Im Test: Datendiebstahl verhindern mit Safetica DLP

    DLP: Upload blockiertZiel der meisten Angriffe auf IT-Systeme ist es, an ver­trauliche Daten von Unter­nehmen zu gelangen. Nicht nur Hacker, die in das Netz­werk ein­dringen, sondern auch interne Daten­diebe können die begehrten Daten meist ein­fach nach außen schleusen. Safetica möchte mit seinen DLP-Tools dem einen Riegel vorschieben.*

    Für DLP gibt es zwar keine einheitliche Definition, es umfasst in der Regel aber ein ganzes Bündel von Techniken und Maß­nahmen, um den unautorisierten Abfluss von Daten zu verhindern. Dazu zählen etwa ein Device Management, die Auditierung von Benutzer­aktivitäten oder Content-Filter für das Versenden von Dateien.

    Der tschechische Anbieter Safetica versammelt in seinem gleich­namigen Produkt derartige Tools und ergänzt sie um Funktionen wie App Whitelisting oder URL-Filter, die wichtige Einfallstore für Malware schließen helfen.

    Zonen-basiertes Device-Management

    Die Funktion Device Control erlaubt ein fein abgestuftes Management von Geräten, die über lokale Ports wie USB, Firewire, Bluetooth oder LPT ange­schlossen sind. Die Kontrolle reicht vom vollständigen Blockieren über einen Nur-Lesemodus bis zur uneinge­schränkten Freigabe.

    Device Control kann die Nutzung externer Geräte einschränken.

    Vorhandene Geräte lassen sich verschiedenen Zonen zuteilen, um sie als Gruppe anzusprechen und für sie spezifische Regeln zu vergeben. Wenn zum Beispiel verschlüsselte USB-Sticks als sicher gelten, dann kann man sie einer vertrauens­würdigen Zone hinzufügen und sie so von allgemeinen Ein­schränkungen ausnehmen.

    Geräte, aber auch URLs und IP-Adressen lassen sich je nach Vertrauenswürdigkeit verschiedenen Zonen zuordnen.

    Zu den vorgegebenen Geräte­klassen für Zonen gehören daneben noch Drucker, Netzlauf­werke, URLs oder ganz allgemein IP-Adressen. Sie kann man auch für Regeln nutzen, die nicht nur Geräte betreffen. So ließe sich der Versand per Mail für bestimmte Dokumente unterbinden, aber ausgewählte Domänen davon ausnehmen.

    Laufwerke blockieren

    Als Ziele für den Abfluss vertraulicher Daten kommen nicht nur USB-Sticks oder Mail-Empfänger in Frage, sondern immer häufiger auch Cloud-Speicher wie OneDrive oder Google Drive. Sie werden oft als Laufwerk in Windows eingebunden.

    Disk Guard kann den Zugriff auf diverse Laufwerkstypen einschränken oder ganz verwehren.

    Disk Guard kann sie als auch lokale Laufwerke und Netzwerk­freigaben verwalten. Alle drei Typen lassen sich auf das Lesen beschränken oder blockieren. Letzteres führt dazu, dass Safetica sie komplett aus dem Explorer ausblendet und auch auf der Kommando­zeile unzugänglich macht.

    Mehrere Abwehrmaßnahmen in einer Regel

    Für eine umfassende Kontrolle ausgehender Daten wird man sich nicht auf Einzel­maß­nahmen wie das Blockieren bestimmter Geräte oder das Ausblenden von Laufwerken beschränken. Daher sieht Safetica die Definition von DLP-Regeln vor, die mehrere Maßnahmen bündeln.

    Regeln umfassen Einschränkungen für mehrere Kommunikationskanäle.

    Zur Auswahl stehen drei Typen von Regeln:

    Allgemein: Sie verwalten pauschal sämtliche Kommunikations­kanäle und betreffen alle Daten, die etwa per Mail verschickt oder auf ein externes Gerät kopiert werden. Sie eignen sich besonders, um grund­legende Limitierungen vorzugeben.

    Daten: Sie beziehen sich auf bestimmte Kategorien von Dokumenten, die man zuvor definieren muss. Dabei legt man Kriterien für den Inhalt fest, etwa dass Dateien Kreditkarten­nummern, IBANs oder dergleichen enthalten müssen. Die dafür nötigen Filter bringt Safetica bereits mit, eigene kann man unter anderem über reguläre Ausdrücke erstellen.

    Über data categories lassen sich Kriterien für kritische Dokumente definieren.

    Anwendungen: Damit schränkt man das Verhalten von Applikationen ein und hindert sie zum Beispiel darin, dass sie auf externe Laufwerke oder auf OneDrive speichern, ausdrucken oder in Screenshots abbilden lassen. Safetica enthält eine umfangreiche, in Kategorien eingeteilte Liste gängiger Software, die man für solche Regeln nutzen kann.

    Wenn es für bestimmte Aktionen sinnvoll ist, dann kann man sie nicht man nicht bloß erlauben oder verbieten, sondern ein Whitelisting für die als sicher deklarierten Zonen einrichten. Damit ließe sich etwa das Ausdrucken oder das Speichern auf externen Geräten generell blockieren, aber vertrauens­würdige Drucker oder verschlüsselte Speicher­medien könnte man davon ausnehmen.

    Als sicher geltende Geräte oder Domänen lassen sich aus den Beschränkungen ausnehmen.

    Alle drei Typen von Regeln lassen sich durch die Integration mit dem Active Directory einzelnen oder mehreren Konten sowie ganzen OUs zuordnen. Überschneiden sich Aktionen in mehreren Regeln, dann entscheidet ihre Anordnung in der Konsole, welche sich durchsetzt.

    Zuweisen einer Policy zu einer OU im Active Directory.

    BitLocker

    Die Verschlüsselung von Laufwerken ist ein Eckpfeiler jeder Strategie zur Data Loss Prevention. Gehen etwa mobile Datenträger oder Notebooks verloren, dann fallen vertrauliche Daten schnell in die falschen Hände.

    Safetica verfügt hier über keine eigene Technologie, sondern setzt auf BitLocker. Nachdem Microsoft diese Laufwerks­verschlüsselung seit geraumer Zeit auch mit der Pro Edition ausliefert, gibt es hier keine Not­wendigkeit für DLP-Hersteller, das Rad neu zu erfinden.

    Da Microsoft mit der Abkündigung von BitLocker Administration and Monitoring (MBAM) keine eigen­ständigen Tools für das BitLocker-Management mehr anbietet, sondern nur mehr als Funktion von Endpoint Manager und Intune bereitstellt, dürften Anwender die zentrale BitLocker-Verwaltung in Safetica begrüßen.

    Das Tool enthält zwei Module für diesen Zweck, das eine zur Codierung von mobilen Datenträgern und das andere für integrierte Disks (inklusive System­laufwerk). BitLocker Devices erwartet, dass Wechselmedien erst Benutzern zugewiesen werden, bevor man sie verschlüsseln kann.

    Safetica enthält ein Modul zur zentralen Verwaltung der Laufwerksverschlüsselung mit BitLocker.

    BitLocker Disks hingegen setzt voraus, dass die Ver­schlüsselungs­funktion zuvor über die Gruppen­richtlinien aktiviert wurde.

    Application Whitelisting und URL-Filter

    Neben dem DLP-Modul enthält Safetica ein weiteres mit der Bezeichnung Supervisor. Dahinter verbergen sich Funktionen für das Black- und Whitelisting von Anwendungen, das Sperren uner­wünschter Websites sowie für die Drucker­kontrolle. Letztere möchte der Hersteller demnächst vollständig in das DLP-Modul migrieren.

    Das Blockieren von unproduktiven oder schädlichen Anwendungen über eine Blacklist ist normalerweise ein hoffnungs­loses Unterfangen, weil es davon zu viele gibt und ständig neue hinzu­kommen.

    Safetica umfasst eine lange Liste an gängiger Standard­software, die bereits für die oben erwähnten anwendungs­spezifischen DLP-Regeln dient. Sie ist in zahlreiche Kategorien unterteilt, die sich keineswegs auf Spiele und Unterhaltung beschränken. Vielmehr ist diese Sammlung auch die Grundlage für das Whitelisting, bei dem man nur ausgewählte Programme zulässt.

    Safetica enthält einen Katalog mit zahlreichen Anwendungen, den man für das Black- und Whitelisting verwenden kann.

    Dank dieser vom Hersteller gepflegten Liste lässt sich ein ganzer Schwung unnützer Software einfach blockieren. Aber Blacklisting bietet auch damit keinen aus­reichenden Schutz vor schädlichen Programmen, weil diese im Softwarekatalog kaum enthalten sein werden.

    Blockieren von unerwünschten Anwendungen durch Black- oder Whitelisting

    Whitelisting erfüllt diese Anforderung wesentlich besser, wobei man dann sicherstellen muss, dass im Unternehmen benötigte Programme nicht versehentlich blockiert werden. Wenn die von Safetica vorgegebene Liste dafür nicht ausreicht, dann kann man weitere Applikationen selbst ergänzen, beispielsweise solche, die im Haus entwickelt wurden.

    Nach dem prinzipiell gleichen Muster funktioniert Web Control. Auch hier kann man grundsätzlich alle Websites blockieren und nur ausgesuchte freigeben. Alternativ entscheidet man sich für ein Blacklisting, um nur unerwünschte URLs zu sperren.

    Web Control erlaubt Unternehmen, unerwünschte Websites für die Mitarbeiter zu sperren.

    Wie bei Application Control gibt der Hersteller auch hier eine bereits kategorisierte Liste vor, die aber sicher keinen Anspruch auf Voll­ständigkeit erhebt. Sie reicht jedoch aus, um etwa soziale Netzwerke oder gängige Shopping-Sites zu blockieren.

    Auditing

    Als weiteres optionales Modul, das separat lizenziert werden muss, enthält Safetica den Auditor. Wie der Name vermuten lässt, schneidet es alle möglichen Benutzer­aktivitäten mit, die der Administrator dann über ein Dashboard und über Reports auswerten kann.

    Auf dieser Basis lässt sich Verhalten identifizieren, das zu Datenabfluss oder sonstigen Beein­trächtigungen der Sicherheit führen kann. Die personen­bezogene Aufzeichnung solcher Informationen gerät in Deutschland jedoch leicht in Konflikt mit dem Datenschutz.

    Daher passt Safetica sein Produkt in Zusammen­arbeit mit dem deutschen Distributor MicroNova so an, dass die erfassten Informationen anonymisiert und nur in ihrer Gesamtheit einsehbar sind.

    Installation

    Die Installation der Server-Komponente bietet zwei Optionen, die automatische und die manuelle. Letztere benötigt man etwa, wenn man einen vorhandenen SQL Server verwenden möchte. Die automatische Variante läuft ohne Rückfrage durch und installiert die Express Edition der Datenbank.

    Installationsvarianten für Safetica

    Das Setup richtet zudem die IIS ein, auf denen das Web-Interface namens Websafetica läuft. Dieses bietet aktuell nur einen Teil der Funktionen, welche die native Windows-Konsole beherrscht.

    Der Hersteller setzt aber künftig ganz auf die Web-GUI, welche zur primären Admin- und Reporting-Umgebung werden soll. Um sie in Betrieb zu nehmen, sollte man ein Zertifikat für die Safetica-Website installieren.

    Das Web-Interface soll künftig mehr Funktionen erhalten und zur primären Oberfläche für Safetica werden.

    Auf den Clients benötigt Safetica einen Agent. Nach der Installation des Servers kann man das MSI für den Client aus der Konsole herunterladen und dann über Gruppen­richtlinien oder eine Client-Management-Lösung auf die Endgeräte verteilen. Anschließend muss man die betreffenden Rechner noch in der Konsole aktivieren.

    Das MSI für die Agent-Installation auf den Endgeräten kann über die Konsole heruntergeladen werden.

    Für die Zuweisung von Regeln an Benutzer und das Erfassen der Rechner bindet man die Software an das Active Directory an, wobei die Integration über das Computer-Konto des Safetica-Servers erfolgen kann.

    Anbindung von Safetica an das Active Directory

    Fazit

    Safetica deckt eine große Bandbreite an Funktionen ab, die Unbefugten die Weitergabe von Firmendaten verwehren. Im Zentrum stehen dabei das Device- und BitLocker-Management sowie ein Regelwerk, das mehrere Ein­schränkungen bündeln kann. Neben ihrer generellen Anwendung lassen sie sich auf bestimmte Dokumente oder Programme zuschneiden.

    Aufgrund der einfachen Installation und der Modularität des Tools dürfte der Einstieg auch kleineren Unternehmen nicht schwer fallen. Alle Funktionen lassen sich anfangs in einem reinen Log-Modus betreiben und dann nach und nach scharf schalten, wenn man absehen kann, welche Aus­wirkungen bestimmte Maßnahmen haben.

    Neben den eigentlichen DLP-Funktionen bietet Safetica zusätzlichen Schutz durch Application Whitelisting und URL-Filter. Diese Features sind zwar nicht so leistungs­fähig wie darauf spezialisierte Programme, runden aber das Portfolio der Sicherheits­funktionen ab.

    Einen hundert­prozentigen Schutz gegen Daten­diebstahl und andere Bedrohungen der IT-Sicherheit wird man nie erreichen. Safetica schließt aber ohne großen Aufwand viele Lücken und vermittelt dem Administrator einen Eindruck davon, was die Benutzer in seinem Netzwerk so treiben.

    Weitergehende Informationen zu Safetica finden sich auf der Website von MicroNova. Dort kann man auch eine für 30 Tage gültige Testversion anfordern.

    * Dieser Text ist ein bezahlter Beitrag der MicroNova AG.