Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 21.04.2020] Cloud-Storage- und File-Sharing-Anwendungen bringen Unternehmen aufgrund ihrer Skalierbarkeit und komfortablen Nutzung viele Vorteile. Wird File-Sharing jedoch nicht ordnungsgemäß verwaltet, kann dies schwerwiegende Auswirkungen auf die Datensicherheit haben. Jedes Mal, wenn Mitarbeiter Technologien zum Dateienaustausch verwenden, ist dies mit Risiken wie Malware-Infektionen, Verlust oder Offenlegung sensibler Informationen verbunden. Ohne geeignete Sicherheitsmaßnahmen können die Nachteile durch File-Sharing deutlich überwiegen, wenn kritische Unternehmensdaten wie Kunden-, Finanzinformationen, Geschäftsgeheimnisse und geistiges Eigentum zusätzlichen Bedrohungen ausgesetzt sind.

Bild: Digital Guardian

Christoph Kumpa, Director DACH & EE bei Digital Guardian

Maßnahmen für die File-Sharing-Sicherheit

Um Datensicherheitsrisiken zu minimieren, sollten Unternehmen einige Security-Maßnahmen bei der Nutzung von File-Sharing ergreifen. Hierzu gehören:

1. Aufklärung über Schatten-IT
   Der erste Schritt für eine effektive File-Sharing-Security besteht darin, alle Mitarbeiter über die Risiken aufzuklären, insbesondere im Hinblick auf Schatten-IT – heißt, die Nutzung von IT-Lösungen, die nicht offiziell von der IT-Abteilung implementiert und genehmigt wurden. File-Sharing per Schatten-IT beinhaltet die Nutzung privater E-Mail-Konten, kostenloser Cloud-Storage-Dienste und anderer File-Sharing-Systeme für Privatanwender. Diese entsprechen möglicherweise nicht den Sicherheitsstandards des Unternehmens und liegen in vielen Fällen außerhalb der bestehenden Sicherheitskontrollen.
2. File-Sharing-Richtlinien implementieren
   Neben der Aufklärung der Mitarbeiter über die Risiken durch Schatten-IT, schafft die Umsetzung einer formalen File-Sharing-Richtlinie Klarheit. Die IT- und Security-Teams sollten die Nutzung und Sicherheit von Filesharing-Systemen bewerten. So können sie entscheiden, ob sie eine Verwendung zulassen oder nicht, sowie Sicherheitsmaßnahmen ergreifen, falls ein System zugelassen wird. Zudem sollten Unternehmen die Entwicklung und Implementierung einer allgemeinen Richtlinie für die Nutzung von Dateien erwägen, die speziell für die Verwendung aller File-Sharing-Methoden gilt – einschließlich der Cloud-basierten und der, die zwischen Dateisynchronisierungs- und Datenfreigabe-Anwendungen eingesetzt werden.
3. Anwendungs- und Datentransparenz sowie Datenkontrolle
   Wichtig ist, dass die IT-Abteilung einen vollständigen Überblick über alle File-Sharing-Anwendungen hat, die von den Mitarbeitern für die gemeinsame Nutzung von Daten verwendet werden. Zudem sollte das IT-Team in der Lage sein, den Benutzerzugriff auf sensible Unternehmensdaten zu verwalten und zu kontrollieren. Auch müssen Mitarbeiter speziell über die Risiken von Datenverlust oder Diebstahl durch File Sharing aufgeklärt sowie über die Einhaltung der geltenden Vorschriften informiert werden. Zusätzlich helfen regelmäßig Audits, um die File-Sharing-Praktiken des Unternehmens zu analysieren und Sicherheitsrisiken zu identifizieren.
4. Datensicherheitslösungen für die File-Sharing-Security
   Die letzte Verteidigungslinie der File-Sharing-Security ist eine Datensicherheitslösung, die vor Datenverlust und Diebstahl durch File Sharing schützt. Data-Loss-Prevention-Technologien (DLP) bieten Sicherheit für File-Sharing-Anwendungen und Cloud-Storage durch eine Kombination aus Zugriffs- und Anwendungskontrolle, Endgerätesteuerung, Netzwerksicherheits-Appliances und anderen proaktiven Maßnahmen, die den Austausch sensibler Unternehmensdaten für nicht autorisierte Anwendungen, Endgeräte und Benutzer wirksam verhindern. Zu den Vorteilen der Einführung einer Datensicherheitslösung für die Sicherheit von File Sharing gehören:
   • Kontinuierliche Überwachung und Transparenz für alle Dateninteraktionen mit Web- und Cloud-Speicheranwendungen
   • Granulare Steuerung der Dateibewegung basierend auf Browser- und Betriebssystemereignissen, die Webanwendungen wie SharePoint, Dropbox und Google Apps betreffen
   • Automatische Klassifizierung und richtlinienbasierter Schutz von Daten, die von Webanwendungen heruntergeladen werden
   • Forensische Ereignisprotokolle für eine effektive Alarmierung, Berichterstattung und Richtlinienerstellung
   • Automatische Verschlüsselung sensibler Daten vor dem Austritt
   • API-Integration mit führenden File-Sharing-Anwendungen, um die Erweiterung der Datensicherheitsmaßnahmen des Unternehmens auf die Cloud zu ermöglichen

Mit der zunehmenden Verbreitung von Cloud Computing kann es für Unternehmen eine große Herausforderung sein, die Nutzung von Cloud-Storage und File-Sharing durch Mitarbeiter effektiv zu blockieren. Mit der richtigen Kombination aus Mitarbeiterschulungen, umfassenden Sicherheitsrichtlinien für den Dateiaustausch sowie Data-Loss-Prevention-Technologien können Unternehmen jedoch die Vorteile von Cloud Computing und File-Sharing nutzen und gleichzeitig Datensicherheitsrisiken minimieren.

