Aktuelles, Branche - geschrieben von am Freitag, März 16, 2018 12:35 - noch keine Kommentare

Fünf Warnsignale für Datenmanipulationen

Unternehmen können große finanzielle Schäden und Wettbewerbsnachteile entstehen

Von unserem Gastautor Gerald Lung, Country Manager DACH bei Netwrix

[datensicherheit.de, 16.03.2018] Die Manipulation von sensiblen Daten, wie Daten-Exfiltration, -Löschung, und -Verschlüsselung sind ein ernstes Problem für Unternehmen. Böswillige Angreifer können unautorisierte Änderungen in kritischen Datenbanken vornehmen, die zu großen Schäden und Wettbewerbsnachteilen führen können. Der Hintergrund für solche Datenmanipulationen könnte ebenso ein verärgerter Mitarbeiter sein, wie auch Wirtschaftsspionage oder gut organisierte Kampagnen von Cyberkriminellen, um Daten mit nationaler Bedeutung für politische und finanzielle Ziele zu verändern.

Gerald Lung, Country Manager DACH, Netwrix

Bild: Netwrix

Gerald Lung, Country Manager DACH bei Netwrix

Oftmals werden die Folgen erst langfristig deutlich, aber deshalb sind sie nicht weniger schwerwiegend. Um sich das zu verdeutlichen, kann man sich neben Unternehmen auch Gesundheitseinrichtungen und Sicherheitsbehörden vorstellen, für die unerlaubt geänderte Daten eine Katastrophe sein können: Was ist, wenn Geschäftsgeheimnisse betroffen sind, oder sich ein Arzt auf böswillig manipulierte Aufzeichnungen stützt und seinen Patienten unwissentlich die falschen Medikamente oder Heilmittel verschreibt.

Frühzeitige Erkennung entscheidend

Unternehmen sollten lernen, die fünf Anzeichen für mögliche Manipulationsversuche frühzeitig zu erkennen. Obwohl keines dieser Zeichen für sich genommen ein Beweis für böswillige Absichten ist, sollten die Verantwortlichen für die Informationssicherheit diese als gute Gründe betrachten, die Vorgänge in ihrem IT-System kritisch zu bewerten und gegebenenfalls eine gründliche Sicherheitsuntersuchung durchführen.

  1. Fehlgeschlagene Leseversuche
    Fehlgeschlagene Leseversuche treten auf, wenn Benutzer versuchen, Dateien zu öffnen auf die sie keinen Zugriff haben. Ein bestimmter fehlgeschlagener Leseversuch kann zufällig sein, beispielsweise, weil jemand einen Projektnamen oder ein Kennwort vergessen oder sich dabei verschrieben hat. Allerdings könnte auch jemand ohne die notwendigen Berechtigungen gezielt versuchen, auf Finanz- oder andere sensible Daten zuzugreifen. Wenn sich die fehlgeschlagenen Leseversuche eines einzelnen Benutzers von mehreren Endpunkten oder mehrerer Nutzer von einem Gerät häufen, dann könnte dies ein Hinweis auf einen Brute-Force-Angriff sein. Wenn Sicherheitsverantwortliche ungewöhnliche Aktivitäten finden, lässt sich oft schnell ermitteln, ob Benutzerkonten kompromittiert wurden.
  2. Ungewöhnlich viele Datenzugriffe
    Ebenfalls verdächtig ist, wenn eine Person auf eine übermäßige Anzahl von Dateien und Ordnern innerhalb von kurzer Zeit zugreift, sie liest oder ändert. Hier sollte eine Untersuchung eingeleitet werden, um die Aktivitäten näher zu bestimmen: Was wurde warum gemacht? Welche Aktivitäten fanden in letzter Zeit statt, die damit möglicherweise im Zusammenhang stehen? In solchen Fällen ist die Wahrscheinlichkeit hoch, dass die Untersuchungen auf Daten-Exfiltration, Ransomware oder unerwünschte Insider aufdecken.
  3. Verhaltensanomalien bei den Datenzugriffen
    Unter Verhaltensanomalien sind Benutzer gemeint, die versuchen, auf sensible Daten zuzugreifen, auf die sie noch nie zuvor zugegriffen haben, sowie inaktive Benutzer, die plötzlich innerhalb kurzer Zeit aktiv werden. Beides kann ein Hinweis auf einen Angreifer sein. Um solche Fälle zu erkennen, müssen die Unternehmen einen Überblick darüber behalten, welche Accounts auf welche Daten zugreifen dürfen und welche Accounts ihre Berechtigung auch nutzen.
    Als Sicherheitsmaßnahme sollten alle inaktiven Konten auf kritische Details wie Status und letzte Anmeldung kontrolliert werden, um nicht benötigte Konten zu bereinigen und Missbrauch vorzubeugen. Das bedeutet einerseits, dass verwaiste Accounts gelöscht werden. Andererseits sollten Rechte kritisch geprüft und gegebenenfalls eingeschränkt werden. Als Orientierung dient am besten das Prinzip des geringsten Privilegs, das heißt, jeder Nutzer sollte für seinen Account nur so viele Rechte erhalten, wie er wirklich benötigt, um seine Aufgaben zu erfüllen.
  4. Tätigkeit außerhalb der Arbeitszeit
    Nutzeraktivitäten außerhalb der Arbeitszeiten sind mittlerweile üblich, aber sie bleiben dennoch ein Indikator für böswillige Insider. Die Verantwortlichen aus dem IT-Sicherheitsteam sollten in diesem Fall das Gespräch mit dem Mitarbeiter und seinem Vorgesetzten suchen, um herauszufinden, ob die getroffenen Maßnahmen gerechtfertigt sind – zum Beispiel bei Dienstreisen oder Überstunden. Andernfalls können diese Benutzeraktivitäten außerhalb der Geschäftszeiten eine Bedrohung für die Datenintegrität darstellen, die weitere Untersuchungen erfordert, weil sich dahinter gestohlene Zugangsdaten oder böswillige Absichten verbergen können.
  5. Zugriffe auf archivierte Daten
    Datenarchive sind ein verlockendes Ziel für Cyberkriminelle, weil sie in der Regel äußerst sensible Daten enthalten, darunter persönliche Daten von Mitarbeitern, geistiges Eigentum und Finanzberichte. Eine hohe Anzahl von Lesezugriffen oder Änderungen an archivierten Daten ist ein stichhaltiger Grund für eine Sicherheitsüberprüfung, weil sie ein Warnzeichen für einen laufenden Angriff oder böswillige Insideraktivitäten sein kann. Um das Risiko für Datendiebstahl und -Manipulation zu minimieren, sollten die Benutzerberechtigungen regelmäßig geprüft werden, und gerade die Zugriffsrechte auf das Archiv nur restriktiv gewährt werden.

Fazit

Unternehmen sind stark gefährdet, wenn sie keinen Überblick über die Vorgänge in ihren IT-Umgebungen haben. Die Folgen können verheerend sein, wenn geistiges Eigentum oder geschäftskritische Daten manipuliert werden oder in falsche Hände gelangen, und deshalb kritische Entscheidung auf Basis falscher Informationen getroffen werden. Unternehmen müssen in der Lage sein, verdächtiges Verhalten schnell zu erkennen und das Verhalten bestehender Accounts zu prüfen, um der Herausforderung durch Datenmanipulation zu begegnen und ihre Daten vor unberechtigtem Zugriff zu schützen. Die Sichtbarkeit der Ereignisse in der gesamten IT-Infrastruktur hilft Unternehmen dabei, nicht autorisierte Benutzeraktivitäten in ihren kritischen Systemen zu erkennen und das Risiko von Sicherheitsverletzungen zu minimieren.

Über die Netwrix Corporation

Netwrix Corporation bietet eine Sichtbarkeitsplattform zur Analyse des Nutzerverhaltens und zur Risikominimierung, die die Kontrolle über Änderungen, Konfigurationen und den Zugriff in hybriden IT-Umgebungen ermöglicht, um Daten unabhängig vom Standort zu schützen.



Kommentieren

Kommentar

Current ye@r *

Kooperation

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Schulungsangebot

mITSM ISO 27001 Zertfifizierungs Audit

Partner

ZIM-BB
fit4sec

Gefragte Themen


Datenschutzhinweis