Nach Angaben des Identity Theft Resource Center (ITRC) sind die Vorfälle von Datenschutzverletzungen in den USA in den letzten Jahren stetig gestiegen. Im Jahr 2017 erreichten sie mit über 1.500 Vorfällen - das sind mehr als drei Diebstähle an jedem Tag - ein neues Allzeithoch. Allein in Deutschland wurden seit 2013 knapp 45 Millionen Datensätze gestohlen. Hacker und immer professioneller agierende Cyberkriminelle setzen dabei laufend neue, stets effektivere und verheerendere Arten von Malware ein, die weltweit zu massiven und kostspieligen Schäden führen. Gleichzeitig wachsen die Ausgaben für Datensicherheit in den letzten und werden laut Gartner in diesem Jahr weltweit voraussichtlich fast 100 Milliarden Dollar erreichen. Wie ist es also zu erklären, dass, trotz steigender Investitionen in die IT-Sicherheit, die erfolgreichen Angriffe und Datendiebstähle nicht abnehmen, sondern ebenfalls weiter zunehmen?
Foto: Lightspring - shutterstock.com
Der kürzlich von Varonis veröffentlichte Datenrisiko-Report 2018 zeigt, dass durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind. Bei 41 Prozent der Unternehmen haben sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien. Darunter fallen beispielsweise personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen. Bei 58 Prozent der Unternehmen unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung. In diesen Zahlen liegt die Antwort, weshalb es (internen und externen) Angreifern möglich ist, scheinbar problemlos auf wertvolle Daten zuzugreifen und diese zu entwenden. Für einen Innentäter ist es ein Leichtes, sich angesichts mangelnder Zugriffsbeschränkungen in aller Ruhe in den Speichersystemen umzusehen und das zu kopieren, was ihn interessiert oder lukrativ erscheint. Aber auch für externe Angreifer ist es nicht unmöglich, den Perimeter zu überwinden. Mittlerweile müssen sie nicht einmal mehr programmieren können: Entsprechende Tools oder sogar Services lassen sich im Darknet relativ einfach besorgen.
Wie kommen Angreifer in die Unternehmenssysteme?
Nach wie vor ist Phishing eine der beliebtesten, weil effektivsten Methoden, um Malware zu verbreiten oder an Zugangsdaten zu gelangen. So zeigte eine Untersuchung der Friedrich-Alexander-Universität (FAU) Erlangen, dass bei stolzen 25 Prozent der Phishing-Mails tatsächlich auf den entsprechenden Link geklickt wurde. Entscheidend für den Erfolg einer Phishing-Kampagne ist gemäß der Leiterin der FAU-Studie Dr. Zinaida Benenson, dass der Kontext der Mail zum Empfänger passt und auf eine gewisse Neugier trifft. In diesem Zusammenhang spielen Social-Engineering-Techniken eine große Rolle. Ohne größeren Aufwand ist es so den Angreifern möglich, eine plausible und interessante Mail an das ausgewählte Opfer zu entwerfen. Insofern ist es auch nicht verwunderlich, dass mehr als die Hälfte der befragten Hacker der Black Hat-Umfrage von Thycotic, Anbieter von Lösungen im Bereich Privileged Access Management (PAM), in Social-Engineering die schnellste Methode sehen, um privilegierte Konten zu übernehmen.
Neben Phishing nutzen Angreifer auch schwache Passwörter, ungepatchte bekannte Sicherheitslücken (wie beispielsweise WannaCry), und einen endlosen Bestand an neuen Schwachstellen und Exploits, die ihnen zur Verfügung stehen. Auf diese Weise werden diese externen Angreifer zu Insidern, die dann Zugriff auf all die ungeschützten Daten erhalten.
Warum werden Angriffe nicht schneller entdeckt?
Genau 76 Tage waren die Angreifer in den Systemen des amerikanischen Finanzdienstleisters Equifax unterwegs, bevor sie aufgefallen sind und entsprechende Gegenmaßnahmen eingeleitet wurden. Da waren allerdings schon hochsensible Daten von über 143 Millionen US-Amerikanern, wie Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen und teilweise auch Führerscheindaten, entwendet worden. Beim Hack von British Airways waren es zwar "nur" rund zwei Wochen, in denen die Sicherheitslücke und der damit verbundene Cyberangriff den Sicherheitssystemen des Unternehmens nicht aufgefallen sind. Es war Zeit genug, um 380.000 Kundendaten zu stehlen.