Weitere Informationen zum Thema:

Digital Guardian
Enterprise IP & DLP Software

datensicherheit.de, 01.04.2020
Cloud Account Hijacking: Best Practices gegen Kontenmissbrauch durch Cyberkriminelle

datensicherheit.de, 23.03.2020
Digital Guardian führt Managed Detection & Response-Service ein

datensicherheit.de, 08.01.2020
Datenlecks: Kosten in Millionenhöhe

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe

datensicherheit.de, 17.09.2019
Advanced Malware: Fünf Best Practices zum Schutz / APT-Attacken dienen Spionage und Datendiebstahl

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation / Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken / 4 grundlegende „Best Practices“ für datenzentrierten Sicherheitsansatz

[datensicherheit.de, 20.04.2016] In einer aktuellen Warnung weist Palo Alto Networks auf die Entdeckung der Malware-Familie „PWOBot“ hin. Das Besondere daran sei, dass diese Malware komplett in „Python“ geschrieben und über „PyInstaller“ kompiliert worden sei, um eine ausführbare Datei für „Microsoft Windows“ zu erzeugen. Von dieser Malware sei bereits eine Reihe von Unternehmen in Europa betroffen – verbreitet werde der größte Teil offensichtlich über einen File-Sharing-Dienst.

Bisher bereits Angriffe in Dänemark, Frankreich und Polen

„PWOBot“ beinhalte eine Fülle von Funktionen, einschließlich der Fähigkeit, Dateien herunterzuladen und auszuführen, „Python“-Code auszuführen, Tastatureingaben zu protokollieren, einen HTTP-Server zu generieren und Bitcoin-Mining über die CPUs und GPUs der Opfer-Rechner zu betreiben.
Es gebe mindestens zwölf Varianten von „PWOBot“. Die Unterschiede zwischen den Versionen erschienen minimal und dienten wahrscheinlich der Optimierung der Performance.
Angriffe, die dieser Malware zugerechnet würden, gingen bis Ende 2013 zurück und hätten sich zuletzt intensiviert. Betroffen seien unter anderem in Polen ein Forschungsinstitut, eine Reederei, ein Einzelhandelsunternehmen, ein IT-Unternehmen sowie in Dänemark ein Bauunternehmen und in Frankreich ein Anbieter von optischen Geräten.

Keylogging

Einige Samples von „PWOBot“ gäben sich als Software-Utility-Programme aus. Die Auslieferung erfolge vermutlich auf die Art, dass der Endnutzer glaube, eine andere Software herunterzuladen. Alternativ sei es möglich, dass Phishing-Angriffe verwendet würden, um Opfer dazu zu verleiten, diese Dateien herunterzuladen.
Nach Abschluss der Installation erfasse „PWOBot“ verschiedene Tastatur- und Mausaktivitäten, die für späteres Keylogging verwendet würden. „PWOBot“ sei auch mit zwei Konfigurationsdateien ausgestattet, von denen eine verschiedene Einstellungen zur Verwendung der Malware vorgebe, während die andere angebe, mit welchen Remote-Servern „PWOBot“ während der Ausführung eine Verbindung herstellen solle. „PWOBot“ enthalte verschiedene ausführbare „Windows“-Dateien. Diese würden verwendet, um Bitcoin-Mining und Proxy-Anfragen über „Tor“ auszuführen. Der Bitcoin-Miner sei eine kompilierte Version von „minerd“ und „cgminer“. Diese Dateien würden für CPU- und GPU-Bitcoin-Mining verwendet.

Bedrohung auch für andere Betriebssysteme

„PWOBot“ sei in modularer Weise aufgebaut, so dass der Angreifer verschiedene Module während der Laufzeit einbinden könne. Durch die Verwendung von „Python“ könne die Malware leicht auf andere Betriebssysteme portiert werden, wie „Linux“ oder „OS X“. Diese Tatsache, in Kombination mit einem modularen Aufbau, mache „PWOBot“ zu einer potenziell erheblichen Bedrohung.

Nutzung von „Tor“ zum Tunneln des gesamten Datenverkehrs

„PWOBot“ nutze „Tor“ zum Tunneln des gesamten Datenverkehrs an die Remote-Server des Angreifers, was Verschlüsselung und Anonymität biete. Werde solcher Verkehr beobachtet, der die Sicherheitsregeln des betroffenen Unternehmens verletzen dürfte, sollte dies eine Warnung an den Netzwerkadministrator sein.
„PWOBot“ verwende ein „Python“-Dictionary als Netzwerk-Protokoll. Zu bestimmten Zeiten sende er eine Benachrichtigung an den Remote-Server. Der Angreifer könne dann „PWOBot“ anweisen, bestimmte Aktivitäten auszuführen, deren Resultate dann zum Angreifer hochgeladen würden.

Mehr Informationen zum Thema:

paloalto NETWORKS, 19.04.2016
Python-Based PWOBot Targets European Organizations