[datensicherheit.de, 25.05.2019] Im ersten Jahr nach endgültigem Inkrafttreten der DSGVO hat sich das Datenrisiko in Deutschland nicht reduziert, sondern ist tendenziell noch gestiegen – zu diesem Ergebnis kommt der aktuelle Datenrisiko-Report aus dem Hause Varonis Systems, Inc. Dieser Einschätzung lägen Risk Assessments bei rund 50 deutschen Unternehmen unterschiedlicher Größe – vom mittelständischen Hersteller bis hin zum international agierenden Healthcare/Biotech-Konzern – zugrunde. Weltweit seien insgesamt 700 Unternehmen aus rund 30 Branchen und mehr als 30 Ländern mit einem Datenvolumen von insgesamt 54,6 Petabytes analysiert worden.

58 Prozent der gespeicherten Daten nicht mehr genutzt

In Deutschland seien zwar lediglich 0,63 Prozent der gespeicherten Dateien sensibler Natur (in Frankreich dagegen 4,22 Prozent, weltweit im Durchschnitt ein Prozent), 19 Prozent davon seien jedoch sämtlichen Mitarbeitern zugänglich (Frankreich: zwölf Prozent, weltweit 17 Prozent). In deutschen Unternehmen unterliegen demnach entsprechend durchschnittlich knapp 58.000 sensible Dateien keiner Zugriffsbegrenzung.
Hinzu kommt laut Varonis, dass 58 Prozent der gespeicherten Daten nicht mehr genutzt werden („stale data“), was das Risiko für Verstöße gegen die DSGVO erhöhe – und zu entsprechenden Strafen führen könne.
Zum Vergleich: Weltweit liege dieser Wert bei 53 Prozent, in Frankreich „nur“ bei 48 Prozent. Besser sehe die Situation bei veralteten, nicht mehr benötigten, aber nicht deaktivierten Nutzerkonten aus: Zwar werde immerhin knapp ein Viertel der Nutzerkonten nicht mehr genutzt (23 Prozent), weltweit sei dieser Wert aber mehr doppelt so hoch (50 Prozent).

Tatsächliche Situation in Deutschland keinerlei Anlass zur Freude

„Der Datenrisiko-Report basiert nicht auf Umfragen unter IT-Verantwortlichen, sondern auf echten, in Unternehmen gewonnenen Zahlen. Er zeigt damit auch keine gefühlten Wahrheiten, sondern die Situation so, wie sie tatsächlich ist“, führt Thomas Ehrlich, „Country Manager DACH“ bei Varonis, aus.
„Und die tatsächliche Situation in Deutschland gibt leider keinerlei Anlass zur Freude. Die vagen Hoffnungen, dass sich durch die DSGVO die Datensicherheit nachhaltig verbessert, was ja eines der zentralen Ziele ist, haben sich bislang noch nicht erfüllt“, so Ehrlich.
Dennoch seien die Ergebnisse auch kein Grund, die Verordnung generell in Frage zu stellen oder zu resignieren: „Wir sehen nach wie vor große Anstrengungen auf Seiten der Unternehmen, die Vorgaben umzusetzen. Nicht nur aus Angst vor Strafen, sondern weil sich – und das ist einer der größten Erfolge der DSGVO – das Bewusstsein für den Wert der Daten wesentlich verbessert hat.“

Foto: Varonis Systems

Thomas Ehrlich: Der Datenrisiko-Report basiert nicht auf Umfragen unter IT-Verantwortlichen, sondern auf echten, in Unternehmen gewonnenen Zahlen!

Weitere Informationen zum Thema:

VARONIS
2019 VARONIS GLOBAL DATA RISK REPORT

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

datensicherheit.de, 21.05.2019
Papier: Datenschutz gilt auch für analoge Daten

datensicherheit.de, 20.05.2019
DSGVO brachte mehr Datenhygiene und auch Bürokratie

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance

[datensicherheit.de, 04.04.2019] Den aktuellen Datenskandal bei facebook kommentiert Thomas Ehrlich, „Country Manager DACH“ bei Varonis: „Wir haben uns leider an zu vieles gewöhnt. Wir wissen, dass unsere E-Mail-Adressen, Benutzernamen und Passwörter schon mehr als einmal gestohlen wurden, im Darknet aufgetaucht sind und Kriminellen zur Verfügung standen.“ Wir reagieren – mittlerweile fast schon routiniert – darauf, indem wir Passwörter änderten und weitermachten.

Alles, was wir eigentlich schützen und privat halten möchten, ist bedroht

Ehrlich: „Was an der neuerlichen facebook-Datenschutzverletzung beängstigend ist und was sie von anderen Fällen unterscheidet, ist die Tatsache, dass Cyber-Kriminelle durch all die facebook-Leaks nun viel mehr persönliche Informationen über uns besitzen – von unseren Kontakten und Familienmitgliedern über Orte, die wir besucht haben, bis hin zur Schule, auf die wir gegangen sind.“
Dies gehe über den Diebstahl von Credentials (Zugangsdaten) weit hinaus und werde sehr persönlich. Es betreffe letztlich alles, was wir eigentlich schützen und privat halten wollten, zumindest aber nicht in den Händen von Kriminellen wissen möchten.

Kriminelle erhalten Zugriff auf persönliche Hintergrundinformationen

„Vor allem sind diese Informationen Dinge, die wir nicht so einfach wie einen Nutzernamen, eine Mail-Adresse oder ein Passwort ändern können“, so Ehrlich. Kriminelle hätten hierdurch Hintergrundinformationen über uns, die sie für „Social Engineering“ oder das Erraten von Antworten auf Sicherheitsfragen nutzen könnten. Ehrlich warnt: „Je mehr Kontext und Informationen sie haben, desto intelligenter und gefährlicher werden sie.“
Noch vor Kurzem habe sich Mark Zuckerberg für eine globale Regulierung des Internets ausgesprochen, um auch „Menschen auf Facebook zu schützen“. Der erste Schritt zu ihrem Schutz wäre, „jetzt endlich Datenschutz und Datensicherheit bei facebook zur Chefsache und zum Grundprinzip zu machen“, fordert Ehrlich.

Foto: Varonis Systems

Thomas Ehrlich: Aktuelle facebook-Datenschutzverletzung „beängstigend“!

Weitere Informationen zum Thema:

datensicherheit.de, 04.04.2019
Schon wieder ein potenzielles Datenleck bei facebook

datensicherheit.de, 21.03.2019
facebook: Erneut erhebliche Datenschutzdefizite

datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke

[datensicherheit.de, 09.12.2018] Für jeden Betrieb – vom Krankenhaus über Transportdienstleister bis hin zum Maschinenbauunternehmen – wäre es der „GAU“: Ein Ausfall der IT-Systeme und damit massive Auswirkungen auf den Geschäftsalltag. In die Liste prominenter und weniger prominenter Opfer hat sich nun laut Medienberichten die Krauss-Maffei-Gruppe eingereiht, deren Produktion demnach seit zwei Wochen nur noch gedrosselt läuft. Schadenfreude sei hier jedoch fehl am Platz und sowohl die Anzahl als auch zumeist durchaus vorhandene IT-Expertise der Opfer mache eins deutlich, kommentiert Thomas Ehrlich, „Country Manager DACH“ von Varonis: „Es kann wirklich jeden treffen!“

Notwendig: Zur Prävention „Need-to-know“-Prinzip umsetzten!

„Es ist eine Binsenweisheit, die aber offensichtlich nicht oft genug wiederholt werden kann: Angreifer werden es immer wieder hinter den Perimeter schaffen, trotz bestens geschulter Mitarbeiter, aktueller Firewalls und fortschrittlicher Endpoint-Lösungen“, warnt Ehrlich.
Die Frage sei also, was passiert, wenn ein Angriff erfolgt? Gerade bei Ransomware-Angriffen spielten restriktive Zugriffsrechte eine entscheidende Rolle, denn nur die Daten, auf denen das infizierte Account Zugriff hat, könnten verschlüsselt werden.

Foto: Varonis Systems

Thomas Ehrlich, Country Manager DACH von Varonis

Der „Varonis Datenrisiko-Report 2018“ habe gezeigt, dass durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich seien und bei 58 Prozent mehr als 100.000 Ordner keiner Zugriffsbeschränkung unterlägen. All diese Daten könnten bei einem Cryptolocker-Angriff verschlüsselt werden. Hierbei sollte dringend das „Need-to-know“-Prinzip umgesetzt werden und Mitarbeiter nur noch Zugriff auf die Daten erhalten, die sie wirklich benötigen. Dies allein reduziere schon das mögliche Ausmaß einer Ransomware-Attacke.

Aktiver Schutz: Automatisierte intelligente Nutzeranalyse

„Aber mit Berechtigungsmanagement allein kommt man – leider – auch nicht weit. Es reicht den Angreifern ja, wenn einige wichtige Daten, etwa wie im aktuellen Fall diejenigen, die zur Steuerung der Fertigungsanlagen benötigt werden, nicht mehr genutzt werden können“, so Ehrlich.
Deshalb führe an einer effektiven Überwachung des Datenzugriffs kein Weg vorbei. Nur mittels intelligenter Nutzeranalyse könne automatisch schnell identifiziert werden, wenn ungewöhnliches Verhalten auftritt (wie beispielsweise die Verschlüsselung von Dateien) und entsprechende Gegenmaßnahmen gestartet werden, bevor größerer Schaden entsteht.
„Dies im Zusammenspiel mit Updates und Backups wird das Risiko einer Datenschutzverletzung und verheerende Auswirkungen eines Ransomware-Angriffs deutlich und dauerhaft reduzieren“, betont Ehrlich.

Weitere Informationen zum Thema:

VARONIS
2018 VARONIS GLOBAL DATA RISK REPORT / 58% of companies have over 100,000 folders open to every employee

datensicherheit.de, 30.11.2018
Marriott: Erster Mega-Datendiebstahl der DSGVO-Ära

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 30.11.2018] Thomas Ehrlich, „Country Manager DACH“ von Varonis, kommentiert die „unglaubliche Zahl von bis zu 500 Millionen Kundendaten“, welche der Hotelkette Marriott offensichtlich gestohlen worden sind. Eine halbe Milliarde Menschen sei nun in der misslichen Situation, u.a. ihre Kreditkartenabrechnungen überprüfen zu müssen. Er kritisiert den langen zeitlichen Vorlauf: „Zügige Aufklärung sieht in aller Regel anders aus.“

Weiteren Betrugsfällen Tür und Tor geöffnet

Ehrlich: „Die unglaubliche Zahl von bis zu 500 Millionen Kundendaten (einschließlich Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum und Aufenthaltszeitraum) sind der Hotelkette Marriott gestohlen worden.“
Eine halbe Milliarde Menschen sei nun also in der misslichen Situation, ihre Kreditkartenabrechnungen zu überprüfen, wobei das wahrscheinlich noch der unproblematischste Aspekt des Datendiebstahls sei: Eine Kreditkarte könne man kündigen, die Passnummer oder seine Adresse ließen sich nicht ohne Weiteres ändern, vom Geburtsdatum ganz abgesehen.
„All diese Informationen in den Händen Krimineller öffneten Tür und Tor für weitere Betrugsfälle, etwa durch gezieltes Spear Phishing“, warnt Ehrlich.

Foto: Varonis Systems

Thomas Ehrlich, Country Manager DACH von Varonis

Millionen für Werbung statt für Datensicherheit ausgegeben

Es sei ein wenig befremdlich feststellen zu müssen, dass in Zeiten der massiven Datenschutzverletzungen große Marken zwar Millionen für Werbung und Kundenbindungsprogramme ausgäben, aber nicht das schützten, was am wichtigsten und letztlich am wertvollsten sei: die Personendaten ihrer loyalen Kunden.
Ehrlich: „Vielleicht ist es nun auch an der Zeit, dass die DSGVO ihre Zähne zeigt und die Verantwortlichen genau prüfen, was passiert ist und ob Marriott nicht nur alles getan hat, um den Vorfall zu vermeiden (spontan ist man versucht zu sagen: nein), sondern ob auch die Meldefristen eingehalten wurden.“ Die erste Alarmierung datiere vom 8. September 2018, woraufhin festgestellt worden sei, dass bereits seit 2014 unbefugter Zugriff auf das System bestanden habe. „Erst am 19. November konnten die Daten entschlüsselt und damit das Ausmaß erkannt werden. Und wiederum elf Tage später wurde die Öffentlichkeit informiert“, erläutert Ehrlich. Zügige Aufklärung sehe in aller Regel anders aus.

