Fakten für den CISO

8 Irrtümer über Unternehmensdaten

| Autor / Redakteur: Thomas Ehrlich / Peter Schmitz

Ohne kontinuierlichen Dialog zwischen Führungskräften und IT-Verantwortlichen haben CIO oder CISO schnell einen falschen Eindruck von der Abwehrbereitschaft des Unternehmens.
Ohne kontinuierlichen Dialog zwischen Führungskräften und IT-Verantwortlichen haben CIO oder CISO schnell einen falschen Eindruck von der Abwehrbereitschaft des Unternehmens. (Bild: gemeinfrei)

CIOs und CISOs sollen in der Lage sein, Risiken für die IT-Systeme ihres Unternehmens zu benennen und zu bewerten. Oft fehlt aber ein Dialog zwischen Führungskräften und IT-Verantwortlichen. Das führt zu Wissenslücken, die dem Führungsteam einen falschen Eindruck von der Abwehrbereitschaft des Unternehmens vermittelt. Hier sind die acht verbreitetsten Irrtümer, mit denen CIOs und CISOs häufig konfrontiert sind.

Es gibt mittlerweile kaum mehr ein Unternehmen, dessen Erfolg nicht mittel- oder unmittelbar von einer funktionierenden IT abhängt. Aber kann man von einem Geschäftsführer oder Vorstand profundes IT-Security-Wissen erwarten? Aus diesem Grund wurden in den letzten Jahren vielerorts die Positionen eines CIO oder CISO geschaffen. Ein kontinuierlicher Dialog zwischen Führungskräften und IT-Verantwortlichen ist jedoch eher die Ausnahme als die Regel. Dies führt zu einer gewissen Wissenslücke, die dem Führungsteam einen falschen Eindruck von der Abwehrbereitschaft des Unternehmens vermittelt. Hier sind die acht verbreitetsten Irrtümer, mit denen CIO und CISO sicherlich schon häufig konfrontiert wurden.

Irrtum 1: Unsere sensiblen Daten werden nur in Datenbanken gespeichert.

Auch wenn eine Vielzahl an Prozessen über Unternehmensdatenbanken etwa für CRM oder Buchhaltung läuft, sind diese Systeme nicht die einzigen Orte, an denen sensible und vertrauliche Informationen gespeichert werden. Im Gegenteil: Die Analysten von IDG haben schon 2016 errechnet, dass unstrukturierte Daten jährlich um 62 Prozent zunehmen und dass bis 2022 93 Prozent der Dateien als unstrukturierte Daten vorliegen. Andere Zahlen, aber eine gleiche Tendenz, zeigt auch Gartner: Hier gehen die Analysten von einer Steigerung von 800 Prozent in den nächsten fünf Jahren aus, wobei dann 80 Prozent unstrukturiert seien. Unter unstrukturierte Daten fallen letztlich sämtliche Dateien außerhalb von Datenbanken, also von Word- und Excel-Dateien über Powerpoint-Präsentationen und E-Mails bis hin zu Bildern und Videos.

Diese Bandbreite deutet schon auf einen wesentlichen Punkt hin: Im Allgemeinen befinden sich in ihnen die wertvollsten, oftmals unternehmenskritischen Informationen. Dies führt zu einer paradoxen Situation: Obwohl Unternehmen jede Menge unstrukturierte Daten mit enorm wertvollen Inhalten haben, wissen sie in aller Regel kaum etwas über sie. In Bezug auf die DSGVO wird das bei personenbezogenen Daten problematisch (man denke an das Recht auf Löschung), im Hinblick auf den Geschäftserfolg gerade bei geistigem Eigentum, das Ziel vieler (oftmals auch staatlich geförderter) Angriffe ist.

Um diese wertvollen Daten zu schützen, müssen sie zunächst als solche identifiziert und klassifiziert werden, mit entsprechenden (eingeschränkten) Zugriffsrechten versehen und schließlich der Zugriff überwacht werden.

Irrtum 2: Wir sind DSGVO-konform. Wir können Dateien problemlos finden und Verbraucher-Anfragen inkl. des Rechts auf Vergessenwerden innerhalb kürzester Zeit bearbeiten.

Das Recht auf Löschung bzw. auf Vergessenwerden ist nach wie vor eine große Herausforderung für Unternehmen. Innerhalb von 30 Tagen müssen sie sämtliche Inhalte im Zusammenhang mit einer betroffenen Person identifizieren. Angesichts der Mengen an gespeicherten Informationen ist dies nicht sehr viel Zeit, um Anfragen zu bearbeiten, alle relevanten Daten über eine Person zu finden und zu sammeln sowie durch Bereitstellung und/oder Löschung der Daten zu reagieren.

Erschwert wird die Situation vor allem dadurch, dass diese Daten nicht fein säuberlich an einer einzigen Stelle zu finden sind. Und auch wenn entsprechende Datenbank-Systeme im Einsatz sind, finden Daten immer den Weg aus ihnen heraus. So werden sensible Daten auf lokalen Servern oder Rechnern gespeichert, finden sich in E-Mail-Ordnern oder in der Cloud. Die Mehrzahl der Unternehmen weiß schlicht und einfach nicht, wo genau ihre sensiblen Informationen gespeichert sind. Dies gilt für die DSGVO-relevanten personenbezogenen Daten genauso wie beispielsweise für geistiges Eigentum.

Irrtum 3: Bei einem IT-Sicherheitsvorfall erhalten wir durch unser SIEM alle für die Untersuchung und Verhinderung nötigen Informationen.

Security Information and Event Management (SIEM)-Lösungen sollen mit Hilfe mehrerer Softwareprodukte und -Services die Konzepte Security Information Management (SIM) und Security Event Management (SEM) vereinen. Entsprechend sammeln, korrelieren und analysieren sie die Protokolle aus einer Vielzahl verschiedener Quellen in einem einzigen Repository. In Sachen Forensik, also wenn es darum geht, eine Datenschutzverletzung zu untersuchen, haben SIEMs jedoch erhebliche Defizite. Sie sind oftmals nicht in der Lage, den richtigen Kontext rund um die unstrukturierten Daten darzustellen, um interne und externe Bedrohungen, Malware-Aktivitäten, laterale Ausbreitungen und Datenexfiltrationen zu erkennen. Gerade dieser Kontext ist jedoch wichtig, um das Signal vom Rauschen zu trennen und sich ein vollständiges Bild vom Sicherheitsereignis zu machen. Beispielsweise kann es sein, dass ein Benutzer, der sich von einer neuen IP-Adresse aus anmeldet, keinen Anlass zur Sorge gibt. Wenn dieser Nutzer jedoch nicht mehr im Unternehmen ist, sich noch nie remote angemeldet hat oder wenn die IP-Adresse in Nordkorea ansässig ist, ist dies ein Grund für eine Untersuchung. Klassische SIEM-Lösungen gleichen also eher Tools für die Schnitzeljagd und sind wenig geeignet, schwerwiegende Datensicherheitsverletzungen zu verhindern. Entscheidend ist, dass zusätzlicher Kontext zu den Daten geliefert wird, die im SIEM erfasst werden, denn nur durch die Identifizierung tief gehender Zusammenhänge, Einblicke und Bedrohungsinformationen kann das SIEM sein Potenzial ausschöpfen und zu geeigneten Abwehrmaßnahmen beitragen.

Irrtum 4: Wir sind vor Ransomware geschützt und in der Lage, entsprechende Angriffe automatisch abzuwehren.

Jahrelang war das Credo der IT-Sicherheit, die eigene Infrastruktur mit Firewalls und Antivirenprogrammen abzuschotten, um Angreifer und Malware fernzuhalten. Die Anzahl der Ransomware-Angriffe in den letzten Jahren zeigt jedoch, dass es für Malware oder einen anderen Gegner relativ einfach ist, an der Firewall vorbei ins Netzwerk zu gelangen. Alles, was es dazu braucht, ist jemand, der auf die falsche E-Mail klickt – und schon startet der Angriff, indem die Malware schnell auf freigegebene Daten zugreift und diese verschlüsselt. Unlängst zeigte eine Studie, dass 85 Prozent der Ransomware-Opfer eine Antiviren-Lösung installiert haben, die aber offensichtlich den Angriff nicht verhindern konnte.

Das Ausmaß eines Ransomware-Angriffs hängt dabei wesentlich von der Menge der Dateien ab, auf die das infizierte Nutzerkonto zugreifen kann. Der Datenrisiko-Report 2018 zeigte, dass durchschnittlich mehr als 20 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind und bei 58 Prozent mehr als 100.000 Ordner keiner Zugriffsbeschränkung unterliegen. Alle diese Dateien würden im Falle eines Angriffs verschlüsselt werden können. Die Folge: Das ganze Unternehmen kann für Tage, möglicherweise sogar Wochen nicht mehr richtig arbeiten.

Es bleibt offen, ob die Unternehmen, die bislang von Ransomware verschont geblieben sind, besser in Sachen IT-Sicherheit aufgestellt sind oder einfach nur Glück hatten. Fest steht aber: Um sich effektiv vor Krypto-Trojanern zu schützen, müssen die Zugriffsrechte auf das Mindestmaß reduziert werden und bessere Kontrollen eingeführt werden, die in der Lage sind, genau diese Angriffe schnell zu erkennen und (automatisiert) zu stoppen – noch bevor großer Schaden entsteht.

Irrtum 5: Wir wissen genau, wann von wem auf welche Daten zugegriffen wird.

Eine hartnäckige Fehlannahme ist, dass Windows-Systeme automatisch alles loggen, was Nutzer machen. Die Realität sieht leider anders aus: Allein festzustellen, wer auf welche Daten zugreifen darf, ist für die meisten IT-Verantwortlichen schon eine große und vor allem zeitaufwändige Herausforderung. Nachzuweisen, welcher Nutzer was mit einzelnen Dateien macht, ist mit Bordmitteln kaum noch zu bewerkstelligen. Für Audits müssen in aller Regel Informationen aus den unterschiedlichsten Quellen mit teilweise unterschiedlichen Informationen und Kriterien geprüft, bewertet, zusammengefasst und manuell erstellt werden. Diese Herangehensweise ist jedoch zeitaufwändig, fehleranfällig und meist auch unvollständig. Während Benutzer- und Gruppendetails von Active Directory und ACL-Informationen noch nachzuvollziehen sind, wird es bei Zugriffsereignissen auf Dateien – ohne dezidierte Lösungen – schwierig bis unmöglich.

Irrtum 6: Wir erkennen ungewöhnliches Verhalten und Ereignisse, die auf einen Angriff hindeuten könnten.

Um wichtige Daten zu sperren und effektiv zu schützen, müssen Unternehmen zunächst wissen, welche Daten sensibel sind und wer auf diese Daten zugreift. Durch die Überwachung des Nutzerverhaltens und der Dateiaktivitäten können Abnormalitäten dann schnell identifiziert und (automatisiert) unterbunden werden. Doch viele Unternehmen konzentrieren sich auf die Prävention von Cyberangriffen und achten nicht auf Anzeichen dafür, dass bereits ein Angriff stattgefunden hat.

In vielen Unternehmen herrscht nach wie vor die Auffassung, dass die Mauer nur hoch genug oder das Schloss groß genug sein muss, um Angreifer abzuwehren. Firewalls, AV-Lösungen und Endpunkt-Sicherheit sind sicherlich wesentliche Elemente einer umfassenden Sicherheitsstrategie. Die Geschichte und die Gegenwart zeigen aber: Angreifer werden es immer hinter den Perimeter schaffen. Die entscheidende Frage ist nur: Was geschieht dann? Sind die Abwehrsysteme in der Lage, verdächtiges Verhalten zu identifizieren? Wird beispielsweise erkannt, wenn eine große Anzahl wichtiger Dateien extern in einem Cloud-Konto gespeichert oder gedruckt wird? Dies könnte ein Anzeichen dafür sein, dass selbst ein vertrauenswürdiger leitender Mitarbeiter beabsichtigt, vertrauliche Dateien an einen anderen Arbeitsplatz zu bringen oder sie sogar an einen Wettbewerber zu verkaufen. Warnt das System vor auffallend vielen Dateiaktivitäten in kürzester Zeit? Dies könnte auf einen Ransomware-Angriff hindeuten. Mit herkömmlichen Antiviren-Lösungen kommt man hier leider nicht weit.

Irrtum 7: Wir löschen nicht mehr benötigte Daten und nicht mehr aktive Nutzer.

Der Datenrisiko-Report 2018 hat gezeigt, dass im Durchschnitt 54 Prozent der Daten eines Unternehmens länger nicht mehr genutzt werden bzw. veraltet sind (stale data) und es sich bei 34 Prozent der Benutzerkonten um sogenannte „Ghost User“ handelt, also nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten.

Beides ist aus unterschiedlichen Gründen schlecht für die Datensicherheit. Im Grunde ist es ganz logisch: Je weniger Daten potenziell entwendet werden können, desto geringer wird das Risiko bzw. desto sicherer ist das System. Alte Dateien, die dem Unternehmen vielleicht nicht mehr sehr wichtig erscheinen, könnten allerdings für einen Angreifer, der nach Informationen sucht, äußerst interessant und wertvoll sein. Ähnliches gilt für die Geisterkonten: Sie sind für die Angreifer ideal, da ihre Nutzung in aller Regel nicht weiter auffällt. Zum einen gibt es keinen aktiven Nutzer, der sich über vermeintlich von ihm selbst durchgeführte Aktionen wundern würde, zum anderen sind es legitime Konten mit bestimmten Berechtigungen. Für Kriminelle sind sie perfekt, um sich in aller Ruhe und ohne Aufmerksamkeit zu erzeugen in den anvisierten Unternehmen umzuschauen und diese von innen heraus kennenzulernen. Und je nach Zugriffsrechten können hierbei bereits auch schon Daten unauffällig entwendet werden.

Irrtum 8: Unser IT-Sicherheits-Projekt ist abgeschlossen.

Genauso wenig, wie 100-prozentiger Schutz erreicht werden kann, ist man in Sachen IT-Sicherheit nie am Ziel. Cybersecurity ist ein andauernder, iterativer Prozess und keine (einmalige) Aufgabe, die erledigt und dann abgehakt werden kann. Viele Unternehmen entwickeln durch den Einsatz von Firewalls und Antivirenlösungen ein trügerisches Gefühl der Sicherheit. Sich stetig weiterentwickelnde Malware- und Angriffsmethoden setzen Systeme und damit die Unternehmensdaten immer wieder aufs Neue in Gefahr. Um wirklich Cybersicherheit zu gewährleisten, müssen sämtliche Systeme kontinuierlich überwacht, interne Audits durchgeführt und Notfallpläne überprüft, getestet und ausgewertet werden. Und zwar immer wieder.

Über den Autor: Thomas Ehrlich ist Country Manager DACH von Varonis Systems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45790652 / Datenbanken)