English
In der 6. Folge unseres Podcast „Die Datenpragmaten“ zum Thema „Von Data Loss zu Data Leakage“ diskutierten Nico Schunter und Henning Dey, beide Business Architects bei Serviceware, über eines der spannendsten Themen der Datensicherheit: Data Leakage Prevention (DLP). Dabei beleuchtet die beiden Daten-Experten nicht nur technische Aspekte, sondern auch organisatorische und menschliche Faktoren.
Hören Sie die komplette Podcast-Folge hier: Die Datenpragmaten - Die IT-Podcast-Serie
Henning Dey: Hallo Nico!
Nico Schunter: Hallo Henning! Heute geht es um ein sehr spannendes Thema in der IT. Nämlich die Prävention von Datenverlusten in der Unternehmens-IT. Dabei fallen oft zwei Begriffe: Data Loss und Data Leakage.
Nico Schunter: Richtig! Aber was ist der Unterschied zwischen Data Loss und Data Leakage eigentlich genau?
Henning Dey: Data Loss bedeutet: Die Daten sind weg, meist durch technische Probleme - das kann durch einen Hardwarefehler oder eine fehlgeschlagene Datensicherung passieren. Data Leakage hingegen ist subtiler – Daten dringen ohne Absicht nach außen, oft in kleinen Tropfen. Diese Informationen können über unsichere Kanäle oder durch menschliche Fehler entweichen, ohne dass das sofort bemerkt wird. Beide Szenarien sind gefährlich, aber die Auswirkungen sind unterschiedlich. Bei Data Loss verlieren Unternehmen ihre Daten und damit oft auch ihre Arbeitsfähigkeit (Resilienz). Data Leakage hingegen gefährdet die Sicherheit und den Wettbewerbsvorteil, etwa wenn vertrauliche Dokumente, Konstruktionspläne oder Kundendaten in falsche Hände geraten.
Ein Beispiel aus dem Alltag: Ein Mitarbeiter druckt sensible Unterlagen aus, lässt sie versehentlich liegen, und jemand anderes nimmt sie mit. Auch das ist Data Leakage – und es passiert viel häufiger, als man denkt.
Nico Schunter: Warum ist DLP wichtig für Unternehmen?
Henning Dey: Es geht um mehr als nur den Schutz von Daten. Es geht um das Vertrauen eurer Kunden, euren Wettbewerbsvorteil und manchmal sogar um die Existenz des Unternehmens.
Nico Schunter: Aber was motiviert Unternehmen wirklich? Die Angst vor Reputationsverlust oder vor rechtlichen Konsequenzen?
Henning Dey: Beides. Ein Verstoß gegen die DSGVO kann hohe Bußgelder nach sich ziehen. Aber schlimmer ist oft der Vertrauensverlust. Wenn bekannt wird, dass Unternehmen ihre Kundendaten nicht schützen, wird das deren Image schädigen – manchmal irreparabel. Ein Datenleck kostet dich also oft mehr als nur Geld – es kostet dich Glaubwürdigkeit.
Nico Schunter: Ja, richtig. Stell dir vor, du entwickelst eine bahnbrechende Technologie, sagen wir einen revolutionären Elektromotor. Und jemand schickt die Pläne per E-Mail an einen externen Fertiger. Die E-Mail wird abgefangen, und ein Wettbewerber bringt das Produkt zuerst auf den Markt. Dein Vorsprung ist weg.
Wie können Unternehmen denn herausfinden, welche Daten sie schützen müssen?
Henning Dey: Das fängt bei der Datenklassifikation an. Ohne zu wissen, welche Daten ihr habt, wo sie liegen und wer Zugriff hat, könnt ihr keine sinnvollen Maßnahmen ergreifen.
Viele Unternehmen wissen nicht, was wie und wo sie speichern – und das macht sie zu „digitalen Messies“. Ein CTO sagte mir einmal, dass sie ihre Daten nach rund 14,5 Jahren löschen. Warum so ein seltsamer Zeitraum? Weil er dann in Rente geht! Solche Aufräumarbeiten werden einfach auf den Nachfolger verschoben.
Unternehmen sollten daher regelmäßig prüfen, welche Daten sie tatsächlich benötigen, welche archiviert werden können und welche gelöscht werden sollten. Das schafft nicht nur Sicherheit, sondern spart auch Kosten.
Henning Dey: Welche Rolle spielen denn Mitarbeitende bei Data Leakage?
Nico Schunter: Der Mensch ist oft das größte Risiko – der berühmte Layer 8 zwischen Tastatur und Stuhl.
Viele Sicherheitsprobleme entstehen durch Unachtsamkeit. Ein entsperrter Bildschirm, ein USB-Stick, der nicht abgesichert ist, oder der Upload von Daten auf unsichere Plattformen – all das sind potenzielle Schwachstellen. Was ist der Schlüssel zu weniger Fehlern?
Henning Dey: Eindeutig Awareness, also Aufmerksamkeit. Mitarbeitende müssen verstehen, dass digitale Informationen genauso wertvoll sind wie physische Besitztümer.