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2018
Hotelkette Marriott: Riesiges Datenleck gemeldet

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 25.10.2018] Thomas Ehrlich, „Country Manager DACH“ von Varonis, hat Stellung zu Datenlecks bei der Fluggesellschaft Cathay Pacific genommen. Er kritisiert, dass „offenbar Monate“ vergingen, bis der Datendiebstahl erkannt und der Vorfall gemeldet wurde – dies sei „schlicht und einfach inakzeptabel“ und zeige den Nachholbedarf auf dem Gebiet der IT-Sicherheit.

Cathay Pacific: Diebstahl von bis zu 9,4 Millionen Passagierdaten

Innerhalb weniger Wochen sei eine weitere Fluggesellschaft Opfer eines Cyber-Angriffs geworden: „Nachdem im September etwa 380.000 Datensätze von British-Airways-Kunden entwendet wurden, meldet nun Cathay Pacific den Diebstahl von bis zu 9,4 Millionen Passagierdaten, inklusive Namen, Nationalitäten, Geburtsdaten, Telefonnummern, E-Mail-Adressen, Adressen sowie Pass- bzw. Ausweisnummern.“
Immerhin seien im Bereich der Zahlungsmittel „nur“ Nummern von 403 abgelaufenen Kreditkarten und die Nummern von 27 Kreditkarten ohne CVV-Sicherheitscode entwendet worden, so Ehrlich. Absolute Sicherheit werde und könne es nie geben – und doch müssten Unternehmen in der IT-Security besser werden.

Foto: Varonis Systems

Thomas Ehrlich, „Country Manager DACH“ von Varonis

Monate vergingen, bis Datendiebstahl erkannt wurde

Während die Angreifer immer professioneller und raffinierter vorgingen, müssten die Sicherheitsverantwortlichen in der Lage sein, verdächtige Aktivitäten besser zu erkennen und die Zeit für die Untersuchung eines Vorfalls zu verkürzen.
„Im vorliegenden Fall vergingen offenbar Monate zwischen dem Zeitpunkt, an dem dieser Angriff bemerkt wurde, und dem Zeitpunkt, an dem die Ermittler herausfanden, dass sensible Daten gestohlen worden sein könnten – und fast ein halbes Jahr, bevor der Vorfall gemeldet wurde!“ Das sei „schlicht und einfach inakzeptabel“ und zeige, wie viel „Nachholbedarf in diesem Bereich noch besteht“, betont Ehrlich.

Oberstes Ziel: Schutz der sensiblen Kundendaten

Es sei ein gängiges Szenario: Den Unternehmen fehle oftmals der Kontext, um wesentliche Informationen hinsichtlich eines Angriffs vom allgemeinen „Security-Rauschen“ zu trennen. In aller Regel müsse nicht die „Nadel im Heuhaufen“ gefunden werden, sondern die „Nadel in einem Stapel Nadeln“.
Ehrlich: „Die Security-Teams leiden oft darunter, dass sie sich kein vollständiges Bild von einem Angriff machen können und somit oftmals nicht wissen, ob etwas Sensibles verloren gegangen ist oder gestohlen wurde.“ Dabei sollte dies ihr oberstes Ziel sein: Der Schutz der sensiblen (Kunden-)Daten.

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2018
Studie: Einstellungen von Führungskräften zu den größten Cyberbedrohungen

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax

datensicherheit.de, 05.09.2018
Datenschutz liegt in der Verantwortung der Führungskräfte

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

[datensicherheit.de, 08.09.2018] Vor genau einem Jahr passierte der Datensicherheits-GAU, als beim amerikanischen Credit Bureau Equifax, in etwa vergleichbar mit der SCHUFA, Datensätze von über 143 Millionen US-Amerikanern mit deren Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen und teilweise auch Führerscheindaten, in die Hände von Cyber-Kriminellen gefallen sind.

Nichts wäre mir lieber als zu konstatieren, dass Unternehmen in den letzten zwölf Monaten enorme Fortschritte bei der Datensicherheit gemacht hätten, aber dies ist eher die Ausnahme als die Regel. Der Fall Equifax zeigt deutlich, dass noch nicht allen Unternehmen der Wert ihrer (anvertrauten) Daten bewusst ist und welches Risiko diese Daten bergen.

Foto: Varonis Systems

Thomas Ehrlich, Country Manager DACH von Varonis

Es wäre aber falsch, nur auf die Unternehmen zu zeigen. Auch bei den Verbrauchern hat sich – erschreckenderweise – seitdem kaum etwas verändert. Nach wie vor scheint das Thema Datensicherheit für sie kaum Relevanz zu haben. Sie verlangen offensichtlich immer noch nicht von den Unternehmen einen besseren Schutz ihrer Daten bzw. ziehen kaum Konsequenzen aus Datenvorfällen – genauso wenig wie die meisten Unternehmen ihrerseits proaktive Maßnahmen für mehr Datensicherheit ergreifen.

Stellen wir uns vor, diese Datenpanne wäre vor zehn Jahren passiert: Wie schockiert wären die Verbraucher gewesen?! Mit welcher Vehemenz hätten sie Änderungen gefordert?! Jetzt wirken sie eher abgestumpft und müde angesichts der Reihe von Datendiebstählen und Datenschutzvorfällen der letzten Monate und Jahre. Die meisten sind offensichtlich der Meinung, dass ihre persönlichen Daten ohnehin schon in den falschen Händen sind. Und es ist genau diese Art Akzeptanz, die uns zeigt, wie gleichmütig die Gesellschaft in dieser Hinsicht geworden ist, wenn Unternehmen es mangels effektiver Sanktionierungsmöglichkeiten möglich ist, die Daten wie Nebensächlichkeiten zu behandeln.

Die DSGVO sorgt für Veränderungen

Genau diesen anscheinend nötigen Druck schafft die DSGVO. Wenn man sie ernst nimmt (und Angesicht der oft thematisierten Sanktionsmöglichkeiten sollten Unternehmen sie ernstnehmen), wird man alles daransetzen, die notwendigen Veränderungen vorzunehmen und den Schutz personenbezogener Daten zur Priorität zu machen.

Selbstverständlich kann man nicht mit Bestimmtheit sagen, dass der Equifax-Breach nicht passiert wäre, hätte die DSGVO gegolten. Aber es ist durchaus bemerkenswert, dass gerade in den USA zahlreiche gesetzgeberische Initiativen in Gang gesetzt wurden, die die DSGVO zum Vorbild nehmen. Hoffen wir also, dass wir in zwölf Monaten echten Grund zur Freude haben werden.

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2018
Hackerattacke auf British Airways: Schnelles Handeln essentiell

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 01.03.2018
Hacker-Angriff auf Datennetzwerk des Bundes: Ganzheitliches Sicherheitsmanagement notwendig

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 24.07.2018] Geistiges Eigentum und Informationen über die Produktionsabläufe sind die wertvollsten Aktiv-Posten der meisten Unternehmen – gerade in Industrien mit großem Wettbewerb und hochentwickelter Technologie, wie vor allem in der Automobilbranche. Laut einer Meldung der „New York Times“ sollen nun vorübergehend knapp 47.000 solcher wertvollen Dateien von Automobilkonzernen im Umfang von 157 Gigabyte online zugänglich gewesen sein.

Ungeschützter Backup-Server – ohne Passwortschutz oder Zugriffsbeschränkungen

Aufgespürt worden sei das Leck mit betreffenden Daten von Chris Vickery, einem IT-Sicherheitsforscher, der bereits zuvor schon zahlreiche Datenpannen entdeckt haben soll.
Fündig geworden sei er in diesem Fall wohl auf einem ungeschützten Backup-Server – ohne Passwortschutz oder Zugriffsbeschränkungen! Auf diese Weise hätte jeder, der sich mit dem Server verbunden hatte, die gespeicherten Daten problemlos herunterladen können. Ob dies tatsächlich geschehen ist, sei derzeit noch unklar.