Diese beiden Fälle sind beileibe keine Ausnahmen, sondern tatsächlich die Regel. Unternehmen wissen oftmals nicht, was sich innerhalb ihrer Perimeter abspielt. Hand aufs Herz: Können Sie als CIO, CISO oder IT-Verantwortlicher die Frage beantworten, wie Sie feststellen, dass 10.000 Dateien mit sensiblen Informationen manipuliert oder gelöscht wurden bzw. auf sie zugegriffen wurde?
Bis vor kurzem war mit solchen Fragen auch kaum zu rechnen. Durch die DSGVO wurde jedoch die Datenbehandlung auch zum Thema für die Geschäftsführung, die sich zuvor meist nur am Rande mit Fragen der IT auseinandergesetzt hat. Entsprechend erstaunt sind viele Führungskräfte, dass in ihren Unternehmen in aller Regel nicht überwacht wird, wie insbesondere sensible Dateien genutzt werden. Gerade dieses Monitoring bildet jedoch die Voraussetzung dafür, zu erkennen, wenn etwas schiefläuft.
Intelligent in Sicherheit investieren
Wie eingangs beschrieben, werden weltweit wie auch in Deutschland die Investitionen in die IT-Sicherheit weiter steigen. Die folgenden drei Schritte sollen dabei helfen, den maximalen Nutzen aus den Investitionen zu holen:
Das Risiko bewerten
Die Grundlage jeder Sicherheitsstrategie ist eine umfassende Bestandsaufnahme aller Daten, die geschützt werden müssen. Identifizieren Sie wichtige, sensible und regulierte Daten dort, wo Sie sie am meisten erwarten (also beispielsweise in den entsprechenden Verzeichnissen der jeweiligen Fachabteilunge) und noch wichtiger: auch dort, wo Sie sie am wenigsten erwarten. Daten sind ausgesprochen mobil und wandern an alle möglichen Orte, werden verschoben und in abwegige oder abseitige Verzeichnisse kopiert. Anschließend gilt es festzustellen, wer Zugriff auf diese Daten hat sowie ob und von wem tatsächlich zugegriffen wird. Aus diesen Informationen lässt sich erkennen, ob die Daten überhaupt noch benötigt werden und ob die Zugriffsrechte adäquat oder zu exzessiv sind. Mehr als die Hälfte aller Daten eines Unternehmens sind in der Regel veraltet und werden nicht mehr genutzt.
Das Risiko adressieren
Reduzieren Sie die Zugriffsrechte auf sensible Dateien nach dem Need-to-know-Prinzip. Dadurch wird sichergestellt, dass lediglich diejenigen Personen auf Daten zugreifen können, die sie tatsächlich für ihre Arbeit benötigen. Gleichzeitig kommen Innentäter und auch externe Angreifer, die Sicherheitsinformationen eines normalen Mitarbeiters verwenden, nur noch an eine bestimmte Anzahl Dateien. Veraltete, nicht mehr benötigte Dateien mögen für Ihr Unternehmen nicht mehr interessant sein, für Angreifer möglicherweise jedoch schon. Deshalb sollten diese archiviert, gelöscht oder in Quarantäne verschoben werden.
Das Risiko dauerhaft minimieren
Um auf Dauer Risiken wirkungsvoll zu minimieren, sollte über die Einführung von Datenverantwortlichen (data owners) nachgedacht werden. Diese sitzen nicht in der IT- sondern in der jeweiligen Fachabteilung und wissen genau, wer welchen Zugriff benötigt und wer nicht. Dies reduziert nicht nur das Datenrisiko enorm, sondern entlastet auch die IT-Abteilung.
Die Menge an Daten wird weiter wachsen, ebenso die Anzahl der Angriffe. Durch die umfassende Berichterstattung über einige besonders gravierende Datenschutzverletzungen und die Einführung der DSGVO wird Datensicherheit tatsächlich mehr und mehr zur Chefsache. Unternehmen, die intelligent auf der Grundlage von Risiko-Priorisierung investieren, werden für die nächste Welle von Cyberangriffen besser gerüstet sein als diejenigen, die immer nur darauf hoffen, verschont zu bleiben.