Nico Schunter: Wenn also jemand den Bildschirm nicht sperrt, könnte man eine scherzhafte E-Mail an alle schicken: „Die nächste Pizza geht auf mich!“. Solche Aktionen sorgen für Lacher und schärfen gleichzeitig das Bewusstsein. (lacht)
Aber welche technischen Lösungen unterstützen denn DLP?
Henning Dey: Es gibt zahlreiche Tools, aber sie sind nur so gut wie die Prozesse, in die sie eingebettet sind.
Moderne DLP-Lösungen wie Symantec DLP oder Microsoft Purview bieten Überwachungs- und Schutzfunktionen. Sie können USB-Ports deaktivieren, sensible Daten in E-Mails erkennen und riskante Web-Uploads blockieren. Aber ohne klare Richtlinien wissen die Tools nicht, welche Daten schützenswert sind.
Daher würde ich allen Unternehmen raten: Fangt mit den wichtigsten Daten an. Oft reichen kleine, gezielte Maßnahmen wie etwa die Verschlüsselung sensibler Dateien aus, um einen großen Unterschied zu machen. Es geht nicht darum, alles gleichzeitig zu sichern, sondern Prioritäten zu setzen. Verschlüsselt sensible Dateien, beschränkt den Zugriff und definiert klare Regeln.
On-demand Webinar
Data Loss Prevention: Meistern Sie Ihr Projekt einfach und erfolgreich
Schaffen Sie in Ihrem Unternehmen beste Voraussetzungen, um Datenverlust und Insiderbedrohungen rechtzeitig zu erkennen und zu stoppen.
Henning Dey: Nico, was ist denn das „Schwebebalken-Theorem“ und warum ist es hier wichtig?
Nico Schunter: Das Schwebebalken-Theorem beschreibt die Balance, die Unternehmen zwischen den rechtlichen Anforderungen und dem Datenschutz finden müssen. Auf der einen Seite müssen Unternehmen nach ISO 27001 ihre Daten aufbewahren, auf der anderen Seite fordert die DSGVO, dass personenbezogene Daten gelöscht werden. Ohne klar definierte Prozesse wird es für die IT-Abteilung schwierig, diese Balance zu halten.
Henning Dey: Verstehe! Ohne klare Prozesse regiert Willkür. Und das kann sich niemand leisten. Der Schlüssel ist die Prozessdokumentation. Unternehmen müssen ihre Prozesse definieren und regelmäßig überprüfen, um sicherzustellen, dass sie in Übereinstimmung mit den geltenden Vorschriften handeln. Prozesse sind wie Stützräder, die Unternehmen helfen, auf diesem Balanceakt stabil zu bleiben.
Nico Schunter: Wie können Unternehmen die Effektivität ihrer DLP-Maßnahmen messen?
Henning Dey: DLP ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Deshalb sollten Unternehmen regelmäßig Audits durchführen, um zu prüfen, ob ihre DLP-Maßnahmen effektiv sind. Sie sollten auch Vorfälle analysieren, um daraus zu lernen und ihre Maßnahmen entsprechend anzupassen.
Daher würde ich empfehlen, alle Datenprozesse kritisch zu hinterfragen: Warum wurde diese Datei per E-Mail verschickt? Was hätte man anders machen können? Solche Analysen helfen, Schwachstellen zu identifizieren und gezielt zu schließen.
Auch das Engagement der Mitarbeitenden kann ein Indikator sein: Wenn Mitarbeitende Fragen stellen oder Vorschläge machen, zeigt das, dass sie sensibilisiert sind. Das ist ein gutes Zeichen für eine erfolgreiche DLP-Strategie.
Nico Schunter: Was sind die ersten Schritte für Unternehmen, die DLP einführen möchten?
Henning Dey: Redet über Datensicherheit. Dokumentiert alles. Fangt klein an und arbeitet euch vor. Mal ein Beispiel aus der Praxis: Ein Unternehmen wollte DLP für 3.000 Mitarbeitende einführen. Dabei waren es nur 150 Entwickler, die mit den sensiblen Daten arbeiteten. Durch Fokus auf diese Gruppe konnten sie Zeit und Geld sparen.
Der erste Schritt ist immer die Sensibilisierung der Mitarbeiter. Dann müssen Unternehmen klar definieren, welche Daten geschützt werden müssen und wie diese geschützt werden sollen. Anschließend müssen sie DLP-Tools integrieren, die diese Daten schützen. Es ist jedoch wichtig, dass DLP keine Einzelfalllösung bleibt, sondern ein fortlaufender Vorgang ist.
Dazu gehört auch, bestimmte Kanäle wie USB-Ports, riskante Webdienste oder Cloud-Anwendungen konsequent zu blockieren. Es geht also nicht darum, alles auf einmal zu lösen, sondern Prioritäten zu setzen.
Nico Schunter: Und am Ende geht es auch darum, dass DLP nicht als Bürde wahrgenommen wird, sondern als ein Vorteil für das Unternehmen, richtig?
Henning Dey: Absolut. DLP schützt nicht nur vor Datenverlust, sondern sorgt auch dafür, dass Unternehmen ihre Daten sicher und effizient verwalten. Es ist ein Wettbewerbsvorteil, den Unternehmen nicht unterschätzen sollten.
Fazit: DLP ist ein Marathon, kein Sprint
Data Leakage Prevention (DLP) schützt Unternehmen vor Datenverlust, rechtlichen Konsequenzen und Reputationsschäden. Der Schlüssel zum Erfolg liegt in der Kombination aus der richtigen Technologie, klaren Prozessen und einer sensibilisierten Belegschaft. Unternehmen, die sich ernsthaft mit DLP beschäftigen, sind auf dem besten Weg, ihre Daten nachhaltig zu sichern und ihren Wettbewerbsvorteil zu bewahren.
➡️Jetzt mehr erfahren und Termin vereinbaren!
Proofpoint Studie belegt die massiven Schäden, die durch Datenverlust entstehen
Einer aktuelle Umfrage des IT-Security Spezialisten Proofpoint unter ca. 600 IT-Sicherheitsexperten zu Folge, belegt die massiven folgen, die Datenverluste mit sich bringen. Für uns sind die wichtigsten 4 Aspekte dieser Studie:
- Datenverlust ist ein menschliches Problem
Tools sind wichtig, aber Datenverluste sind definitiv ein menschliches Problem. Daten aus dem Jahr 2023 von Tessian, einem Unternehmen von Proofpoint, zeigen, dass 33 % der Benutzer durchschnittlich knapp zwei fehlgeleitete E-Mails pro Jahr versenden. Und Daten von Proofpoint Information Protection deuten darauf hin, dass nur 1 % der Benutzer für bis zu 90 % der DLP-Warnungen in vielen Unternehmen verantwortlich sind. - Datenverluste werden oft durch Unachtsamkeit verursacht
Böswillige Insider und externe Angreifer stellen eine erhebliche Bedrohung für Daten dar. Mehr als 70 % der Befragten gaben jedoch an, dass unvorsichtige Benutzer eine Ursache für Datenverluste in ihrem Unternehmen sind. Im Gegensatz dazu nannten weniger als 50 % kompromittierte oder falsch konfigurierte Systeme. - Datenverlust ist weit verbreitet
Die überwiegende Mehrheit der Teilnehmer an unserer Umfrage meldete mindestens einen Vorfall von Datenverlust. Der weltweite Durchschnitt liegt bei 15 Vorfällen pro Unternehmen. Das Ausmaß dieses Problems ist erschreckend, da hybrides Arbeiten, die Einführung der Cloud und die hohe Mitarbeiterfluktuation ein erhöhtes Risiko für Datenverluste mit sich bringen. - Datenverlust ist schädlich
Mehr als die Hälfte der Befragten gab an, dass Datenverluste zu Geschäftsunterbrechungen und Umsatzeinbußen führen. Das sind aber nicht die einzigen schädlichen Folgen. Fast 40 % gaben an, dass ihr Ruf geschädigt wurde, und mehr als ein Drittel sagte, dass ihre Wettbewerbsposition geschwächt wurde. Darüber hinaus berichteten 36 % der Befragten, dass sie von behördlichen Strafen oder Bußgeldern betroffen waren.
Quelle: https://www.proofpoint.com/us/blog/information-protection/2024-data-loss-landscape-report-dlp , Proofpoint 2024
Begriffe und Bedeutungen
Data Leakage Prevention (DLP): Eine Sicherheitsstrategie, die darauf abzielt, die ungewollte Weitergabe sensibler Informationen aus einem Unternehmen zu verhindern. DLP-Lösungen erkennen und blockieren potenziell riskante Datenbewegungen.
Data Loss: Der Verlust von Daten, meist durch technische Probleme wie Hardwareausfälle oder fehlerhafte Datensicherungen. Dies kann die Arbeitsfähigkeit eines Unternehmens beeinträchtigen.
Data Leakage: Das unbemerkte Abfließen sensibler Daten, oft durch menschliche Fehler oder unsichere Kanäle. Data Leakage gefährdet die Sicherheit und den Wettbewerbsvorteil eines Unternehmens.
DSGVO (Datenschutz-Grundverordnung): Eine europäische Verordnung, die den Schutz personenbezogener Daten und die Rechte der Betroffenen regelt. Verstöße können hohe Bußgelder nach sich ziehen.
ISO 27001: Ein internationaler Standard für Informationssicherheitsmanagementsysteme (ISMS). Er hilft Unternehmen, Daten systematisch zu schützen und Risiken zu minimieren.
Datenklassifikation: Der Prozess, bei dem Daten kategorisiert und nach ihrer Sensibilität eingestuft werden, um entsprechende Schutzmaßnahmen zu ergreifen.
Awareness: Das Bewusstsein und die Sensibilisierung der Mitarbeitenden für die Bedeutung von Datensicherheit. Schulungen und gezielte Aktionen helfen, Sicherheitsrisiken durch menschliches Versagen zu minimieren.