Daten in fremden Händen schwer zu schützen

Das grundlegende Problem hierbei sei: Wenn Sicherheitsforscher wie Vickery sensible Daten aufspüren können, könnten das auch Cyber-Kriminelle und staatlich geförderte Hacker.
Thomas Ehrlich, „Country Manager DACH“ bei Varonis: „Sicherlich kennen die Unternehmen den Wert ihrer Daten und investieren enorme Summen in den Schutz ihrer IT. Aber diese Datenschutzverletzung zeigt einmal mehr die Schwierigkeiten der Datensicherheit im eigenen Unternehmen und bei der Zusammenarbeit mit Partnern. Man kann nur das beschützen und sichern, was man sieht, und wenn die Daten in anderen Händen sind, wird es schwierig bis unmöglich einzugreifen.“

Restriktive Zugriffsrechte und Monitoring mit Nutzerverhaltensanalyse notwendig!

Gerade die umfangreichen Lieferketten und Partnerschaften im Automobilbau seien eine enorme Herausforderung. Trotzdem müsse sichergestellt sein, dass jeder Partner, jeder der in Berührung mit sensiblen und vertraulichen Daten kommt, entsprechende Maßnahmen treffen und einhalten müsse. Offensichtlich sei dies hier nicht der Fall gewesen.
„Deshalb sind restriktive Zugriffsrechte und ein entsprechendes, durchgängiges Monitoring mit intelligenter Nutzerverhaltensanalyse notwendig, um schnell bei auffälligem Verhalten entsprechende Maßnahmen einzuleiten und seine Daten zu schützen“, kommentiert Ehrlich.

Weitere Informationen zum Thema:

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 29.06.2018
Wenn über Drittanbieter-Tools die eigene Datensicherheit ausgehebelt wird

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal / Cyber-Kriminelle nehmen gerne schwächstes Glied der Kette ins Visier

[datensicherheit.de, 29.06.2018] Das sogenannte Ticketmaster-Leak hat bei dem britischen Konzertkarten-Anbieter offenbar dazu geführt, dass Angreifer persönliche Informationen wie Adressen, E-Mail-Adressen, Log-in-Daten, Namen, Telefonnummern und Zahlungsinformationen von Kunden dieses Webshops entwenden konnten. Das Datenleck ist offensichtlich eine Malware in einem eingesetzten Drittanbieter-Tool  gewesen, über deren Ursprung derzeit noch Unklarheit bestehen soll. In seinem aktuellen Kommentar nimmt Thomas Ehrlich, „Country Manager DACH“ bei Varonis, Stellung zu diesem ernsten Vorfall:

Foto: Varonis Systems

Thomas Ehrlich, „Country Manager DACH“ bei Varonis

Weniger als 5% betroffene Kunden – aber kein Grund zur Entwarnung

Von der Datenpanne seien offensichtlich nur in Großbritannien ansässige Kunden betroffen, die zwischen Februar und dem 23. Juni 2018 Tickets gekauft haben – dabei handele es sich um weniger als fünf Prozent der Kunden weltweit.
Dennoch sei dies – auch aus deutscher Sicht – „kein Grund zur Entwarnung oder Freude“. Vielmehr zeige dieser Fall, dass Angreifer immer wieder einen Weg in die anvisierten Systeme finden könnten – und sei es über Wege, auf die man keinen oder kaum Einfluss hat, wie in diesem Fall das Tool eines Drittanbieters.

Unternehmen nicht in der Lage, sämtliche Angriffsvektoren zu adressieren

Aus diesem Grund müssten Unternehmen ihre Abwehrmaßnahmen vor allem darauf fokussieren, was sie selbst in der Hand haben und was schützenswert sei – die (Kunden-)Daten. Es zeige sich hierbei nämlich exemplarisch, dass „Unternehmen gar nicht in der Lage sind bzw. sein können, sämtliche Angriffsvektoren zu adressieren“, so Ehrlich.
Stattdessen müssten die sensiblen Daten „ins Zentrum der Sicherheitsstrategie gestellt“ werden. Restriktive Zugriffsrechte nach dem „need-to-know“-Prinzip spielten hierbei ebenso eine entscheidende Rolle wie auch eine intelligente Überwachung des Nutzerverhaltens (UBA).

Intelligente Überwachung des Nutzerverhaltens empfohlen

Durch UBA würden anomale Aktivitäten (wie eben das Aufrufen, Kopieren etc. von Daten in erheblichem Umfang) identifiziert und automatisch blockiert.
Ehrlich: „Was sollten Kunden tun? Ticketmaster hat sicherheitshalber Warnmails auch an höchstwahrscheinlich nicht betroffene Kunden verschickt und ihnen empfohlen, ihre Passwörter zu ändern. Auch sollten diese darüber hinaus in der nächsten Zeit ihre Konto- und Kreditkartenauszüge im Blick haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal / Cyber-Kriminelle nehmen gerne schwächstes Glied der Kette ins Visier

[datensicherheit.de, 23.06.2018] Mehrere Gigabyte interner Daten soll ein ehemaliger Mitarbeiter von Tesla an Dritte weitergegeben und damit einen enormen Schaden beim US-amerikanischen Automobilhersteller verursacht haben. Darüber hinaus stehe auch der Vorwurf „gezielter Sabotage“ im Raum. „Als mögliches Motiv gilt Unmut über eine nicht erfolgte Beförderung“, so Thomas Ehrlich, „Country Manager DACH“ bei Varonis, in seinem Kommentar.

Geistiges Eigentum schützen!

Dieser Vorfall verdeutliche, dass – gerade bei einem Hochtechnologieunternehmen wie Tesla – eine stärkere technologische Kontrolle hätte vorhanden sein müssen. Unzufriedene Mitarbeiter könne es immer geben – und es sei eine Sache, dass diese dann versuchen, dem Unternehmen zu schaden und Systeme und Dateien durchstöbern. Eine andere Sache (und damit ein echtes Problem) sei es, wenn es ihnen tatsächlich gelingt und sie Daten entwenden können.
Unternehmen, die über kostbares Geistiges Eigentum verfügen, müssten alles daransetzen, dieses zu schützen – sowohl vor externen als auch internen Bedrohungen. Ehrlich: „Sie müssen sicherstellen, dass diese Personen nicht sehr weit kommen, wenn sie versuchen, auf proprietären Code und andere wertvolle Informationen zuzugreifen.“

Foto: Varonis Systems, Inc.

Thomas Ehrlich: Geistiges Eigentum wie eine Goldmine schützen!

Restriktive Zugriffsrechte und intelligente Nutzerverhaltensanalyse!

Der Fall Tesla biete zwei gleichermaßen beängstigende Szenarien: Die Exfiltration von wertvollem Geistigen Eigentum und die Veränderung von kritischen Informationen, in diesem Fall Code für die Produktion. Tesla stehe als technischer Innovator im Rampenlicht und müsse sein Geistiges Eigentum „wie eine Goldmine schützen“.
Ehrlich: „Erst kürzlich zeigte eine Untersuchung, dass in 41 Prozent der Unternehmen mindestens 1.000 Dateien für alle Mitarbeiter zugänglich waren, darunter eben auch hochsensible. Unternehmen wenden enorm viel Zeit und Geld für die Erstellung dieser Daten auf, jedoch kaum für ihren Schutz! Niemand käme auf die Idee, das brandneue Produkt seinen Führungskräften in aller Öffentlichkeit vorzustellen.“
Das Gleiche müsse auch für Daten gelten: Sie müssten wirksam vor neugierigen und feindseligen Angreifern geschützt werden, etwa durch restriktive Zugriffsrechte und intelligente Nutzerverhaltensanalyse (UBA) – auch wenn diese aus dem eigenen Unternehmen kämen.

Weitere Informationen zum Thema:

VARONIS DATA
UNDER ATTACK: 2018 Global Data Risk Report

datensicherheit.de, 08.04.2018
In vielen Unternehmen potenziell gefährliche Zugriffsmöglichkeiten auf Daten

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 12.06.2018] Vor ziemlich genau fünf Jahren wurde ein damals 30-jähriger externer Mitarbeiter der US-amerikanischen National Security Agency (NSA) schlagartig weltberühmt, obwohl sein Job eigentlich genau das Gegenteil erfordert hatte: Edward Snowden leakte geheime NSA-Unterlagen. Je nach Sichtweise, politischer Einstellung, möglicherweise auch Nationalität, wird sein Handeln bewertet: Für die einen ist er ein „Verräter“, für die anderen ein „Held“ – der Prototyp eines Whistleblowers. Fest steht auf alle Fälle, dass sich die Wahrnehmung der staatlichen Überwachung (insbesondere in Deutschland), vor allem aber die IT-Sicherheit auf Jahre verändert hat. Wahrscheinlich hätten wir mit „blended attacks“ wie „WannaCry“, die ohne NSA-Tools kaum denkbar seien, erst einen Vorgeschmack auf den wahren Schaden dieser Angriffe bekommen, meint Thomas Ehrlich, „Country Manager DACH“ bei Varonis. Seine Warnung: Sicherlich arbeiteten Cyber-Kriminelle (und auch Hacker im staatlichen Auftrag) an neuen Varianten.

Schutz Geistigen Eigentums noch immer unzureichend

Die traurige Wahrheit sei, dass auch fünf Jahre später (in der IT geradezu „eine Ewigkeit“) viele Organisationen und Unternehmen keine Fortschritte gemacht hätten, verdächtiges Verhalten von Nutzern zu erkennen und zu stoppen. Unternehmen gäben Millionen für die Entwicklung ihrer Produkte und Technologien aus und vernachlässigten dabei, ihr Geistiges Eigentum adäquat zu schützen, so Ehrlich:
„Niemand käme auf die Idee, seinen neuen Sportwagen mit steckendem Zündschlüssel auf offener Straße stehen zu lassen. Aber genau so verhalten sich viele.“ Gerade im Know-how-Land Deutschland, das von seinen Erfindungen und Entwicklungen lebt, gehe es hier um die wirtschaftliche Existenz zahlreicher (insbesondere) mittelständischer Unternehmen.

Sicherheitsrisiko „Insider“

„Alles was es braucht, um enormen Schaden anzurichten, ist eine motivierte Person, die nimmt, was ihr in die Finger kommt. Eine kürzlich durchgeführte Umfrage ergab, dass durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind, in 41 Prozent der Unternehmen haben sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien und bei 58 Prozent unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung.“
Wenn keine Sicherheitsvorkehrungen getroffen werden, um Alarm zu schlagen und Insider zu stoppen, gingen Leaks und Datendiebstähle weiter und die Unternehmen – und letztlich auch die Verbraucher – würden verlieren, betont Ehrlich. Ein „Insider“ müsse dabei übrigens nicht zwangsläufig ein Mitarbeiter (oder Partner) sein. Es könne sich dabei auch um einen Kriminellen handeln, der die Zugangsdaten eines Mitarbeiters nutzt.

Personenbezogene Daten attraktives Ziel für Angreifer

IT-Sicherheit sei aber nicht nur ein Business-Thema, vielmehr werde es auch zum Problem für die Verbraucher und Kunden, da sie oft diejenigen seien, die den Preis zahlen und sich mit den Folgen eines Datenschutzverstoßes herumplagen müssten.
Personenbezogene Daten seien ein attraktives Ziel für Angreifer. „Ständig erzeugen wir Daten, vom Arztbesuch bis zum bargeldlosen Bezahlen. Neue Arten personenbezogener Daten wie Gesichtserkennung und andere biometrische Daten entstehen und verbreiten sich“, erläutert Ehrlich. Unsere (privaten und vertraulichen) Informationen würden unaufhörlich gespeichert, abgerufen, geteilt und aktualisiert. „Wenn diese Daten gestohlen oder verändert werden, kann man leicht das nächste Opfer eines Betruges werden.“

Foto: Varonis Systems

Thomas Ehrlich: Daten ins Zentrum der Sicherheitsstrategie stellen!

Angreifern so schwer wie möglich machen!

„Glücklicherweise trägt die DSGVO dazu bei, die Sicherheit der Verbraucherdaten zu erhöhen, indem sie nicht nur eine gewisse Datensparsamkeit vorschreibt, sondern auch von den Unternehmen eine umfassende Datensicherheitskontrolle verlangt.“ Diejenigen, die es versäumten, Verbraucherdaten zu sichern, müssten mit hohen Strafen rechnen.
Egal ob es sich um wertvolles Geistiges Eigentum oder personenbezogene Daten handelt: Unternehmen müssten es („internen“ oder „externen“) Angreifern so schwer wie möglich machen und die Daten ins Zentrum ihrer Sicherheitsstrategie stellen, fordert Ehrlich. Es brauche Zeit, Kompetenz und Ressourcen, um Angreifer dauerhaft abzuwehren. Hoffnung sei dabei keine Strategie, um die nächste große Cyber-Attacke zu verhindern.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden