1. IT-Grundschutztag 2012 Data Loss Prevention - BSI

© GmbH 2012 S. 1, 09.02.2012 

1. IT-Grundschutztag 2012 

Data Loss Prevention 

Dr. Detlef Zimmer 

Bonn, 09. Februar 2012 

INFORMATIKZENTRUM 

DER SPARKASSEN- 

ORGANISATION GMBH


Begriffsbestimmung / Einordnung 

Gesetze 

Beispielfall 

Risikofaktoren 

Vorgehensmodell 

Maßnahmen 

Zusammenfassung 



ORGANISATION GMBH

Begriffsbestimmung und Einordnung 

� Data Loss Prevention / Data Leak Prevention / Data Leakage 

Prevention (DLP): 

� Schutz gegen den unerwünschten Abfluss von sensiblen 

Informationen 

� DLP ist keine neue Thematik 

� DLP ist ein Kernthema der Informationssicherheit, insbesondere in Bezug 

auf den Grundwert „Vertraulichkeit“, aber auch die Grundwerte 

„Verfügbarkeit“ und „Integrität“ können betroffen sein. 

� DLP ist in der jüngsten Vergangenheit durch medienwirksame Vorfälle 

(z.B. CD‘s mit Steuersünderdaten) in das Interesse der Bevölkerung und 

der Unternehmensleitungen gerückt. 

� Der Gesetzgeber hat auf die Vorfälle mit Gesetzesänderungen reagiert 

(2-te BDSG-Novelle, insbesondere §42a „Datenpannen“-Paragraph zur 

Informationspflicht und Strafgesetzbuch) 

© GmbH 2012 S. 3, 09.02.2012



Gesetze 

Beispielfall 



Maßnahmen 




ORGANISATION GMBH

Reaktion des Gesetzgebers durch die 

zweite BDSG-Novelle (1) 

� Zweite BDSG-Novelle ist am 01.09.2009 in Kraft getreten 

� Informationspflicht bei unrechtmäßiger Kenntniserlangung personenbezogener 

Daten (§42a BDSG): 

� Unternehmen sind verpflichtet, dass sie einen entdeckten Abfluss von 

bestimmten personenbezogenen Daten (z. B. den besonderen 

personenbezogenen Daten oder Informationen zu Bank und Kreditkarten) 

unverzüglich 

- der zuständigen Aufsichtsbehörde sowie 

- den Betroffenen 


mitteilen. 

� Vorraussetzung für die Mitteilung: Wenn schwerwiegende 

Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der 

Betroffenen drohen. 

� Zeitpunkt der Mitteilung: Sobald angemessene Maßnahmen zur 

Sicherung der Daten ergriffen worden sind oder nicht unverzüglich erfolgt 

sind und die Strafverfolgung nicht mehr gefährdet wird.

Reaktion des Gesetzgebers durch die 

Zweite BDSG-Novelle (2) 

� Katalog vertraglich (schriftlich) zu regelnder Mindestinhalte einer 

vertraglichen Vereinbarung zur Auftragsdatenverarbeitung zzgl. erweiterter 

Kontroll- und Dokumentationspflichten des Auftraggebers (§11 (2) BDSG; 

Auszug): 

� die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm 

vorzunehmenden Kontrollen, 

� die Kontrollrechte des Auftraggebers und die entsprechenden Duldungsund 

Mitwirkungspflichten des Auftragnehmers, 

� mitzuteilende Verstöße des Auftragnehmers oder der bei ihm 

beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener 

Daten oder gegen die im Auftrag getroffenen Festlegungen, 

� der Umfang der Weisungsbefugnisse, die sich der Auftraggeber 

gegenüber dem Auftragnehmer vorbehält, 


� die Rückgabe überlassener Datenträger und die Löschung beim 

Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Strafgesetzbuch 

� § 202a Ausspähen von Daten 

� § 202b Abfangen von Daten 

� § 202c Vorbereiten des Ausspähens und Abfangens von Daten 

� § 203 Verletzung von Privatgeheimnissen 

� § 263a Computerbetrug 

� § 303a Datenveränderung 

� § 303b Computersabotage 




Gesetze 

Beispielfall 



Maßnahmen 




ORGANISATION GMBH

Beispielfall (1) 

� Kreditkartendatenklau in größerem Umfang im Herbst 2009 

� Beteiligte Unternehmen: 

� Diverse Banken 

� Kreditkartenunternehmen Visa und Mastercard 

� Spanischer Kartendienstleister Sermepa 

� Hohe Anzahl an Kreditkarten musste umgetauscht werden 

� Allein in Sparkassenfinanzgruppe wurden mehr als 200.000 Karten mit 

einem Schaden von mehr als 1 Mio. € umgetauscht 

� Datenleck unklar und nicht nachweisbar 

(zumindest in der Außendarstellung) 

� Kostenverteilung unklar: 

Der größte Anteil wurde vermutlich von den Banken getragen 


Beispielfall (2) 

� Reaktion der Beteiligten teilweise sehr unprofessionell: 

� In manchen Fällen wurden Kreditkarten gesperrt, ohne vorab die 

Kunden hierüber zu informieren 

� Die Direktorin des Kartendienstleister Sermepa für Kommunikation, Rosa 

Ovejero, erklärte: „Wir können ausschließen, dass es zu einem 

Datenverlust in unserem System gekommen ist.“ 

� „Fingerpointing“ 




Gesetze 

Beispielfall 



Mögliche präventive Maßnahmen 




ORGANISATION GMBH

Risikofaktoren (1) 

� Sensitivität von Informationen 

� Faktoren, die die Zugriffsmöglichkeiten beeinflussen: 


� Zugriffsrechte: 

- Umsetzung des Need-to-Know-Prinzips / Least-privilege-Prinzips 

(s. MaRisk AT 7.2 und MaComp AT 6.2) 

- Berücksichtigung der Zugriffsrechte auf allen IT-Architekturebenen 

� Datenformat: 

- Standardformate 

- Proprietäre Formate 

- Verschlüsselte Daten


� Faktoren, die die Zugriffsmöglichkeiten beeinflussen (Forts.): 


� Datenredundanzen 

� Datenvolumen / Kumulation 

� Zugriffswege 

- Vernetzung der Systeme / Abschottung der Systeme 

- Schnittstellen 

- Zutrittsschutz 

� Sensibilisierung


� Datenkopierbarkeit / Datenvervielfältigung: 

� Sich merken 

� Abschreiben 

� Abfotografieren 

� Ausdrucken 

� Auf mobile Datenträger kopieren 

� Über das Netz kopieren bzw. per E-Mail verschicken 

� Erkennbarkeit / Nachvollziehbarkeit des Datenabflusses: 

� Protokollierung 

� Auswertung 

� Verfolgung von Auffälligkeiten (z.B. Kundenabwanderungen) 

� Forensik 

� Zusammenarbeit mit Betriebsrat und Datenschutzbeauftragten 




Gesetze 

Beispielfall 



Maßnahmen 




ORGANISATION GMBH


� Bestandsaufnahme: 

� Klassifizierungsschema für Sensitivitätsstufen festlegen 

� Daten Sensitivitätsstufen zuordnen 

� Daten Lokalisieren 

� Risikobewertung: 

� Relevanz von Risikofaktoren bestimmen und bewerten 

� Risikobewertung 

� Maßnahmen: 

� SIZ-DLP-Maßnahmenliste anpassen 

� Maßnahmen auswählen 




Gesetze 

Beispielfall 



Maßnahmen 




ORGANISATION GMBH

Vorbeugende Maßnahmen: Beispiele (1) 

� Organisatorische Richtlinien: 

� Rolle Datenowner und seine Aufgaben festlegen 

� Allgemeine Regelungen / Arbeitsanweisungen erstellen, wie z.B.: 


- Mobile Datenträger sind grundsätzlich zu verschlüsseln 

- Aufgeräumte Schreibtische und Büros 

- Dokumente sollten so aufbewahrt werden, dass Unbefugte keinen Einblick erhalten 

- Regelmäßiges Löschen des elektronischen Papierkorbes 

- In öffentlichen Bereichen (Bahnhof, Flugzeug, Zug, Wartehalle, etc.) ist grundsätzlich 

Vorsicht geboten beim Austausch oder beim Verarbeiten von unternehmenseigenen 

oder kundenspezifischen Informationen (persönliches Gespräch, Telefonat, Arbeit am 

Bildschirm). 

� Sensitivitätsstufen mit entsprechenden Handlungsanweisungen zu den Themen 

Zugriff, Übertragungswege, Ablage, Kopieren, Druck und Vernichtung definieren 

� Sensibilisierung für DLP

Vorbeugende Maßnahmen: Beispiele (2) 

� Zugriffsrechte auf ein Minimum einschränken: 


� Prinzip „least privilege“ auf allen Architekturebenen verfolgen 

� Verschlüsselung: 

� Verschlüsselte Ablage 

� Verschlüsselte Kommunikation 

� Datenredundanzen vermeiden 

� Zugriffswege einschränken: 

� Schnittstellen reduzieren 

� Netzzugang restriktiv konfigurieren 

� Verwendung von Aufzeichnungsgeräten und mobilen Speichermedien 

unterbinden / einschränken 

� Ausdruckbarkeit von sensiblen Dokumenten unterbinden / einschränken 

� Berücksichtigung des Themas DLP bei der IT-Sicherheitsarchitektur 

� DLP-Produkt einsetzen

Erkennende Maßnahmen: Beispiele 

� Protokollierung und Auswertung von Datenzugriffen auf allen 

Architekturebenen 

� Einsatz von Content-Scannern für E-Mail und Web 

� Konfiguration der Content Scanner: 

� Größenbeschränkung für zu übermittelnde Dokumente / Datenströme 

� Sensible Schlüsselwörter 

� Sensible Datenformate 

� Konfiguration der URL-Filter: 

� Restriktive Freischaltung von notwendigen und vertrauenswürdigen Domänen 


Reagierende Maßnahmen: Beispiele 

� Prozess Sicherheitsvorfallbearbeitung um das Szenario DLP erweitern 

bzw. anpassen, insbesondere: 

� Forensik berücksichtigen 

� Ursache für den Vorfall ermitteln 

� Beweise über den Vorfall (gerichtsverwertbar) zusammenstellen 

� Schwachstelle im Rahmen des Problemmanagements nachhaltig schliessen 

� Betroffene Kunden und Partner ermitteln 

� Schadensminimierende Maßnahmen ergreifen (z.B. Kreditkarten sperren bei 

einer Kompromittierung von Kreditkarten) 

� Richtlinien für die Kommunikation mit betroffenen Kunden, Partnern, 

Behörden, Aufsichtsbehörden, Kriminalämter und Medien festlegen 




Gesetze 

Beispielfall 



Maßnahmen 




ORGANISATION GMBH


� DLP ist ein Kernthema der Informationssicherheit und wird unter dem 

Grundwert Vertraulichkeit adressiert 

� DLP ist nicht neu, ist aber in jüngster Vergangenheit vermehrt in den 

Fokus des Managements gerückt 

� Bevor DLP-Maßnahmen in großem Umfang umgesetzt werden, sollte 

eine Risikoanalyse durchgeführt werden 

� Insbesondere über den Einsatz eines DLP-Produktes sollte nur nach 

einer Kosten/Nutzen-Analyse entschieden werden 

� I. d. R. existieren eine Reihe anderer, wirksamer, aber weniger 

kostenintensiver Maßnahmen 


Vielen Dank für Ihre Aufmerksamkeit 


Dr. Detlef Zimmer 

Diplom-Informatiker 

CISM, CISA, CISSP, 

zertifizierter SAP NetWeaver Security Consultant, 

lizenzierter ISO 27001 Auditteamleiter auf Basis von IT-Grundschutz, 

akkreditierter Qualitätssicherungsprüfer der IT-Revision 

Simrockstr. 4 

53113 Bonn 

Telefon: +49 (228) 4495 7344 

Telefax: +49 (228) 4495 7555 



ORGANISATION GMBH 

E-Mail: 

Detlef.ZImmer@SIZ.de 

Internet: 

http://www.siz.de 



ORGANISATION GMBH

1. IT-Grundschutztag 2012 Data Loss Prevention - BSI

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?