie folgt beschrieben werden. DLP behandelt die Vertraulichkeit, die stellt sicher, dass sensible Informationen nur von einer autorisierten Person eingesehen und von Personen ferngehalten werden, die nicht berechtigt sind, sie zu besitzen. Der Datenzugriff wird über Sicherheitsmechanismen wie Benutzernamen, Passwörter, Zugriffskontrolllisten und Verschlüsselung zur Authentifizierung verwaltet. Auch hier muss eine Datenklassifizierung vorgesehen werden, um die Informationen nach dem Ausmaß des Schadens zu kategorisieren, der verursacht werden kann, wenn sie unbeabsichtigt in die Hände geraten. Diese Klassifizierung kann auf Basis von Inhalt und Kontext erfolgen.

Darauf aufbauend müssen die Verteilergruppen, Verteilungswege und Verteilerkanäle definiert/festgelegt werden, mit denen vertrauliche Informationen geteilt und/oder verteilt werden können. In einigen Szenarien ist zu prüfen, ob der Empfänger vertrauliche Informationen, die bereits übermittelt wurden, zu einem späteren Zeitpunkt nutzen können soll. Wenn diese Eckpunkte berücksichtigt werden, können Sicherheitsmaßnahmen entsprechend implementiert werden.

Unter Verwendung unseres Frameworks für Cybersecurity erfassen wir die Anforderungen an die Vertraulichkeit sensibler Unternehmensdaten und transformieren sie mit unserer bewährte Methodik in ein klar strukturiertes Regelwerk. Einzelne Regeln können sowohl durch detaillierte Beschreibungen als auch durch standardisierte Grafiken festgehalten werden.

Die Verwendung von Grafiken kann viel Zeit sparen und dient zur Vermeidung von überlappenden und/oder widersprüchlichen Regeln. Außerdem werden so konzeptionelle Lücken äußerst effektiv vermieden.