Die vier Hauptursachen für den Verlust vertraulicher Daten

Transcription

Die vier Hauptursachen für den Verlust vertraulicher Daten
Die vier Hauptursachen für
den Verlust vertraulicher
Daten
Schutz mit content-basierten
Gateway-Lösungen
Erstellt von: Clearswift
Version 3.0
Autor: Kim Getgen, Trust Catalyst
Kontakt: kim@trustcatalyst.com
Da der Verlust vertraulicher Daten auch weiterhin zugenommen hat, ist das Ergebnis
der von Clearswift 2008 durchgeführten Studie unter 1000 IT- und Sicherheitsexperten
nicht verwunderlich. 94 Prozent der Befragten gaben an, dass Maßnahmen zum Schutz
vor dem Verlust vertraulicher Daten in ihrem Unternehmen als „wichtig“, „sehr
wichtig“ oder „zwingend erforderlich“ eingestuft wurden. Gleichzeitig ergab die Studie,
dass seit Einführung von Datenschutzstandards 57,2 Prozent aller Unternehmen ihr
jährliches IT-Budget höchstens um 10 Prozent erhöht haben, um den Anforderungen
des Datenschutzes gerecht zu werden. In diesem Whitepaper wird demonstriert, wie
Unternehmen sich vor den vier Hauptursachen für den Verlust vertraulicher Daten
schützen können, indem sie ihre vorhandenen Investitionen in content-basierte
Gateways zu einem Bruchteil der Kosten reiner Datenschutzlösungen nutzen.
Inhalt
Einführung
Datenschutzlösungen: Ein unübersichtlicher, künstlich
Aufgeblähter Markt
…4
…6
Anatomie eines Datenverlustes: Die vier Hauptursachen
…7
Die erste Hauptursache: Versehentliche Preisgabe
…8
Schutz vor versehentlichen Datenverlusten mithilfe von
Content-Aware Gateway: Eine Fallstudie
... 8
Ein Best Practice-Verfahren: Schutz vor versehentlicher
Preisgabe mithilfe von drei Grundsätzen
…9
Schutz vor versehentlichen Datenverlusten am
Content-Aware Gateway: Eine Fallstudie
... 10
Die zweite Hauptursache: Malware – Der leise Killer
… 11
Kreditinstitut schützt sich vor Datenverlusten mit
Content Aware Gateway: Eine Fallstudie
… 12
Datenverlust: 4,2 Millionen Kontodaten gestohlen bei
Malware-Angriff auf US-amerikanische Supermarktkette
… 12
… 13
Die dritte Hauptursache: “Inside Jobs”
2
Unterstützung einer führenden Supermarktkette bei der
Einhaltung von PCI DSS: Eine Fallstudie
Unterstützung eines US-amerikanischen Krankenhauses
bei der Einhaltung der HIPAA Richtlinien: Eine Fallstudie
…13
…13
Die vierte Hauptursache: Professionelle Hacker
…14
Was ist ein Content Aware Gateway?
…15
Reine Datenschutzlösungen im Vergleich mit Clearswift
Content-Aware Gateway
…16
Datenschutzlösungen – Eine redundante Technologie?
… 19
Zusammenfassung
… 20
3
Einführung
Die Wahrscheinlichkeit, dass vertrauliche Daten – also Ihr Kapital – gerade in diesem
Moment Ihr Unternehmen verlassen und innerhalb weniger Minuten in die falschen
Hände geraten, ist hoch.
Datenverluste können Sie jeden Tag treffen, wenn vertrauliche Informationen wie
Kunden- oder Patientendaten, Quellcode, Entwurfsspezifikationen, Preislisten, geistiges
Eigentum, Handelsgeheimnisse, Prognosen und Budgetpläne Ihr Unternehmen und
damit Ihren Einflussbereich verlassen. Durch unkontrollierten Datenverlust ist Ihr
Unternehmen verwundbar. Sobald die Daten Ihren Zuständigkeitsbereich verlassen, ist
Ihr Unternehmen einem enormen Risiko ausgesetzt. Wenn Internetbetrüger Ihre Daten
verkaufen, kostet das Ihr Unternehmen nicht nur viel Geld, sondern es mindert auch Ihre
Wettbewerbsfähigkeit, ruiniert Ihren Markennamen, Ihren Ruf und das Vertrauen Ihrer
Kunden.
Laut Privacy Rights Clearinghouse wurden seit 2005 mehr als 234 Millionen Datensätze
gestohlen1. Wenn Sie diese Zahl bereits als hoch empfinden, sollten Sie Folgendes
beachten. Eine andere unabhängige Studie hat über einen Zeitraum von vier Jahren 500
Beweismittel von Unternehmen analysiert, die Opfer von Datenverlusten waren. Lediglich
ein Viertel der Vorfälle wurde veröffentlicht, der Rest geheim gehalten. Die Studie hat
ergeben, dass 230 Millionen Einträge gestohlen wurden1. Dies ist jedoch wahrscheinlich
lediglich die Spitze des Eisbergs. Unabhängig von der Anzahl der gestohlenen Daten
besteht kein Zweifel, dass Datenverluste eine enorme Bedrohung für jedes Unternehmen
sind – egal ob klein oder groß. Eine im Jahr 2008 von Clearswift durchgeführt Studie hat
ergeben, dass 94 Prozent aller Befragten Maßnahmen zum Schutz vor Datenverlusten als
„wichtig“, „sehr wichtig“ oder „zwingend erforderlich“ in Ihrem Unternehmen einstufen..
Die Entscheidung, welche Schutzmaßnahmen im Unternehmen einzusetzen sind, ist
jedoch nicht immer einfach oder eindeutig. An jedem Tag, an dem Unternehmen ihre
Entscheidung über den Einsatz geeigneter Datenschutzstrategien verschieben, setzen sie
sich weiterhin unnötigen und gravierenden Konformitätsrisiken aus. Die Mehrzahl der
Unternehmen, insbesondere diejenigen, die Datensicherheitsstandards für Kredit- und
Debitkarten wie die amerikanischen PCI DSS (Payment Card Industry’s Data Security
Standard) oder Healthcare Insurance Portability and Privacy Act (HIPPA) zum Schutz der
Privatsphäre von Patienten einhalten müssen, können es sich nicht leisten, abzuwarten.
Sie benötigen noch heute Lösungen zum Schutz vor Datenverlusten.
4
Die aktuelle Gefährdung vertraulicher Daten resultiert nicht daraus, dass Datenverlust
in betroffenen Unternehmen als unwichtig eingestuft wurde. Viele Unternehmen haben
den Kauf von Datenschutzlösungen aufgrund der hohen Anschaffungskosten zu lange
hinausgezögert. Die Clearswift Studie hat ergeben, dass 57,2 Prozent der Unternehmen
ihr jährliches IT-Budget um höchstens 10 Prozent erhöhen konnten, um den
Anforderungen der Datenschutzstandards gerecht zu werden. Der Markt hat zahlreiche
Datenschutzlösungen zu bieten, deren Preis von einigen Hunderttausend bis hin zu
Millionen von Euro reichen – für viele Unternehmen, die Angriffen ausgesetzt sind, ist
diese Option weit entfernt von dem, was für sie erschwinglich ist.
Dieses Whitepaper wurde für Unternehmen geschrieben, die sich vor Datenverlusten
schützen möchten, ohne Millionen von Euro ausgeben zu müssen. Vielmehr sind
kostengünstige Lösungen gefragt, die sofort implementiert werden können und
Millionen sensibler Daten und unbezahlbares geistiges Eigentum schützen.
Dieses Whitepaper erläutert:
ƒ
ƒ
ƒ
1
Wie sich Unternehmen vor den vier Hauptursachen für Datenverluste schützen
können.
Warum reine Datenschutzlösungen Sie nicht vor allen Hauptursachen für
Datenverluste schützen.
Wie man verhindern kann, dass sensible Daten das Unternehmen verlassen.
Hierbei werden Fallstudien von Unternehmen aufgeführt, die
Datenschutzstrategien einsetzen, ohne auf reine Datenschutzlösungen
zurückzugreifen. Diese Unternehmen haben Richtlinien zur Durchsetzung von
Datenschutzmaßnahmen mit dem Content-Aware Gateway von Clearswift erstellt.
Dieses Vorgehen ermöglicht eine maximale Nutzung ihrer Investitionen durch
Umsetzung präventiver Maßnahmen an der Stelle, an der die meisten
Datenverluste stattfinden.
Privacy Rights Clearinghouse: http://www.privacyrights.org/
2
Verizon Business Risk Team, 2008 Data Breach Investigations Report: A study conducted by the Verizon
Business RISK Team
5
Datenschutzlösungen: Ein unübersichtlicher, künstlich
aufgeblähter Markt
Angesichts eines prognostizierten Wachstums auf ein Volumen von 3,2 Milliarden USDollar bis 20111 wurden Datenschutzlösungen als Technologie stark überbewertet und
missverstanden. Viele Datenschutzlösungen wurden lediglich aufgrund der aktuellen
Serie von Datenverlusten populär und tragen nur sehr wenig zum Schutz von
Unternehmen vor Millionen-Dollar Verlusten, negativer Publicity und
Konformitätsstrafen aufgrund von Datenverlusten bei.
Reine Datenschutzlösungen bieten drei Formen des Datenschutzes:
ƒ
ƒ
ƒ
Lösungen für Datenspeicherung: Durchsetzung von Richtlinien für
Informationen, die auf Datenspeichern abgelegt sind.
Lösungen für Datenübertragung: Durchsetzung von Richtlinien zum Schutz
von Inhalten, die über das Netzwerk übertragen werden.
Lösungen für Datennutzung: Durchsetzung von Richtlinien für Anwender,
um zu verhindern, dass sensible Daten auf dem Computer missbraucht oder
auf einen USB-Stick übertragen werden.
Die meisten Anbieter von Datenschutzlösungen versuchen, ihre Produkte auf alle drei
Bereiche auszudehnen. In der Regel sind die Lösungen jedoch lediglich in einer
Disziplin stark – beispielsweise bei der Datenübertragung oder bei der Datennutzung.
Sollen die drei Bereiche angemessen abgedeckt werden, müssen mehrere Lösungen
erworben werden. Dabei entstehen Kosten, die für die meisten Unternehmen
unerschwinglich sind. Viele Anbieter von Datenschutzlösungen existieren gerade
einmal fünf oder weniger Jahre – und ihre Produkte sind nicht älter. Selbst wenn diese
Produkte bereits in Version 7 oder 8 vorliegen, ist es nicht ungewöhnlich, wenn sie erst
einige wenige Jahre im Einsatz sind. Entsprechend sind die hohen Anschaffungskosten
noch weniger zu rechtfertigen.
Unabhängig von der Hysterie um Datenverluste sind Unternehmen heutzutage
enormen Risiken ausgesetzt und können es sich nicht leisten zu warten, bis die
ehrgeizigen Ziele eines Anbieters in die Realität umgesetzt werden oder mehr Budget
zur Verfügung gestellt wird. Vielmehr sind kostengünstige Lösungen gefragt, die sofort
einsetzbar sind, auf vorhandene Sicherheitsinfrastruktur zurückgreifen und maximalen
Nutzen bieten. Zum Schutz Ihres Unternehmens wird ein vollständig anderer Ansatz
empfohlen. Anstelle einer Lösung, die die oben genannten Standardkonzepte umsetzt,
sollten sich Unternehmen vor den vier Hauptursachen für Datenverluste schützen, über
die aktuell ständig in den Medien berichtet wird. Hierzu gehören:
1.
2.
3.
Versehentliche Preisgabe von Informationen über Email- oder Internet-Gateways.
Immense Schäden durch Hacker, die nach Hintertüren suchen, um wertvolle Daten
aus Unternehmensarchiven zu stehlen und auf dem Schwarzmarkt zu verkaufen.
Immense Schäden durch korrupte Insider, die vertrauliche oder sensible Daten an
Personen außerhalb des Unternehmens verkaufen. Die meisten sind
Gelegenheitsdiebe und nicht notwendigerweise technische versiert. Häufig werden
die Daten auf dem schnellsten und einfachsten Weg gestohlen. Schätzungsweise
80 Prozent aller privaten Daten gehen über das Internet- und das Email-Gateway
verloren.
3
IDC Mai 2007, Information Protection and Control
6
Anatomie eines Datenverlustes: Die vier Hauptursachen
Bis vor kurzem hatten Unternehmen mehr Kontrolle über ihre Daten. Die meisten
Unternehmensinhalte waren hinter kontrollierten Sicherheitsmaßnahmen von
Unternehmensapplikationen und –Datenbanken geschützt. Mittlerweile sind diese
Daten jedoch vollkommen ungeschützt. Mehr als 80 Prozent aller Inhalte sind
unstrukturiert, verteilt in Emails, Webmails oder Tabellen. Vertrauliche Informationen
sind in Datenbanken und Applikationen, in Dateien und auf SharePoint-Servern
gespeichert. Derartig unstrukturierte Inhalte werden ungehindert und ungeprüft
innerhalb und außerhalb der Unternehmensgrenze übertragen.
Die Mobilität der Daten steigert das Risiko gefährlicher oder für das Unternehmen gar
endgültiger Datenverluste immens. Als Beispiel dienen hier einige nennenswerte
Datenverluste, über die in den letzten Jahren in den Medien berichtet wurde:
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
42 Millionen Kredit- und Debitkarteninformationen wurden von einem großen
Handelsunternehmen gestohlen, wodurch eine Verletzung der PCI DSS verursacht
wurde. Die Kosten für das Unternehmen beliefen sich auf 256 Millionen US-Dollar1
und weitere 130 Millionen US-Dollar1 für Forderungen von Banken und betroffenen
Kunden.
4,2 Millionen Kredit- und Debitkartendaten wurden von einer Supermarktkette
gestohlen, nachdem Malware mehr als 300 Server infiziert hatte. Mehr als 1800
Fälle von Identitätsdiebstahl wurden gemeldet.
Der Quellcode und die Konzeptdokumente eines US-amerikanischen SoftwareUnternehmens wurden aus einem Forschungs- und Entwicklungszentrum
gestohlen.
Ein Krankenhausmitarbeiter hat versehentlich eine Liste mit 4500 Namen von
AIDS-Patienten und 2000 Namen mit HIV-positiv getesteten Patienten versendet
und somit deren Privatsphäre verletzt. Das Krankenhaus konnte damit keine
Konformität zu HIPAA gewährleisten.
Ein japanisches Kernkraftwerk hat sensible Informationen aufgrund einer
Virusinfektion ihrer Computer verloren und damit alle Bürger in Gefahr gebracht.
Die britische Regierung hat die Daten von 25 Millionen Einwohnern preisgegeben.
Ein international agierender Dieb von Identitätsdaten hat mehr als 11 Millionen
US-Dollar in zwei Jahren ergaunert, indem er Artikel verkaufte, die er zuvor mit
gestohlenen Kreditkartendaten erworben hatte. Die Daten stammten aus USamerikanischen Kaufhäusern.
4
Ross Kerber, Cost of Data Breach at TJX Soars to $256m, Boston Globe, 15. August 2007, verfügbar unter:
http://www.boston.com/business/globe/articles/2007/08/15/cost_of_data_breach_at_tjx_soars_to_256m/
5
Brad Stone, Global Trail of an Online Crime Ring, New York Times, 12. August 2008, verfügbar unter:
http://www.nytimes.com/2008/08/12/technology/12therft.html
7
Die erste Hauptursache: Versehentliche Preisgabe
Es ist uns allen schon passiert – wir haben versehentlich auf die Schaltfläche
„Senden“ geklickt und eine Email an den falschen Empfänger gesendet. Oder wir
haben auf „Weiterleiten“ geklickt und sensible Informationen verschickt, die weiter
unten als Zitat in einer vorherigen Email gelistet waren – inklusive Informationen, die
nicht für den Empfänger bestimmt waren. Und wie steht es um Mitarbeiter, die zu viel
zu tun und zu wenig Zeit haben? Die Wahrscheinlichkeit ist hoch, dass diese Daten
an Heimcomputer schicken, um auf die sensiblen Daten auch zu Hause oder
unterwegs zugreifen zu können. Es ist normal, dass Mitarbeitern Fehler unterlaufen.
Sind hiervon jedoch vertrauliche Daten oder persönliche
Identifikationsinformationen betroffen, können die Folgen verheerend sein.
Wie schützt sich Ihr Unternehmen vor den folgenden häufigen Fehlern?
ƒ
ƒ
ƒ
ƒ
Ein Vertriebsmitarbeiter versendet versehentlich die falsche Preisliste. Jetzt
weiß der Kunde, dass ihm ein höherer Preis berechnet wird, als seinem
Mitbewerber, der ebenfalls Kunde bei Ihnen ist.
Der Entwickler eines Forschungs- und Entwicklungsunternehmens schickt
versehentlich das geistige Eigentum eines Kunden an dessen Mitbewerber
und gibt damit vertrauliche Informationen preis.
Ein Mitarbeiter der Rechnungsabteilung versendet persönliche
Identifikationsinformationen in einer Email an einen Drittanbieter, dem
weder Kreditkarten- noch Kontoinformationen zugänglich sein sollten.
Ein Mitarbeiter möchte während seines Urlaubs Arbeit aufholen. Er versendet
sensible Daten über einen kostenlosen, persönlichen Webmail-Provider,
sodass er vom Heimcomputer oder auf Reisen im Haus eines Verwandten
Zugriff auf die Daten hat.
Schutz vor
versehentlichen
Datenverlusten mithilfe
von Content-Aware
Gateway: Eine
Fallstudie
Eine Polizeidienstelle in
Großbritannien muss interne
Dokumente schützen, die für
Ermittlungen benötigt werden. Zur
Vermeidung der versehentlichen
Preisgabe dieser Informationen in
einem öffentlichen Bereich hat
Clearswift alle internen Dokumente
mit Geheimhaltungsmarkierungen
versehen. Dadurch wurde ohne
Beeinträchtigung des normalen
Betriebes verhindert, dass diese
Dokumente außerhalb des Gateway
versendet werden können – egal ob
per Email, Internet oder als Eintrag
in einem Blog oder Internet-Server.
Jeder macht Fehler und nicht alle Mitarbeiter verstehen Vertraulichkeitsrichtlinien.
Unternehmen wenden sich daher an Clearswift, um die versehentliche Preisgabe von
Informationen zu verhindern. Das Content Aware Gateway bietet durch den Einsatz
detaillierter, inhaltssensibler Richtlinien für Internet- und Email-Gateways eine
zentrale Managementkonsole zum Schutz des Unternehmens. Falls Ihr Unternehmen
noch keine Richtlinien am Gateway nutzt, setzen Sie sich einem unnötigen Risiko
durch zahlreiche Formen von Datenverlusten aus.
8
Ein Best Practice-Verfahren: Schutz vor versehentlicher
Preisgabe mithilfe von drei Grundsätzen
Für viele Unternehmen ist die Einführung von Schutzmaßnahmen gegen
versehentliche Datenverluste entmutigend. Clearswift hat ein Best Practise-Verfahren
auf Basis von drei Grundsätzen entwickelt, das bereits zahlreiche kleine und große
Unternehmen vor versehentlichen Datenverlusten schützt:
1.
2.
3.
Einführung von Richtlinien.
Schulung der Mitarbeiter.
Durchsetzung der Richtlinien am content-sensiblen Gateway.
Schritt 1: Einführung von Richtlinien
Viele Unternehmen führen zunächst einige wenige Richtlinien ein, um ausgewählte
Informationen zu schützen. Während dieser Phase sollten Sie sich folgende Fragen
stellen:
Welche Informationen möchte ich schützen?
ƒ Welcher Schutz soll implementiert werden (Versand über einen
Verschlüsselungs-Server, Versenden als eindeutiger Text…)?
ƒ Wer darf die Informationen nicht empfangen (Mitbewerber, bestimmte
Abteilungen, die von anderen abgeschirmt sind)
ƒ Wie können die betroffenen Daten definiert werden?
Schritt 2: Schulung der Mitarbeiter
Sobald die Richtlinien definiert sind, müssen Mitarbeiter benachrichtigt und
entsprechend geschult werden. Dabei muss herausgestellt werden, welche Daten zu
schützen sind und hierbei insbesondere, wohin die Daten auf keinen Fall gelangen
dürfen und was passiert, wenn die Richtlinien verletzt werden. Darüber hinaus muss
deutlich werden, warum das Unternehmen durch Nichteinhaltung von Richtlinien
unnötigen Risiken ausgesetzt ist. Ihre Mitarbeiter lesen ebenfalls Zeitung.
Entsprechend werden sie die negative Publicity von Datenverlusten verstehen. Je eher
sie verstehen, dass sie ein Teil der Lösung sind, desto eher werden sie sich an die
Richtlinien halten. Bedenken Sie jedoch, dass Verhaltensänderungen Zeit benötigen.
Bereiten Sie sich entsprechend darauf vor, Mitarbeiter regelmäßig über aktualisierte
Richtlinien zu informieren. An dieser Stelle kann gar nicht genügend kommuniziert
werden.
Schritt 3: Reaktion auf Richtlinienverletzungen am content-sensiblen Gateway
Sobald Sie exakt festgelegt haben, was Sie schützen möchten und wohin die Daten
nicht gelangen dürfen, müssen Sie Maßnahmen definieren, die bei
Richtlinienverstößen ausgeführt werden. Mit Clearswift können Sie verschiedene
Maßnahmen festlegen. Diese müssen zur Ausführung nicht in eine Datenschutzlösung
integriert werden.
9
Mit Clearswift können Sie folgende Maßnahmen definieren:
ƒ Überwachung für Richtlinienverstöße; Archivieren und an einen zuständigen
Abteilungsleiter senden.
ƒ Blockieren durch Rückleitung an den Mitarbeiter.
ƒ Verschieben der Email in einen Quarantänebereich für weitere Ermittlungen.
ƒ Blockieren, falls eine Internetübertragung involviert ist.
Die meisten erfolgreichen Unternehmen legen ihren Fokus auf bestimmte Daten, die
sie schützen möchten. Dabei arbeiten sie die Szenarien aus, die es zu verhindern gilt.
Wenn Sie sensible Daten schützen müssen und formulieren können, wohin diese nicht
gelangen dürfen, ist die Implementierung entsprechender Richtlinien kein Problem.
Sobald die Richtlinie zu Papier gebracht wurde, können Unternehmen am Clearswift
Content-Aware Gateway in weniger als 30 Minuten entsprechende Regeln zur
Durchsetzung der Richtlinien erstellen.
Schutz vor
versehentlichen
Datenverlusten am
Content-Aware
Gateway: Eine
Fallstudie
Ein Distributor, der mehrere
Supermarktketten mit Videos
beliefert, hat Richtlinien am
Clearswift Content Aware Gateway
implementiert, die verhindern, dass
der Vertrieb die Preisliste eines
Kunden versehentlich an einen
konkurrierenden Kunden sendet.
Jedes Mal, wenn eine Preisliste
versendet wird, prüft das Clearswift
Content Aware Gateway, ob die Liste
an die korrekte Domain verschickt
wird. Ist dies nicht der Fall, wird die
Email blockiert und über das
Gateway zurück an den Absender
geschickt.
10
Die zweite Hauptursache: Malware – der leise Killer
Malware, die heutzutage Ihr Unternehmen attackiert, wird nicht mehr von
pubertierenden Heranwachsenden versendet, die lediglich Unternehmen diffamieren
möchten. Malware ist vollständig entwickelt und birgt ein immenses kriminelles
Potenzial. Die Mehrzahl der Malware-Applikationen, die aktuell entwickelt werden, hat
nur ein Ziel – den Diebstahl Ihrer wertvollen Unternehmensdaten.
Eine Studie von Verizon hat ergeben, dass Malware zur Infiltrierung von Unternehmen
für nahezu ein Drittel aller untersuchten Datenverluste verantwortlich war1. Mit
Malware werden wertvolle Kreditkarten- und Kontoinformationen sowie Passwörter
aufgespürt, gestohlen und von international agierenden Kriminellen auf dem
Schwarzmarkt verkauft. Derartige Informationen müssen nicht zwangsläufig per Email
das Unternehmen verlassen. Viele Unternehmen sind nicht auf das neue, stetig
wachsende Phänomen des Malware-Typen „Ghost in the Browser“ (frei übersetzt: „im
Browser eingenistete, unsichtbare Malware“) vorbereitet. Eine Studie im Jahr 2007 hat
ergeben, dass 10 Prozent der untersuchten URLs (450.000 von 4,5 Millionen) Malware
enthielt, die bereits beim Aufrufen der entsprechenden Website heruntergeladen und
installiert wurde.1 Derartige Malware kann über Monate hinweg unentdeckt in Ihrem
Unternehmen Daten sammeln und beispielsweise persönlich identifizierbare
Informationen, Kreditkarten- und Kontonummern an Kriminelle nach außen
versenden.
Der Wert für Kredit- und Debitkartennummern oder Kontodaten wäre gering, würde
nicht ein Schwarzmarkt mit entsprechender Nachfrage existieren. Leider wächst der
Schwarzmarkt stetig an. Gleichzeitig steigt auch die Geschwindigkeit, mit der
Kriminelle derartige Daten nutzen und Gelder stehlen. Vollzugsbehörden stellen fest,
dass immer mehr Kriminelle einen Schwarzmarkt aufbauen und dabei auf Dinge
zurückgreifen, die als kriminelle Social Networking-Websites bezeichnet werden
könnten. Über diese Netzwerke werden gestohlene Kredit- und
Debitkarteninformationen anonym gehandelt oder getauscht. Darüber hinaus werden
entsprechende Tools wie Trojaner und Malware angeboten, die dem Diebstahl
derartiger Daten dienen. Für Kriminelle, die bis zu 5 US-Dollar pro Karte oder bis zu 400
US-Dollar pro Kontoinformation erhalten, ist der Handel mit gestohlenen Daten
äußerst lukrativ1. Für die Käufer der Daten, die diese geschickt nutzen, ist das sogar ein
Millionengeschäft.
Kreditinstitut schützt
sich vor Datenverlusten
mit Content Aware
Gateway: Eine
Fallstudie
Zum Schutz von Kreditkarten und
Kontoinformationen, hat ein
Kreditinstitut interne Richtlinien
festgelegt und durchgesetzt, durch
die derartige Informationen
lediglich an bestimmte Dritte über
ein VPN (Virtual Privat Network)
übertragen werden können.
Kreditkarteninformationen können
nicht außerhalb des Kreditinstituts
versendet werden. Dadurch kann die
Bank das Ausgangs-Gateway
überwachen, unautorisierte
Übertragungen mit persönlich
identifizierbaren Informationen,
Kreditkartennummern oder
Kontodaten blockieren und das
Unternehmen vor
Gesetzesverstößen und dem
Identitätsdiebstahl durch
Kundeninformationen verhindern.
Zur Vermeidung von Situationen, in
denen Malware verschlüsselte
Kredit- und
Debitkarteninformationen aus dem
Unternehmen schmuggelt, blockiert
die Bank sämtliche verschlüsselten
Informationen, die nicht über das
VPN übertragen werden.
Verdächtige, verschlüsselte Daten
werden unter Quarantäne gestellt
und als Beweismittel gespeichert.
11
Im Juli 2007 hat der US-amerikanische Geheimdienst Maksym Yastremskiy
festgenommen, einen 25 Jahre alten ukrainischen Hacker, der innerhalb von zwei
Jahren 11 Millionen US-Dollar verdiente, indem er für einen international agierenden
Online-Verbrecherring arbeitete. Dieser nutzte Kreditkarteninformationen, die von
mehreren amerikanischen Händlern wie BJ Wholesale, Office Max, DSK und Barnes and
Noble gestohlen wurden.1
Kriminelle werden auch weiterhin mithilfe von Malware groß angelegte
Datendiebstähle verursachen. Kriminelle Vereinigungen, die Daten sammeln und über
ihre Websites in Umlauf bringen, wachsen und erzielen immer größere Profite. Als
Beispiel dient hier die berüchtigte kriminelle Vereinigung „Shadow crew“, die
mindestens 1,5 Millionen Kreditkartennummern gestohlen und einen Schaden in Höhe
von 4 Millionen US-Dollar für Kreditinstitute und Banken verursacht hat, bis eine
Strafverfolgungsbehörde im Jahr 20041 in der Lage war, die Gruppe zu zerschlagen.
Doch die Gruppe wurde problemlos und innerhalb kürzester Zeit durch ein noch
größeres kriminelles Forum mit mehr als 20.000 Mitgliedern ersetzt, die das Geschäft
mit gestohlenen Kreditkarteninformationen und neuen Malware-Programmen für
Datendiebstähle in noch größerem Ausmaße übernahmen1.
Datenverlust: 4,2 Millionen
Kontodaten gestohlen bei
Malware-Angriff auf USamerikanische
Supermarktkette
Im Jahr 2008 war der Hannaford
Brothers Supermarkt in Boston,
USA, einer der ersten des Konzerns,
der einem Malware-Angriff zum
Opfer fiel. 4,2 Millionen
Kreditkartendaten wurden bei den
Angriffen auf die Server der ca. 300
Niederlassungen des Konzerns
gestohlen.
Für einen angemessenen Schutz müssen Unternehmen entsprechende Strategien am
Gateway einführen. Auf der Eingangsseite müssen beispielsweise neue Malware-Typen
gestoppt werden, bevor sie über das Internet-Gateway ins Unternehmen gelangen
können. Auf der Ausgangsseite hingegen ist sicherzustellen, dass keine Kredit- oder
Debitkarteninformationen oder Kontonummern aus dem Unternehmen heraus
gelangen, falls Malware eine Hintertür im Unternehmen findet und versucht, sensible
Daten zu versenden. Im Gegensatz zur führenden Datenschutzlösung bietet das
Clearswift Content Aware Gateway beide Funktionen und schützt vor Malware, die
versucht über das Internet-Gateway ins Unternehmen zu gelangen. Die Funktionalität
wird über die gleiche zentrale Oberfläche zur Richtlinienverwaltung bereitgestellt, die
ebenfalls das versehentliche oder böswillige Versenden privater Daten oder geheimer
Informationen über das Email-Gateway verhindert.
6
Verizon Business Risk Team, 2008 Data Breach Investigations Report: A study conducted by the Verizon
Business RISK Team
7
Google, “The Ghost in the Browser Analysis of Web-based Malware”
8
Peretti, Kimberly Kiefer, Data Breaches: What the Underground World of “Carding” Reveals, Volume 25
Santa Clara Computer and High Technology Journal.
9
Brad Stone, Global Trail of an Online Crime Ring, New York Times, Aug. 12, 2008 available at:
http://www.nytimes.com/2008/08/12/technology/12therft.html
10
Peretti, Kimberly Kiefer, Data Breaches: What the Underground World of “Carding” Reveals, Ausgabe 25
des Santa Clara Computer and High Technology Journal.
11
Peretti, Kimberly Kiefer, Data Breaches: What the Underground World of “Carding” Reveals, Ausgabe 25
des Santa Clara Computer and High Technology Journal.
12
Die dritte Hauptursache: “Inside Jobs”
Das Brookings Institute schätzt, dass 80 Prozent allen geistigen Eigentums nicht
mehr so leicht wie Produkte erfasst werden kann. Vielmehr liegen derart wertvolle
Aktiva als Quellcode, Forschungs- und Entwicklungsstrategie oder als
Entwicklungsdiagramm vor1. Sensible Daten werden schon lange nicht mehr in
Rechenzentren oder Aktenschränken hinter Schloss und Riegel gehalten. Derartige
Daten sind allgegenwärtig im Unternehmen. Zur Aufrechthaltung der
Wettbewerbsfähigkeit haben Unternehmen Internet- und Email-freundliche Kulturen
und Geschäftsmodelle eingeführt, die Mitarbeitern eine sofortige, elektronische
Übertragung jeder Form sensibler Unternehmensgeheimnisse ermöglichen. Dank
dieser Möglichkeit haben vertrauenswürdige Mitarbeiter Zugriff auf wertvolle Daten
wie Kontoinformationen oder geistiges Eigentum. Auch im elektronischen Zeitalter
gilt: Gelegenheit macht Diebe. Es ist nicht abwegig, dass Insider Daten verkaufen.
Egal, ob sie alleine oder mit einem Komplizen außerhalb des Unternehmens
arbeiten, um Daten im großen Stil zu stehlen.
12
Baruch Lev, Intangibles: Management, Measurement and Reporting, Brookings Institute, Washington
DC.
Unterstützung eines US-amerikanischen Krankenhauses bei der
Einhaltung der HIPAA Richtlinien: Eine Fallstudie
Ein führendes Krankenhaus in den USA hat sich entschieden, im Rahmen der
Anschaffung einer Anti-Spam-Lösung die Appliance von Clearswift zu testen.
Darüber hinaus wurde festgestellt, dass der CIO auch Probleme mit der
Einhaltung der Auflagen von HIPAA zum Schutz sensibler Patientendaten hatte.
Der CIO des Krankenhauses war sich nicht bewusst, dass eine Clearswift
Appliance beide Funktionen bereitstellen kann. Als das Krankenhaus einen 24Stunden-Test an den Eingangs- und Ausgangs-Gateways durchführte, wurden
beunruhigende Neuigkeiten zu Tage gefördert. Zwei Krankenschwestern der
Notaufnahme sendeten vertrauliche Patienteninformationen per Email an einen
Empfänger außerhalb des Krankenhauses. Weitere Ermittlungen ergaben, dass
die Krankenschwestern persönliche identifizierbare Informationen,
Versicherungsdaten und Diagnosen an einen lokalen Anwalt sendeten, der die
Beiden für die wertvollen Daten bezahlte. Der Anwalt nutzte die Informationen,
um frühere Patienten anzuschreiben und Klagen aufgrund angeblicher
Behandlungsfehler gegen das Krankenhaus zu führen. Der CIO konnte durch
interne Ermittlungen genügend Beweismaterial für die Entlassung der
Krankenschwestern und für eine Klage auf Schadensersatz gegen die
Anwaltskanzlei sammeln. Mittlerweile wurden Richtlinien definiert, die eine
Benachrichtigung des CIO vorsehen, sobald vertrauliche Informationen nach
außen gesendet werden. Die Richtlinien wurden in nur 30 Sekunden erstellt. Das
Krankenhaus nutzt auch weiterhin Content Filtering von Clearswift zum Schutz
sensibler Daten sowie vor eindringendem Spam und Malware. Die Kosten der
Lösung betragen lediglich einen Bruchteil von dem, was das Krankenhaus für
eine Datenschutzlösung geplant hatte auszugeben.
Unterstützung einer
führenden Supermarktkette
bei der Einhaltung von PCI
DSS: Eine Fallstudie
Eine Einzelhandelskette in
Großbritannien mit weniger als
10.000 Mitarbeitern nutzt seit
Kurzem Content Monitoring von
Clearswift zur Einhaltung der PCI
Richtlinien und zum Schutz von
Kredit- und
Debitkarteninformationen. Die
Kette nutzt bereits seit langer Zeit
Gateway-Produkte von Clearswift
für eingehende Daten zum Schutz
des Unternehmens vor Malware,
Spam-Nachrichten und Viren.
Aufgrund der stetig wachsenden
Gefahren entschied sich das
Unternehmen zum Schutz von
persönlich identifizierbaren
Informationen und zur Einhaltung
der PCI Richtlinien für Content
Filtering am Ausgangs-Gateway, um
zur gewährleisten, dass keinerlei
Kreditkarteninformationen das
Unternehmen verlassen können
(unabhängig davon, ob derartige
Informationen per Email oder über
das Internet übertragen werden). In
nur 30 Minuten hatte das
Sicherheits-Team die PCI Vorlagen
installiert und entsprechende
Richtlinien für die Kette
konfiguriert. Bereits einige Wochen
später zeigte sich der Wert der
Lösung. Eine Email mit Kreditkarten
und Kontoinformationen, die tief in
einer Datei eingebettet und
nochmals in zwei weiteren Dateien
versteckt wurden, konnte
identifiziert, unter Quarantäne
gestellt blockiert werden. Durch
eine Analyse der Information wurde
die Quelle des Insider-Angriffs
identifiziert. Die Supermarktkette
hat sich durch die Lösung vor einer
immensen Schädigung ihres
Unternehmensrufes sowie negativer
Publicity geschützt. 13
Die vierte Hauptursache: Professionelle Hacker
Es scheint bereits ein wenig außer Mode zu sein darüber zu schreiben, doch HackerAngriffe auf Unternehmensnetzwerke sind auch weiterhin ein gravierendes Problem
– und das, obwohl diese besser geschützt sind als je zuvor. Entsprechend suchen sich
Hacker einfachere Ziele und greifen PCs mit Key Logger Malware über Browser an
oder arbeiten mit Insidern, die Sicherheitsmaßnahmen umgehen und dem Hacker
Zugriff auf die digitalen Werte von Unternehmen in Datenbanken, auf Servern oder
Kassensystemen gewähren.
Durch Angriffe auf ungesicherte, drahtlose Netzwerke beliebter Restaurants und
Einkaufsläden in Miami konnte der Hacker Albert Gonzales Millionen von
Kreditkartennummern stehlen. Gonzales arbeitete mit 10 weiteren Hackern in einem
international agierenden Online-Verbrecherring. Die kriminelle Vereinigung
sammelte und speicherte Kredit- und Debitkartendaten auf Servern in Lettland und
der Ukraine. Gefälschte Kreditkarten, die mithilfe gestohlener Daten und billig in
China eingekaufter Rohlinge erstellt wurden, nutzten die Kriminellen, um Geld von
ATM-Geldautomaten abzuheben. Die Ermittlungen dauerten zwar mehrere Jahre,
waren jedoch überaus erfolgreich. Nie zuvor wurde ein größerer Fall wegen HackerAngriffen und Datendiebstahl innerhalb der USA verfolgt und vor Gericht verhandelt.
Der Fall erstreckte sich weit über die Grenzen der USA hinaus. Selbst in Osteuropa
und China wurden Einzelne verhaftet1.
Ist der Schaden erst angerichtet, können es sich Unternehmen nicht leisten,
Gerichtsverfahren gegen Hacker anzustreben, die sich meistens über mehrere Jahre
erstrecken. Hacker sind immer schwerer aufzuspüren und die erforderlichen
Ressourcen für den Kampf wachsen. Unternehmen müssen sich daher rechtzeitig
schützen. Die beste Schutzmaßnahme ist zu prüfen, ob Kredit- und Debitkartendaten
oder Kontodaten das Unternehmensnetzwerk verlassen. In den meisten
Unternehmen besteht kein Grund für den Versand derartiger Informationen. Eine
Ausnahme könnte höchstens die Weitergabe ein einen bestimmten Partner
innerhalb eines verschlüsselten Formats sein. Durch Überwachung und/oder Abwehr
der Daten am Clearswift Content Aware Gateway können sich Unternehmen vor
Datenverlusten schützen und wertvolle Ermittlungsdaten sammeln, die in
Gerichtsverfahren als Beweismittel zur Überführung Krimineller und Hacker dienen.
14
Was ist ein Content Aware Gateway?
Wenn Sie eine Email-Schutzlösung gegen Viren, Malware oder Spam in Ihrem
Unternehmen nutzen, haben Sie bereits den Grundstein für ein Content-Aware
Gateway gelegt. Dieses Gateway besteht aus zwei wichtigen Produkten: Ihrem
Email-MTA (Mail Transfer Agent) und Ihrem Internet-Proxy. Der MTA nutzt
Richtlinien für ein- und ausgehende Emails in Ihrem Unternehmen. Die meistens
MTAs verfügen darüber hinaus über eine Identifikationstechnologie für Viren, Spam
oder Malware, um zu verhindern, dass bösartige Emails in Ihr Unternehmen
gelangen können. Für das Internet setzen viele Unternehmen Proxies ein, um
Internetnutzung zu unterbinden, die gegen die Unternehmensrichtlinien verstößt.
Hierzu gehört beispielsweise privates Surfen im Internet oder der Download
unangemessener Inhalte von Web-Servern.
Was vielen Unternehmen jedoch fehlt, ist die Möglichkeit, alle diese Ursachen mit
einem Paket zentraler Schutzrichtlinien abzuwehren. Das Clearswift Content-Aware
Gateway vereint beide Gateways und führt tief greifende Analysen jeglicher ein- und
ausgehenden Daten über eine zentralisierte Verwaltungsoberfläche für Richtlinien
durch. Es verhindert, dass Gefahren in das Unternehmen gelangen, und
gewährleistet, dass nur legitime Email- und Internetübertragungen nach außen
gelangen können.
Clearswift – ein Unternehmen mit 20 Jahren Erfahrung und bewährten Anti-Virus-,
Anti-Spam- und Anti-Malware-Produkten – bietet die einzige content-sensible
Lösung für beide Gateways, sodass Unternehmen mit nur einem Richtlinienpaket
beide Übertragungsoptionen über eine zentrale Oberfläche schützen können.
13
Brad Stone, Global Trail of an Online Crime Ring, New York Times, 12. August 2008, verfügbar unter:
http://www.nytimes.com/2008/08/12/technology/12therft.html
15
Reine Datenschutzlösungen im Vergleich mit Clearswift
Content-Aware Gateway
Zum Schutz vor den Hauptursachen für Datenverluste nutzen zahlreiche
Unternehmen eine Art content-sensible Lösung, die tief greifende Analysen
durchführt, um gefährliche Inhalte zu identifizieren. Bei Identifikation eines Risikos
werden entsprechende Maßnahmen zum Schutz des Unternehmens eingeleitet. Viele
Unternehmen gehen an dieser Stelle davon aus, dass sie eine teure
Datenschutzlösung benötigen. Die Umsetzung einer content-sensiblen Strategie am
Gateway ohne den Kauf einer Datenschutzlösung ist jedoch eine immer effizientere
und günstigere Alternative für viele Unternehmen, die ihre Daten noch heute
schützen müssen.
Beim Schutz Ihres Unternehmens vor den vier Hauptursachen für Datenverluste,
bieten Datenschutzlösungen und das Clearswift Content-Aware Gateway folgende
Vorteile:
ƒ
ƒ
ƒ
ƒ
Präzise Identifikation sobald vertrauliche Daten das Unternehmen verlassen
(Datenübertragungen).
Bereitstellung wichtiger Beweismittel im Falle eines Datenverlustes
Bereitstellung einer zentralen Richtlinienverwaltung für Daten, die das
Unternehmen verlassen.
Bereitstellung zentraler Oberflächen für Berichte über Datennutzungstrends
und Richtlinienverstöße.
Doch die Clearswift Content-Aware Gateways gehen noch einen Schritt weiter. Sie
bieten:
ƒ
ƒ
ƒ
Schutz vor Malware, Trojanern und Viren, die vom Email- und InternetGateway stammen (nicht bei reinen Datenschutzlösungen verfügbar).
Schutz vor dem Verlust vertraulicher Daten über das Ausgangs-Gateway.
(Reine Datenschutzlösungen markieren lediglich Emails, die eine Richtlinie
verletzen. Sie können keine entsprechenden Maßnahmen eigenständig
einleiten.)
Schutz vor interner, unzulässiger Mitarbeiterkommunikation innerhalb von
Exchange- oder Domino-Umgebungen (nicht in reinen Datenschutzlösungen
verfügbar).
16
Tabelle 1: Das Clearswift Content Aware Gateway und
die führende, reine Datenschutzlösung
Clearswift
Führende
Datenschutzlösung
Content-Sensibilität und Richtliniendefinition
Detaillierte Richtlinienverwaltung – Funktionalität
zur Definition von Richtlinien auf UnternehmensJA
JA
oder Abteilungsebene, für bestimmte Regionen
oder einzelne Personen.
Richtliniendurchsetzung entsprechend Kontext
(Quelle, Ziel, Größe, Empfänger, Sender, Header,
JA
JA
Metadaten, Zeit, Standort, Format) und Inhalt
Bereitstellung tief greifender Inhaltsanalysen
basierend auf bestimmten/regelmäßigen
Ausdrücken sowie lexikalische
JA
JA
Analysetechnologien inklusive
Nummernüberprüfung für Kreditkarten.
Fingerprinting-Technologien bei perfekter
Übereinstimmung von strukturierten Inhalten wie
JA
JA
Datenbankinhalten und unstrukturierten
Informationen wie geistiges Eigentum.
Partielle Übereinstimmung bei Dokumenten, bei
denen unstrukturierte, sensible Daten durch
JA
JA
Identifikation einiger überlappender Werte
erkannt werden.
Statistische Analysen unter Verwendung
baysscher Filter und eigenständiges Lernen des
Systems zur Identifikation von
JA
JA
Richtlinienverstößen bei Inhalten, die den zu
schützenden Inhalten ähneln.
Konzeptionelle/lexikalische Analysen, die eine
Kombination von Wörterbüchern ermöglichen,
Richtlinien zum Schutz von Inhalten, die
JA
JA
entsprechend bestimmter Situationen wie
beispielsweise Insider-Trading oder
unangemessener Verhalten am Arbeitsplatz
definiert sind.
Kategorien – vorgefertigte Kategorien mit
Richtlinien und Wörterbüchern für häufige
JA
JA
vorkommende Typen sensibler Daten in
Verbindung mit aktuellen Regulierungen.
Komfortables, intuitive Management-Oberfläche
sowie umfangreiche, übersichtliche Reporting- und
JA
JA
Workflow-Funktionalität.
Nahtlose Integration in Active Directory
JA
JA
Richtliniendurchsetzung – Ausgehende Email
(Schutz vor versehentlichen Datenverlusten und bösartigen Angriffen von Insidern oder
Hackern)
Ein voll funktionsfähiger MTA, der das Versenden
einer Email aus dem Unternehmen heraus
JA
NEIN
verhindern kann, obwohl keine entsprechende
Richtlinie greift.
Ein voll funktionsfähiger MTA, der Richtlinien für
JA
NEIN
interne Email-Systeme durchsetzt.
Unterstützung einer
führenden Supermarktkette
bei der Einhaltung von PCI
DSS: Eine Fallstudie
Eine Einzelhandelskette in
Großbritannien mit weniger als
10.000 Mitarbeitern nutzt seit
Kurzem Content Monitoring von
Clearswift zur Einhaltung der PCI
Richtlinien und zum Schutz von
Kredit- und
Debitkarteninformationen. Die
Kette nutzt bereits seit langer Zeit
Gateway-Produkte von Clearswift
für eingehende Daten zum Schutz
des Unternehmens vor Malware,
Spam-Nachrichten und Viren.
Aufgrund der stetig wachsenden
Gefahren entschied sich das
Unternehmen zum Schutz von
persönlich identifizierbaren
Informationen und zur Einhaltung
der PCI Richtlinien für Content
Filtering am Ausgangs-Gateway, um
zur gewährleisten, dass keinerlei
Kreditkarteninformationen das
Unternehmen verlassen können
(unabhängig davon, ob derartige
Informationen per Email oder über
das Internet übertragen werden). In
nur 30 Minuten hatte das
Sicherheits-Team die PCI Vorlagen
installiert und entsprechende
Richtlinien für die Kette
konfiguriert. Bereits einige Wochen
später zeigte sich der Wert der
Lösung. Eine Email mit Kreditkarten
und Kontoinformationen, die tief in
einer Datei eingebettet und
nochmals in zwei weiteren Dateien
versteckt wurden, konnte
identifiziert, unter Quarantäne
gestellt blockiert werden. Durch
eine Analyse der Information wurde
die Quelle des Insider-Angriffs
identifiziert. Die Supermarktkette
hat sich durch die Lösung vor einer
immensen Schädigung ihres
Unternehmensrufes sowie negativer
Publicity geschützt. 17
Clearswift
Führende
Datenschutzlösung
Richtliniendurchsetzung – Internetübertragungen und Web 2.0
(Schutz vor versehentlichen Datenverlusten und bösartigen Angriffen von Insidern oder
Hackern)
Ein voll funktionsfähiger Internet-Proxy, der die
Übertragung sensibler Inhalte per Webmail,
JA
NEIN
Instant Messaging oder Internetprotokolle
verhindert.
Web 2.0 – Schutz vor der Übertragung sensibler
Daten von oder zu einem SharePoint, Blog oder
JA
NEIN
Wiki.
Ein voll funktionsfähiger Internet-Proxy, der SSLJA
NEIN
verschlüsselte Daten liest.
Richtliniendurchsetzung – Malware
(verhindert Angriffe von bösartigem Code am Internet- oder Email-Gateway)
Bereitstellung von Anti-Spam- und Anti-MalwareJA
NEIN
Funktionalität
Schutz vor Zero-Day-Gefahren
JA
NEIN
Anti-Viren-Lösung
JA
NEIN
Richtliniendurchsetzung – Interne Email
(verhindert das Versenden von Emails, die interne Konformitätsrichtlinien verletzen)
Umsetzung interner Email-Konformitätsrichtlinien
für Exchange und Domino Umgebungen
JA
NEIN
Richtliniendurchsetzung – gespeicherte Daten
(Identifikation sensibler Daten, die innerhalb des Unternehmens gespeichert sind)
Desktops oder Clients
NEIN
JA
Dateiserver
NEIN
JA
Fingerabdrücke sensibler Daten
JA
JA
18
Datenschutzlösungen – Eine redundante Technologie?
Solange kein vollständiger Internet-Proxy und eine MTA-Lösung gemeinsam genutzt
werden, bieten die meisten reinen Datenschutztechnologien lediglich passive
Netzwerküberwachung und keine aktive Durchsetzung. Inhalte, die das
Unternehmen verlassen, werden mit Richtlinien abgeglichen, die nach
Vertrauensverstößen oder sensiblen Daten suchen. Wenn diese Richtlinien jedoch
nicht greifen, müssen die Daten am Email- oder Internet-Gateway durch eine
weitere Lösung abgefangen werden.
Bei Identifikation von Verstößen in einer Email, wird die Information in der zentralen
Richtlinienverwaltungs- und Reporting-Oberfläche gemeldet. Entsprechende
Maßnahmen wie Verschieben in den Quarantäne-Bereich, Abwehren, Verschlüsseln,
Weiterleiten oder Kopieren werden nicht von der Datenschutzlösung bereitgestellt.
Damit entsprechende Maßnahmen umgesetzt werden, muss die Datenschutzlösung
die ausgehenden Nachrichten an eine MTA-Lösung oder das Clearswift Content
Aware Gateway weiterleiten. Die Datenschutzlösung leitet keine Maßnahmen ein.
Dies kann nur durch Weiterleitung der Email an beispielsweise eine MTA-Lösung
oder das Clearswift Content Aware Gateway erfolgen.
Wenn Verstöße in Internetübertragungen identifiziert werden, muss die
Datenschutzlösung eine iCAP-Nachricht an den Internet-Proxy oder das Clearswift
Content Aware Web Gateway senden. Erneut kann die Datenschutzlösung die
Richtlinie nicht durchsetzen, sondern muss eine Nachricht senden, damit an
späterer Stelle bei der Internetübertragung entsprechende Maßnahmen eingeleitet
werden können. Zwar können Datenschutzlösungen sämtliche Übertragungen und
Gefahren identifizieren und Internetsitzungen in Echtzeit rekonstruieren, aber
Maßnahmen können sie nicht einleiten (es sei denn, es wird gleichzeitig ein
vollständiger Proxy betrieben).
Auf dem Höhepunkt der Hysterie um Datenverluste mag die Rekonstruktion und
passive Überwachung aus Sicht von Unternehmen hilfreich sein, um zu verstehen,
welchen Gefahren sie ausgesetzt sind. Leider bieten derartige Produkte jedoch
keinen Schutz vor Datenverlusten, da sie keine Maßnahmen durchführen können. Bei
Identifikation eines Verlustes ist dieser bereits erfolgt. Interessanterweise werden
die Schutzmaßnahmen, die Datenschutzlösungen zur Abwehr von Datenverlusten so
attraktiv machen, nicht von den Lösungen selbst, sondern von bereits vorhandenen
Produkten wie MTA-Lösungen und Internet-Proxies bereitgestellt. Und diese werden
bereits in den meisten Unternehmensnetzwerken genutzt.
Trotz der Hysterie haben viele Unternehmen erkannt, dass Datenschutzlösungen
eine redundante Technologie sind. Die gleichen Schutzfunktionen für
Datenübertragungen und der Schutz des Unternehmens vor eingehender Malware
wird bereits vom Clearswift Content Aware Gateway geboten – einer Lösung, die auf
20 Jahre Erfahrung zurückgreifen kann.
19
Zusammenfassung
Viele Unternehmen sollten sich fragen, warum sie reine Datenschutzprodukte als
weiteren Schritt bei der Email-Übertragung implementieren sollten, wenn contentsensible Gateways wie Clearswift MIMEsweeper bereits eine derartige Funktionalität
sowie zusätzlich Schutz vor Malware bieten.
Das Clearswift Content Aware Gateway erleichtert die Content Security enorm. Die
Content Aware Gateway-Lösung von Clearswift bietet höchsten Komfort zu einem
Bruchteil der Kosten einer reinen Datenschutzlösung. Es schützt Ihre Marke, Ihren
Unternehmensruf und das Kundenvertrauen. 20 Jahre Erfahrung im Bereich Content
Security und der Schutz von weltweit 17.000 überaus erfolgreichen und
sicherheitsbewussten Unternehmen sprechen für Clearswift.
Dank einer zentralen Richtlinienverwaltung über eine einzige Oberfläche für
sämtliche Gefahren an den Internet- und Email-Gateways sowie für das interne
Email-System, benötigen Sie keine zusätzlichen, teuren Datenschutzprodukte. Mit
dem Clearswift Content Aware Gateway sind Datenschutzlösungen für
Übertragungen redundant. Dieser Ansatz ermöglicht kleinen und großen
Unternehmen die Einhaltung sämtlicher Datenschutz- und
Konformitätsanforderungen mit einer erschwinglichen, schnell implementierbaren
Lösung. Darüber hinaus müssen Sie keine Kompromisse bei der individuellen
Richtlinienverwaltung oder bei der Flexibilität eingehen, wenn Sie die Clearswift
Content Gateway-Lösungen nutzen. Jeder Kunde kann einen individuellen Ansatz
verfolgen, um sämtliche Datenschutzanforderungen innerhalb weniger Minuten zu
erzielen – und nicht Wochen, wie bei der führenden Datenschutzlösung.
Unterstützung einer
führenden Supermarktkette
bei der Einhaltung von PCI
DSS: Eine Fallstudie
Eine Einzelhandelskette in
Großbritannien mit weniger als
10.000 Mitarbeitern nutzt seit
Kurzem Content Monitoring von
Clearswift zur Einhaltung der PCI
Richtlinien und zum Schutz von
Kredit- und
Debitkarteninformationen. Die
Kette nutzt bereits seit langer Zeit
Gateway-Produkte von Clearswift
für eingehende Daten zum Schutz
des Unternehmens vor Malware,
Spam-Nachrichten und Viren.
Aufgrund der stetig wachsenden
Gefahren entschied sich das
Unternehmen zum Schutz von
persönlich identifizierbaren
Informationen und zur Einhaltung
der PCI Richtlinien für Content
Filtering am Ausgangs-Gateway, um
zur gewährleisten, dass keinerlei
Kreditkarteninformationen das
Unternehmen verlassen können
(unabhängig davon, ob derartige
Informationen per Email oder über
das Internet übertragen werden). In
nur 30 Minuten hatte das
Sicherheits-Team die PCI Vorlagen
installiert und entsprechende
Richtlinien für die Kette
konfiguriert. Bereits einige Wochen
später zeigte sich der Wert der
Lösung. Eine Email mit Kreditkarten
und Kontoinformationen, die tief in
einer Datei eingebettet und
nochmals in zwei weiteren Dateien
versteckt wurden, konnte
identifiziert, unter Quarantäne
gestellt blockiert werden. Durch
eine Analyse der Information wurde
die Quelle des Insider-Angriffs
identifiziert. Die Supermarktkette
hat sich durch die Lösung vor einer
immensen Schädigung ihres
Unternehmensrufes sowie negativer
Publicity geschützt. 20
Contact Clearswift
United States
Spain
Clearswift Corporation
161 Gaither Drive
Centerpointe Suite
101Mt. Laurel,
NJ 08054
Tel: +1 800 982 6109
Fax : +1 888-888-6884
Cerro de los Gamos 1,
Edif. 1
28224 Pozuelo de Alarcón,
Madrid
Tel: +34 91 7901219 / +34 91 7901220
Fax: +34 91 7901112
Australia
United Kingdom
Level 5, Suite 504,
165 Walker Street,
North Sydney,
New South Wales, 2060
Tel : +61 2 9424 1200
Fax : +61 2 9424 1201
1310 Waterside,
Arlington Business Park,
Theale,
Reading,
Berkshire, RG7 4SA
Tel: +44 (0) 11 8903 8903
Fax: +44 (0) 11 8903 9000
Germany
Japan
Amsinckstrasse 67,
20097 Hamburg
Tel: +49 40 23 999 0
Fax: +49 40 23 999 100
Hanai Bldg. 7F, 1-2-9,
Shiba Kouen Minato-ku
Tokyo 105-0011
Tel : +81 (3) 5777 2248
Fax : +81 (3) 5777 2249
Copyright © 2005 - 2009 Clearswift Ltd. All rights reserved. The materials contained herein are the sole property of Clearswift Ltd
unless otherwise stated. The Clearswift Logo and trademarks are the property of Clearswift or their respective owners. Clearswift
Ltd. (registered number 3367495) is registered in Britain with registered offices at 1310, Waterside, Arlington Business Park, Theale,
Reading, Berkshire RG7 4SA, England. Licensed under U.S. Patent No. 6,523,600. Protected by UK Patent 2,366,706
21