[datensicherheit.de, 13.01.2025] Bei 57 Prozent der erfolgreichen Angriffe haben Cyber-Kriminelle nach aktuellen Erkenntnissen der Varonis Systems Inc. ein kompromittiertes Nutzerkonto missbraucht, um Zugang auf die Systeme zu erhalten. Dies habe die Analyse von 35 der US-amerikanischen Börsenaufsicht gemeldeten Cyber-Vorfälle zwischen Januar und August 2024 ergeben, welche von Varonis nach eigenen Angaben in dem Report „The Identity Crisis: An in-depth report of cyberattacks in 2024“ vorgestellt wird. Das Ziel der meisten Vorfälle seien dabei die wertvollen Unternehmensdaten gewesen – allen voran personenbezogene Daten (54%) gefolgt von Gesundheitsinformationen (23%).

Abbildung: Varonis Systems Inc.

„The Identity Crisis: An in-depth report of cyberattacks in 2024“ steht zum Download bereit (s.u.)

Untersuchungen der Cyber-Angriffe dauern oft Wochen und Monate an

Die Analyse habe zudem ergeben, dass auch Wochen und Monate nach dem Vorfall 85 Prozent der Angriffe noch untersucht würden. Dies deute zum einen auf die Komplexität der Untersuchungen gepaart mit mangelnden Forensik-Möglichkeiten hin, zum anderen bedeute dies auch, dass weitaus mehr als jeder zweite Angriff über ein kompromittiertes Konto erfolgt sein könnte.

Cyber-Kriminelle verschaffen sich mittels ergaunerter Anmeldeinformationen Zugang

„Die Zahlen unterstrichen einen Trend, den unser ,Incident Response Team’ schon seit geraumer Zeit beobachtet: Cyber-Kriminelle brechen immer seltener ein, stattdessen nutzen sie ergaunerte Anmeldeinformationen, um sich in die Systeme ihrer Opfer einzuloggen“, berichtet Volker Sommer, „Regional Sales Director DACH“ von Varonis.

Ohne intelligente Analyse des Nutzerverhaltens kaum eine Chance, sich cyber-krimineller Angriffe zu erwehren

Dies mache ihre Entdeckung prinzipiell schwieriger, da es sich ja um scheinbar legitime Insider handele, welche sich mit gewissen Rechten ausgestattet in der Infrastruktur bewegten. Sommer warnt abschließend: „Ohne eine intelligente Analyse des Nutzerverhaltens hat man kaum eine Chance, diesen Kriminellen schnell auf die Schliche zu kommen.“

Weitere Informationen zum Thema:

VARONIS
THE IDENTITY CRISIS / An in-depth report of cyberattacks in 2024

[datensicherheit.de, 28.09.2021] In seiner aktuellen Stellungnahme geht Volker Sommer, „Area VP DACH“ bei SailPoint, auf die vor Kurzem erschienene Studie des Kriminologischen Forschungsinstituts Niedersachsen (KFN) ein – diese zeigt demnach, dass sich die aktuelle „Pandemie“ und die vermehrte Nutzung von „Remote Work“ häufig negativ auf die IT-Sicherheit in Unternehmen auswirkt. Für ihre Erhebung habe diese Forschungseinrichtung mit Sitz in Hannover mehr als 600 Betriebe im Zeitraum Juli bis September 2020 befragt.

Foto: SailPoint

Volker Sommer: 60 Prozent der Unternehmen mussten innerhalb eines Jahres auf mindestens einen Cyber-Angriff reagieren…

Trotz Rückkehr aus Home-Office Sorgen hinsichtlich Cyber-Angriffen

„Hier gaben 60 Prozent an, dass sie innerhalb eines Jahres auf mindestens einen Cyber-Angriff reagieren mussten. Mit Blick auf die Zukunft erwarten viele Entscheider in den befragten Unternehmen eine weiterhin angespannte Lage im Bereich IT-Security – auch wenn viele Beschäftigte mittlerweile wieder in die Büros zurückkehren“, berichtet Sommer. Über die Hälfte der Firmen habe das Risiko eines ihrem Betrieb großen Schaden zufügenden Cyber-Angriffs in den nächsten zwölf Monaten als „sehr hoch“ oder „eher hoch“ eingeschätzt.

