BLOG
Wissenstransfer von IT-Spezialisten
| |

Microsoft Endpoint Data Loss Prevention – der neue Schutz von Datenverlust auf Windows 10 Endgeräten

Der Verlust von wichtigen Firmendaten ist seit jeher ein Schreckgespenst jeder Firma. Die Auswirkungen können enorm sein.

Das Thema „Schutz vor Datenverlust“  ist besonders in diesem Jahr aktueller denn je. Durch die Corona-Pandemie sind viele neue Herausforderungen entstanden.

Sensible Daten unterliegen schon lange nicht mehr nur noch der Hoheit der eigenen vier Netzwerkwände „on-premise“, sondern befinden sich zusätzlich verstreut in diversen Cloudresourcen, auf den Mobilgeräten und Notebooks der Angestellten sowie in anderen Orten.

Das Jahr 2020 lässt sich getrost als „Jahr des Homeoffice“ bezeichnen. Die Arbeit von zu Hause ist eher zur Regel als zur Ausnahme geworden.

Damit steigt die Gefahr eines (versehentlichen) Datenverlustes.

Aber was ist Datenverlust eigentlich und warum kann dieser fatale Folgen haben?  Der Begriff Datenverlust ist eigentlich selbsterklärend.

Datenverlust ist laut Wikipedia

der unvorhergesehene Verlust von Daten.

Die daraus möglicherweise entstehende Folgen teile ich in drei exemplarische Ebenen auf:

  • Reputationsverlust

Reputationsverlust durch das öffentlich werden von Kundenstammdaten oder interner Kommunikation.

  • direkten finanziellen Einbußen

Direkte finanzielle Einbußen können zum Beispiel entstehen, wenn interne Preislisten oder Kostenkalkulationen dem Wettbewerb bekannt werden.

  • Verstößen gegen die aktuelle Rechtslage

Verstöße gegen die aktuelle Rechtslage lässt sich mit einem Begriff verschlagworten:  DSGVO.

 

Microsoft hatte diese Herausforderung rechtzeitig und schon weit vor Corona erkannt und bietet seit dem 21.07.2020 öffentlich zugängig einen weiteren fundamentalen Baustein im Microsoft Information Protection Bollwerk.

In dieser Blogpost Reihe wird es um Endpoint-DLP als eine der neusten Möglichkeiten gehen, die Daten auf den Endpunkten (hier – Rechner mit Windows 10 = Endpoint) vor versehentlichem oder gewolltem Verlust (Data Loss) zu schützen (Prevention/protection) = Endpoint DLP oder kurz EDLP.

Endpoint Data Loss Prevention gibt uns eine ganze Reihe von Werkzeugen an die Hand.

 

tl;dr Zusammenfassend und grundlegend kann man sagen, dass der Upload oder das Kopieren/Ausschneiden und Einfügen von vorher als schützenswert definierten Daten bzw. Dateien mit Microsoft eDLP verhindert werden kann.

 

Was genau kann Endpoint Data Loss Prevention?

Es sind zurzeit die folgenden Optionen vorhanden (Stand November 2020):

Unterbinden von:

  • Hochladen von Dateien in Cloud-Dienste oder Zugriff auf diese über nicht erlaubte Browser
  • In die Zwischenablage kopieren von Daten oder Dateien
  • Kopieren von Dateien auf Wechselmedien (aka. USB-Stick und Co.)
  • Auf freigegebenen Netzwerkordner kopieren
  • Zugriff für nicht zugelassene Apps (bspw. Dropbox Synchronisation Client)
  • Drucken

Endpoint DLP ist nativ in Windows 10 integriert und bedarf keiner Installation weiterer Software. Die Schutzmechanismen werden über den SenseService.exe und den Windows Defender durchgesetzt.

Microsoft hat in der klassischen DLP Erkennungen für mehr als 100 als „sensibel“ eingestufte Datentypen erstellt und enthält mehr als 40 Vorlagen zur Einhaltung von Compliance/Regulatorien (wie GDPR/DSGVO. Datentypen können Kreditkartennummern oder ähnliches sein.

Diese Typen sind die Basis einer der Erkennungsmechanismen auf die (Endpoint) DLP Richtlinien erstellt werden.
Des Weiteren können Sensitivity Label vom Azure Information Protection als Grundlage von Schutzpolicies genutzt werden.

Aus Anwendersicht in der Praxis sieht das ganze wie folgt aus:

Blockieren von Kopieren von schützenswertem Text

 

Hochladen von Dateien - hier auf eine DLP Test Plattform

 

Und wie konfiguriert man nun eine einfache eDLP Policy?

 

Dies kommt im zweiten Teil dieser Reihe!