Data Leak Prevention Systeme stellen gute Funktionen zur Verfügung, um den ungewollten Datenabfluss per
E-Mail zu verhindern. Die Systeme werden inline in den Mail-Fluss geschaltet und erhalten alle E-Mails über SMTP. Doch wie sollen interne E-Mails überprüft werden?

 

Es gibt zwei Möglichkeiten, ausgehende E-Mails zu überprüfen. Die erste Möglichkeit ist die Überprüfung auf dem Client des Verfassers. Auf den ersten Blick scheint diese Möglichkeit sehr vielversprechend: E-Mails werden bereits während der Eingabe überprüft. Auf den zweiten Blick hat diese Variante aber auch grosse Nachteile: Die Überprüfung muss auf alle E-Mail Clients ausgerollt werden, beispielsweise also auch auf mobile Geräte. Die DLP Regeln müssen ebenfalls auf dem Client installiert werden und dort auch aktuell gehalten werden. Zu guter Letzt ist auch die Remedierung schwierig. Wird eine E-Mail fälschlicherweise auf dem Client blockiert, kann der Incident Handler diese nicht freigeben. Es müssen dort andere Mechanismen implementiert werden.

Die elegantere Möglichkeit ist die Überprüfung der E-Mails im Perimeter des Unternehmensnetzes. Ausgehende E-Mails werden durch eine zentrale Komponente überprüft.  Spezialisierte DLP Systeme wie die von McAfee oder Symantec stellen solche Komponenten zur Verfügung. Diese Komponenten werden inline im E-Mail Fluss installiert und erhalten die E-Mails per SMTP zur Überprüfung.

Wird ein Verstoss entdeckt, wird im zentralen DLP Management System ein Incident generiert und die hinterlegten Prozesse werden angestossen. Wird eine E-Mail blockiert, wird diese in eine Mail-Quarantäne verschoben. Entpuppt sich das Resultat der Überprüfung als False-Positive, kann sie von dort durch die Incident Handler nachträglich freigegeben werden.

Die in der obigen Abbildung aufgezeigte Lösung besticht durch Einfachheit im Betrieb und durch die ausgezeichneten Möglichkeiten, die Prozesse auf die Bedürfnisse der Unternehmen anzupassen.

Besonders grössere Firmen sind in verschiedene Bereiche unterteilt. Diese Bereiche stellen nicht nur organisatorische, sondern auch rechtliche Einheiten dar. Aus diesem Grund muss auch der E-Mail Verkehr zwischen den Bereichen überprüft werden. In der Regel teilen sich die verschiedenen Bereiche eine Exchange Infrastruktur. Werden E-Mails von einem Bereich zu einem anderen geschickt, verlassen sie die Exchange Infrastruktur nie und können somit vom DLP Scanner nicht überprüft werden. Zwangsläufig stellt dieser Umstand die IT Abteilungen vor grosse Herausforderungen, denn interne E-Mails lassen sich nicht ohne weiteres über SMTP verschicken. Gleichzeitig können DLP Scanner nicht in den internen E-Mail Fluss von Exchange blicken. Wie soll also mit diesem Dilemma umgegangen werden?

Microsoft bietet Boardmittel an, um E-Mails auf Verstösse zu untersuchen. In Exchange lassen sich Flow-Rules definieren anhand deren E-Mails, auch interne E-Mails, überprüft werden können. Leider hat diese Lösung gegenüber spezialisierten DLP Systemen wesentliche Nachteile. Dabei ist die Tatsache, dass die Lösung in der aktuellen Version nur reguläre Ausdrücke und statische Blacklists zur Erkennung von Verstössen unterstützt, in den meisten Fällen noch verkraftbar.

Viel schwerer wiegt der Umstand, dass die Mittel zur Remedierung von Incidents ein bescheidenes Dasein fristen: Verstösse werden als Report an eine Mailbox verschickt. Automatisierte Prozesse können nicht oder nur sehr schwer implementiert werden. Erschwerend kommt hinzu, dass die Überprüfung von E-Mails im gesamten Sicherheitskonzept zwar ein wichtiger Baustein ist, aber im Kontext von DLP meist nicht der einzige. Überprüfungen von Dateiservern oder vom Internetdaten gehören heute zum Standard. Eine zentrale Remedierung aller Incidents ist deshalb ein Muss.

Auf der Suche nach einer kreativen Lösung für dieses Problem, hat die e3 AG bei einer Schweizer Bank die Lösungen von Microsoft und McAfee kombiniert.

Die in der obigen Abbildung aufgezeigte Lösung besticht durch Einfachheit im Betrieb und durch die ausgezeichneten Möglichkeiten, die Prozesse auf die Bedürfnisse der Unternehmen anzupassen.

Besonders grössere Firmen sind in verschiedene Bereiche unterteilt. Diese Bereiche stellen nicht nur organisatorische, sondern auch rechtliche Einheiten dar. Aus diesem Grund muss auch der E-Mail Verkehr zwischen den Bereichen überprüft werden. In der Regel teilen sich die verschiedenen Bereiche eine Exchange Infrastruktur. Werden E-Mails von einem Bereich zu einem anderen geschickt, verlassen sie die Exchange Infrastruktur nie und können somit vom DLP Scanner nicht überprüft werden. Zwangsläufig stellt dieser Umstand die IT Abteilungen vor grosse Herausforderungen, denn interne E-Mails lassen sich nicht ohne weiteres über SMTP verschicken. Gleichzeitig können DLP Scanner nicht in den internen E-Mail Fluss von Exchange blicken. Wie soll also mit diesem Dilemma umgegangen werden?

Microsoft bietet Boardmittel an, um E-Mails auf Verstösse zu untersuchen. In Exchange lassen sich Flow-Rules definieren anhand deren E-Mails, auch interne E-Mails, überprüft werden können. Leider hat diese Lösung gegenüber spezialisierten DLP Systemen wesentliche Nachteile. Dabei ist die Tatsache, dass die Lösung in der aktuellen Version nur reguläre Ausdrücke und statische Blacklists zur Erkennung von Verstössen unterstützt, in den meisten Fällen noch verkraftbar.

Viel schwerer wiegt der Umstand, dass die Mittel zur Remedierung von Incidents ein bescheidenes Dasein fristen: Verstösse werden als Report an eine Mailbox verschickt. Automatisierte Prozesse können nicht oder nur sehr schwer implementiert werden. Erschwerend kommt hinzu, dass die Überprüfung von E-Mails im gesamten Sicherheitskonzept zwar ein wichtiger Baustein ist, aber im Kontext von DLP meist nicht der einzige. Überprüfungen von Dateiservern oder vom Internetdaten gehören heute zum Standard. Eine zentrale Remedierung aller Incidents ist deshalb ein Muss.

Auf der Suche nach einer kreativen Lösung für dieses Problem, hat die e3 AG bei einer Schweizer Bank die Lösungen von Microsoft und McAfee kombiniert.