Keinen ausreichenden Vorlauf für Home-Office-Sicherheitsaspekte gehabt

Die Erkenntnisse des KFN seien besorgniserregend, aber nicht unbedingt überraschend. Zum einen hätten viele Unternehmen zur Zeit des „Pandemie“-Ausbruchs im Frühjahr 2020 angestrengt daran gearbeitet, ihren Geschäftsbetrieb am Laufen zu halten, und hätten kaum Zeit gehabt, sich intensiv mit dem Umstieg auf „Remote Work“ und den damit verbundenen Sicherheitsrisiken zu beschäftigen. Im hektischen Umstieg auf Fernarbeit hätten sich hier oftmals Sicherheits- und Compliance-Lücken aufgetan. Zum anderen habe die Krise Cyber-Kriminellen massiv in die Karten gespielt – „und sie konnten die allgemeine Verunsicherung und die Sorgen der Bevölkerung für sich nutzen, um neue Angriffstaktiken auszuführen“.

Nicht Home-Office per se Gefahr für IT-Sicherheit – sondern Schwachstellen

Gerade „Remote Work“ sei hierzu genutzt worden und zum Anfang des „Lockdown“ 2020 hätten sich etwa Phishing-Mails mit Betreffzeilen wie „Habe Sie im Büro nicht erreicht – bitte um Antwort“ oder „Ihre Testresultate“ gehäuft. So habe auch die Studie „The Cybersecurity Pandora’s Box of Remote Work“ aus dem Herbst 2020 gezeigt, dass ganze 46 Prozent der befragten Unternehmen in Deutschland innerhalb der vorherigen sechs Monate sehr stark von Phishing-Attacken betroffen gewesen seien. Auch gut anderthalb Jahre nach Beginn der „Pandemie“ wüssten Kriminelle diese Situation für sich zu nutzen und die Cybercrime-Lage bleibe angespannt. „Insgesamt ist hier allerdings wichtig zu betonen, dass nicht ,Remote Work‘ an sich eine Gefahr für die IT-Sicherheit darstellt, sondern die Schwachstellen im Bereich IT-Security und Compliance, die sich durch den Umstieg offenbarten“, betont Sommer.

Mitarbeiter im Home-Office auf gleichem IT-Security-Niveau wie auf dem Firmengelände

„Doch was können Unternehmen konkret tun, um sicherzugehen, dass ihre Mitarbeiter Zuhause über das gleiche IT-Security-Niveau verfügen wie auf dem Firmengelände?“ Grundsätzlich stehe in Zeiten, in denen Angestellte von überall aus arbeiten könnten, der Schutz von digitalen Identitäten im Vordergrund. „Denn: Cyber-Kriminelle dringen nicht mehr über den Netzwerk-Perimeter in Unternehmen ein. Stattdessen haben sie es auf Benutzer wie Mitarbeiter, Auftragnehmer, Lieferanten und sogar Software-Bots abgesehen.“ Ist ein Benutzerkonto erst einmal kompromittiert, könnten Eindringlinge unter Umständen auf eine Vielzahl von geschäftskritischen Daten zugreifen. Aus diesem Grund seist es wichtig, „dass Benutzer nur über die Berechtigungen verfügen, die sie für ihre Arbeit wirklich benötigen“, unterstreicht Sommer.

Nicht nur im Home-Office: Sensible Unternehmensinformationen jenen vorbehalten, welche sie kennen müssen

Hierfür komme das Konzept der „Identity Security“ ins Spiel: „,Identity Security‘ bedeutet heute, dass ein mehrschichtiger Ansatz sowohl für die Anwendungen als auch für die sensiblen Daten in den Hunderten, wenn nicht Tausenden von Applikationen, die ein typisches Unternehmen verwendet, gewählt werden muss.“ Nur qualifizierte Mitarbeiter hätten Zugang zu bestimmten Technologien und den darin enthaltenen Geschäftsdaten. Solche Schutzmaßnahmen gewährleisteten, „dass Betriebe die sensibelsten Unternehmensinformationen denjenigen vorbehalten können, die sie kennen müssen“.

Home-Office muss kein Horror-Szenario sein

Da IT-Abteilungen moderner Betriebe gerade heute im Zuge von „Remote Work“ Probleme hätten, den Überblick über alle im Betrieb befindlichen Identitäten zu behalten, hätten sich in der Praxis Lösungen aus dem Bereich „Identity Security“ bewährt, bei denen sich Zugriffskontrollen mithilfe von Künstlicher Intelligenz (KI) und „Machine Learning“ zentral verwalten und steuern ließen.
Vorteile wie die zentrale Verwaltung von Zugriffsrichtlinien, die Automatisierung der Bereitstellung und Aufhebung des Zugriffs für Mitarbeiter und die 24/7-Selbstverwaltung von Zugriff und Passwörtern ermöglichten es Firmen somit, agil und sicher zu agieren. Sommers Fazit: „Sind Unternehmen bezüglich des Schutzes ihrer digitalen Identitäten gut aufgestellt, ist ,Remote Work‘ kein Horror-Szenario, sondern Betriebe und Mitarbeiter sind maximal geschützt und der jeweilige Arbeitsort wird zweitrangig.“

Weitere Informationen zum Thema:

KfN Kriminologisches Forschungsinstitut Niedersachsen, Arne Dreißigacker & Bennet von Skarczinski & Gina Rosa Wollinger, 2021
FORSCHUNGSBERICHT Nr. 162: Cyberangriffe gegen Unternehmen in Deutschland / Ergebnisse einer Folgebefragung 2020

SailPoint, 2020
The Cybersecurity Pandora’s Box of Remote Work

datensicherheit.de, 31.05.2021
3 Jahre DSGVO – auch im Home-Office Datenschutz einhalten / Citrix nimmt Stellung zum Jahrestag der DSGVO

datensicherheit.de, 15.04.2021
BSI: Home-Office vergrößert Angriffsfläche für Cyber-Kriminelle / Ergebnis einer repräsentativen BSI-Umfrage unter 1.000 Unternehmen und Betrieben am 15. April 2021 vorgestellt

datensicherheit.de, 15.03.2021
Home-Office: IT-Security grundlegend zu überdenken / Für IT-Security-Verantwortliche fühlt sich abrupter Wechsel in vollständigen Remote-Betrieb wie Umzug in den Wilden Westen an

[datensicherheit.de, 08.04.2021] „100 Prozent der befragten Security- und IT-Führungskräfte bestätigten, dass sich in ihren Unternehmen im vergangenen Jahr eine Sicherheitsverletzung ereignet hat“, meldet die SailPoint Technologies Holdings Inc. als zentrale Erkenntnis aus ihrer am 8. April 2021 veröffentlichten Studie auf Basis einer aktuellen Umfrage unter Sicherheits- und IT-Verantwortlichen. Diese sollte demnach klären, warum auch große, ressourcenstarke Unternehmen weiterhin kompromittiert werden. Dabei sei nun ein gemeinsamer Nenner zutage getreten: „Digitale Identitäten trugen mehr als alle anderen Faktoren zu Sicherheitsvorfällen bei.“

Foto: SailPoint

Volker Sommer: Datenverlust zu verhindern, wenn digitale Identität effektiv geschützt wird…

In 71% der Unternehmen ermöglichten kompromittierte Identitäten unbefugten Zugriff auf Daten

Bei dieser Umfrage hätten alle Teilnehmer (100%) bestätigt, dass es in ihrem Unternehmen im vergangenen Jahr zu einer Sicherheitsverletzung gekommen sei. 32 Prozent der Befragten habe angegeben, dass dabei eine Million oder mehr digitale Identitäten kompromittiert worden seien. Darüber hinaus hätten 71 Prozent der Befragten eingeräumt, dass kompromittierte Identitäten den unbefugten Zugriff auf Daten ermöglicht hätten, welche eigentlich hätten gelöscht oder vernichtet werden sollen.
„Die Studie weist auf eine Tatsache hin, die wir schon sehr lange beobachten: In vielen Fällen hätte ein Datenverlust von Vornherein verhindert werden können, wäre die digitale Identität effektiv geschützt worden, die letztendlich zum Einfallstor wurde – dies schließt Angreifer von außen und auch innen ein“, erläutert Volker Sommer, „Area Vice President DACH“ bei SailPoint.

Unternehmen sollten Zusammenhang zwischen IT-Sicherheitsvorfällen und überprivilegierten digitalen Identitäten erkennen

Ganz grundsätzlich gelte es für Unternehmen, den Zusammenhang zwischen IT-Sicherheitsvorfällen und überprivilegierten digitalen Identitäten zu erkennen und hierbei vorzusorgen. Sommer führt aus: „Denn so real die Gefahr ist, die gute Nachricht ist: Das Risiko für Datenverlust und auch das Ausmaß des Schadens im Falle einer Kompromittierung lassen sich massiv verringern.“
Ein intelligenter Ansatz an das Thema „Identity Security“ helfe Betrieben dabei, ihre Bewertung darüber, wer oder was auf welche Daten, Endpunkte und Anwendungen zugreift, so zu automatisieren, dass richtliniengesteuerte Entscheidungen in Echtzeit getroffen werden könnten.

Weitere Erkenntnisse der aktuellen SailPoint-Studie:

• 75 Prozent der Befragten hätten angegeben, dass die Kompromittierung(en) durch einen nicht benötigten Zugriff bzw. einen Zugriff mit zu vielen Berechtigungen befördert worden sei(en).
• 83 Prozent der Befragten hätten erklärt, dass bei der bzw. den Kompromittierungen unbefugt auf digitale Identitätsdaten von Mitarbeitern, Partnern, Dienstleistern oder Kunden zugegriffen worden sei.
• 66 Prozent der Befragten hätten angegeben, dass bei dem Sicherheitsvorfall digitale Identitäten kompromittiert worden seien, welche eigentlich inaktiv hätten sein sollen.

Weitere Informationen zum Thema:

datensicherheit.de, 19.12.2020
Sailpoint: Drei IT-Trends für 2021

SailPoint
What is Identity Governance and Administration (IGA)?

TagCyber, Katie Teitler, 16.03.2021
WHITE PAPERS / Protecting Digital Identity from Cyber Compromise

THE SAILPOINT BLOG, Grady Summers, 16.03.2021
Don’t Let Sleeping Hackers Lie—Identity Security Is One Trick to Combat Cyber Threats

[datensicherheit.de, 18.09.2019] „Wie diese Woche bekannt wurde, waren und sind teilweise immer noch zahlreiche Patientendaten ungesichert abrufbar. Darunter fallen etwa Röntgenaufnahmen, Screenings sowie Krankenakten“, berichtet Volker Sommer, „Area Vice President DACH und EE“ bei SailPoint. Besonders brisant sei hierbei die Tatsache, dass die betroffenen Daten personalisiert seien, „das heißt, die jeweiligen Aufnahmen und Dokumente können dem betroffenen Patienten zugeordnet werden“. So sei es auch für weniger versierte Hacker möglich gewesen, in Echtzeit auf die ungesicherten Server zuzugreifen und die Daten abzuspeichern.

Foto: SailPoint

Volker Sommer: „Im Gesundheitsbereich handelt es sich um die intimsten und persönlichsten Informationen überhaupt…“

Verifizierung und automatische Datenklassifikation

Sommer: „Da es sich bei Daten aus dem Gesundheitsbereich um die intimsten und persönlichsten Informationen überhaupt handelt, ist dieses Datenleck besonders kritisch zu bewerten. Doch wie können sich Unternehmen, die auf die Speicherung kritischer Daten angewiesen sind, vor solchen Vorfällen in Zukunft schützen?“ Ein erster Schritt wäre, dafür zu sorgen, dass die Server, auf denen die Daten lagern, nicht ohne jedwede Verifizierung zugänglich sind.
Eine weitere Maßnahme könne die Einrichtung einer Lösung zur automatischen Datenklassifikation sein, „die sicherstellt, dass nur berechtigte Personen Zugriff erhalten“. Diese untersuche gespeicherte und zu speichernde Daten auf ihren Grad an Vertraulichkeit – „das heißt, wie kritisch die in ihnen enthaltenen Informationen sind“. Häufige Kriterien, nach denen Daten klassifiziert würden, seien sogenannte Reguläre Ausdrücke (RegExes), Metadaten und Schlüsselwörter. „Befinden sich in einem Dokument zum Beispiel die Worte ,Screening‘ oder ,Befund‘, wird es automatisch als vertraulich eingestuft.“

Lösung zum Identity- und Access-Management implementieren!

Ist gleichzeitig eine Lösung zum Identity- und Access-Management implementiert, kann laut Sommer zugleich sichergestellt werden, dass nur berechtigte Personen die jeweiligen Informationen nutzen können. „Hiermit trägt die Lösung dazu bei, dass nur diejenigen Personen innerhalb einer Organisation auf Daten zugreifen können, die auch wirklich auf sie angewiesen sind.“
Beispielsweise benötigten Angestellte aus der Buchhaltung und der IT-Security in den seltensten Fällen Zugriff auf Patientendaten. Die strengen Datenschutzbestimmungen von Unternehmens- und gesetzlicher Seite würden daher auch erfüllt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 18.09.2019
Jahrelang einsehbar: Millionen von Patientendaten

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend