Schutz kritischer Unternehmensdaten

Die 5 größten Datenverlustrisiken

12.08.2019
Von   IDG ExpertenNetzwerk


Michael Kretschmer ist VP EMEA von Clearswift RUAG Cyber Security.

3. Diebstahl von Unternehmensdaten

Innerhalb der letzten Jahre gab es abseits versehentlicher Datenlecks auch zahlreiche internationale Fälle, in denen Mitarbeiter sich konkret gegen ihr Unternehmen gewendet haben. Dies betraf Weltkonzerne wie Sony oder Google, aber auch kleinere und mittelständische Unternehmen.

Hierbei kann es sich zum einen um Innentäter handeln, die einen persönlichen Vorteil erlangen wollen, etwa Mitarbeiter, die ein Unternehmen verlassen und Dateien und Daten mitnehmen. Zum anderen können es missgünstige Mitarbeiter sein, die Rache nehmen wollen, indem sie durch Preisgabe von sensiblen Informationen Schaden anrichten.

Die gute Nachricht ist, dass die gleiche Technologie, mit der versehentliche Datenlecks erkannt und verhindert werden, auch vorsätzliche abwehrt. Weitere Lösungen ermöglichen es, Informationen und deren Verwendung zu erkennen und nachzuverfolgen. Dennoch gibt es keinen "Universalschutz". Es geht vielmehr darum Schichten von Sicherheit aufzubauen um eine Strategie der Verteidigung in der Tiefe zu realisieren. Das Verständnis der Informationen und ihrer Risiken ist dabei essenziell und kann zu einem kostengünstigen und effektiven Lösungsansatz führen.

Externe Bedrohungen

Während interne Bedrohungen, insbesondere unbeabsichtigte und zufällige Ereignisse, den Großteil der Datenschutzverletzungen ausmachen, dürfen diejenigen von außen nicht vernachlässigt werden. Distributed Denial of Service (DDoS) und System-Hacking befinden sich weiterhin auf dem Vormarsch. Sicherheitspraktiken wie regelmäßige Patch-Updates des Betriebssystems und der Anwendungen sowie aktuelle Antiviren-Definitionen und eine effektive Backup-Strategie tragen wesentlich zum Schutz des Unternehmens vor Legacy-Angriffen bei. Doch es gibt noch weitere Bedrohungen von außen, die es zu verstehen und vor denen es sich zu schützen gilt.

4. Phishing

Durch Phishing versuchen Cyber-Kriminelle, sensible Daten einer Person abzurufen, wie beispielsweise Bankkennwörter oder Kreditkartendaten, um Geld zu stehlen. Heutige Phishing-Angriffe erfolgen in der Regel über sehr überzeugend gefälschte geschäftliche oder persönliche E-Mails. Meist beinhalten sie einen Link, auf den der Empfänger klicken und sensible Informationen an die Angreifer weiterleiten soll.

Passende Technologie ist wichtig, um erfolgreiche Phishing-Angriffe auf Unternehmen zu verhindern. Allerdings spielt auch hier die Aufklärung der Mitarbeiter eine Rolle. Es gilt die Belegschaft dafür zu sensibilisieren, wie eine verdächtige E-Mail aussehen kann, und sie zur Vorsicht beim Öffnen oder Anklicken von Links in verdächtigen E-Mails oder Dokumenten zu ermahnen. Weiterhin sollte ein Prozess implementiert werden, nach dem Mitarbeiter prüfen können, ob eine E-Mail oder ein Dokument schädlich sind. Dies wird langfristig dazu beitragen, eine Kultur erhöhten Sicherheitsbewusstseins im Betrieb zu etablieren.

5. Malware- und Ransomware-Angriffe

Angriffe mit Verschlüsselungstrojanern befinden sich nach wie vor auf dem Vormarsch. Im Jahr 2017 machten Ransomware-Angriffe wie WannaCry, NotPetya und Bad Rabbit Schlagzeilen und brachten zahlreiche Unternehmen in Bedrängnis. Unter ihnen fanden sich auch Betriebe aus dem KRITIS-Bereich wie etwa Krankenhäuser. Das BSI schätzt in seinem Bericht zur Lage der IT-Sicherheit in Deutschland (PDF) die finanziellen Folgen der Ransomware-Welle im Jahr 2017 auf rund 8 Milliarden Dollar. Die Angriffe waren so ausgeklügelt, dass sie sich den Sicherheitsvorkehrungen einiger der weltweit größten Unternehmen entziehen konnten, die sich auf traditionelle Sicherheitstechnologien verlassen hatten.

Auch im Jahr 2018 setzte sich die Bedrohung fort. Im Lagebericht stellt das BSI weiter fest, dass die neueren Fälle von Erpressungstrojanern zwar nicht wie im Vorjahr die Schlagzeilen beherrschten, aber auf neue Entwicklungen hinweisen. Beispielsweise wurde im Januar 2018 erstmals eine neue Ransomware namens GandCrab entdeckt, die neben lokal aktiven Kampagnen (Magniber) als erste per Exploit-Kit verbreitet wurde.

Die Erpresser-Software SamSam attackiert über Schwachstellen öffentlich zugänglicher Softwarekomponenten (Web-Server) oder durch das Erraten unsicherer Passwörter in der verwendeten Benutzerverwaltung. Mit dieser Art Ransomware wurde im März 2018 die Stadt Atlanta (Georgia, USA) angegriffen und weite Bereiche der externen und internen Dienste wurden lahmgelegt.

Letztendlich zielen Attacken darauf ab, die kritischen Daten von Organisationen zu stehlen und zu veräußern. Verkauft werden die Daten entweder an einen externen Käufer oder im Falle von Ransomware zurück an das Unternehmen, dem sie gehören.

Moderne Angriffe werden häufig in Form von aktivem Code oder Skripten ausgeführt, die in harmlos aussehende, eingehende E-Mails und Dokumente oder Links zu Dokumenten eingebettet sind. Diese haben verheerende Auswirkungen auf die internen Systeme des Betriebs, wenn sie sich hier ausbreiten. Die häufigste Art von schädlichen Dokumenten sind Lebensläufe oder Stellenangebote, mit dem die Personalabteilung oder eine Person angesprochen wird.

Auch hier spielen die Aufklärung und regelmäßige Schulung der Mitarbeiter eine entscheidende Rolle für die Prävention. Weiterhin sollte auch für dieses Problem die Implementierung einer technischen Lösung erwogen werden.

Prinzipiell gibt es zwei Möglichkeiten, Ransomware und Malware im Betrieb zu verhindern. Die Erste basiert darauf, aktive Inhalte zu entfernen. Das heißt, Malware wird aus dem Dokument entfernt, der Rest bleibt unangetastet. Dadurch erhält der Empfänger die gesendeten Informationen sofort, nicht aber die Schadsoftware. Diese Technologie wird auch "Structural Sanitization" genannt.

Bei der zweiten Methode kommt Sandbox-Technologie zum Einsatz. Sie öffnet das Dokument in einer sicheren Umgebung (Sandbox) und analysiert anschließend dessen Verhalten. Wenn nach einer bestimmten Zeitspanne (beispielsweise 15 Minuten) nichts Ungewöhnliches geschieht, wird das Dokument für den Empfänger freigegeben. Damit geht eine gewisse Zeitverzögerung einher und fortschrittliche eingebettete Malware kann diesen Schutzmechanismus unter Umständen umgehen.