Fünf Jahre danach: Die Lehren aus dem NSA-Leak-Vorfall

Thomas Ehrlich von Varonis kommentiert den Fall Edward Snowden

[datensicherheit.de, 12.06.2018] Vor ziemlich genau fünf Jahren wurde ein damals 30-jähriger externer Mitarbeiter der US-amerikanischen National Security Agency (NSA) schlagartig weltberühmt, obwohl sein Job eigentlich genau das Gegenteil erfordert hatte: Edward Snowden leakte geheime NSA-Unterlagen. Je nach Sichtweise, politischer Einstellung, möglicherweise auch Nationalität, wird sein Handeln bewertet: Für die einen ist er ein „Verräter“, für die anderen ein „Held“ – der Prototyp eines Whistleblowers. Fest steht auf alle Fälle, dass sich die Wahrnehmung der staatlichen Überwachung (insbesondere in Deutschland), vor allem aber die IT-Sicherheit auf Jahre verändert hat. Wahrscheinlich hätten wir mit „blended attacks“ wie „WannaCry“, die ohne NSA-Tools kaum denkbar seien, erst einen Vorgeschmack auf den wahren Schaden dieser Angriffe bekommen, meint Thomas Ehrlich, „Country Manager DACH“ bei Varonis. Seine Warnung: Sicherlich arbeiteten Cyber-Kriminelle (und auch Hacker im staatlichen Auftrag) an neuen Varianten.

Schutz Geistigen Eigentums noch immer unzureichend

Die traurige Wahrheit sei, dass auch fünf Jahre später (in der IT geradezu „eine Ewigkeit“) viele Organisationen und Unternehmen keine Fortschritte gemacht hätten, verdächtiges Verhalten von Nutzern zu erkennen und zu stoppen. Unternehmen gäben Millionen für die Entwicklung ihrer Produkte und Technologien aus und vernachlässigten dabei, ihr Geistiges Eigentum adäquat zu schützen, so Ehrlich:
„Niemand käme auf die Idee, seinen neuen Sportwagen mit steckendem Zündschlüssel auf offener Straße stehen zu lassen. Aber genau so verhalten sich viele.“ Gerade im Know-how-Land Deutschland, das von seinen Erfindungen und Entwicklungen lebt, gehe es hier um die wirtschaftliche Existenz zahlreicher (insbesondere) mittelständischer Unternehmen.

Sicherheitsrisiko „Insider“

„Alles was es braucht, um enormen Schaden anzurichten, ist eine motivierte Person, die nimmt, was ihr in die Finger kommt. Eine kürzlich durchgeführte Umfrage ergab, dass durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind, in 41 Prozent der Unternehmen haben sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien und bei 58 Prozent unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung.“
Wenn keine Sicherheitsvorkehrungen getroffen werden, um Alarm zu schlagen und Insider zu stoppen, gingen Leaks und Datendiebstähle weiter und die Unternehmen – und letztlich auch die Verbraucher – würden verlieren, betont Ehrlich. Ein „Insider“ müsse dabei übrigens nicht zwangsläufig ein Mitarbeiter (oder Partner) sein. Es könne sich dabei auch um einen Kriminellen handeln, der die Zugangsdaten eines Mitarbeiters nutzt.

Personenbezogene Daten attraktives Ziel für Angreifer

IT-Sicherheit sei aber nicht nur ein Business-Thema, vielmehr werde es auch zum Problem für die Verbraucher und Kunden, da sie oft diejenigen seien, die den Preis zahlen und sich mit den Folgen eines Datenschutzverstoßes herumplagen müssten.
Personenbezogene Daten seien ein attraktives Ziel für Angreifer. „Ständig erzeugen wir Daten, vom Arztbesuch bis zum bargeldlosen Bezahlen. Neue Arten personenbezogener Daten wie Gesichtserkennung und andere biometrische Daten entstehen und verbreiten sich“, erläutert Ehrlich. Unsere (privaten und vertraulichen) Informationen würden unaufhörlich gespeichert, abgerufen, geteilt und aktualisiert. „Wenn diese Daten gestohlen oder verändert werden, kann man leicht das nächste Opfer eines Betruges werden.“

Foto: Varonis Systems

Thomas Ehrlich: Daten ins Zentrum der Sicherheitsstrategie stellen!

Angreifern so schwer wie möglich machen!

„Glücklicherweise trägt die DSGVO dazu bei, die Sicherheit der Verbraucherdaten zu erhöhen, indem sie nicht nur eine gewisse Datensparsamkeit vorschreibt, sondern auch von den Unternehmen eine umfassende Datensicherheitskontrolle verlangt.“ Diejenigen, die es versäumten, Verbraucherdaten zu sichern, müssten mit hohen Strafen rechnen.
Egal ob es sich um wertvolles Geistiges Eigentum oder personenbezogene Daten handelt: Unternehmen müssten es („internen“ oder „externen“) Angreifern so schwer wie möglich machen und die Daten ins Zentrum ihrer Sicherheitsstrategie stellen, fordert Ehrlich. Es brauche Zeit, Kompetenz und Ressourcen, um Angreifer dauerhaft abzuwehren. Hoffnung sei dabei keine Strategie, um die nächste große Cyber-Attacke zu verhindern.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden