Von unserem Gastautor Andrew Silberman, Direktor Produktmarketing bei Omada

[datensicherheit.de, 10.03.2023] Für Arbeitnehmer ein schlechter Ersteindruck, für Arbeitgeber ein Horrorszenario: Der erste Tag im Büro, aber nichts funktioniert. Der Firmenlaptop fährt hoch, aber der Zugriff wird beim ersten Anmeldeversuch verweigert. Als das Problem behoben ist, kommt die nächste Fehlermeldung: kein Zugriff auf den Firmenserver. Dasselbe gilt für den E-Mail-Posteingang und die Zeiterfassung. Ein erfolgreiches Onboarding sieht anders aus.

Andrew Silberman, Direktor Produktmarketing bei Omada, Bild: Omada

Schwierige Beantragung von Zugriffrechten

Um Zugang zu erhalten, müsste diese Person den Zugriff auf jede einzelne Ressource, auf die sie stößt, manuell beantragen, aber es können Stunden, Tage und Wochen vergehen, bis diese Person vollen Zugriff auf alles erhält, was sie braucht, um ein produktives Mitglied der Belegschaft zu sein. Auch für den Vorgesetzten kann es mühsam sein, all diese Zugriffe zu genehmigen und sich zu vergewissern, dass das neue Teammitglied alles hat, was es braucht. Auf der anderen Seite können auch neue Risiken entstehen, wenn ein Vorgesetzter Genehmigungen absegnet, die zu übermäßig vielen Freigaben führen können. Dies ist weder effizient noch sicher. Aber es gibt einen besseren Weg. Denn solche Prozesse können vollständig automatisiert werden, während Unternehmen gegen Cyberangriffe gewappnet sind und die Lösung hierfür heißt Identity Lifecycle Management (ILM).

Automatisiertes Onboarding durch vordefinierte Rollensätze

Im Idealfall werden Zugriffsrechte zugewiesen und gewährt, bevor sich ein neuer Mitarbeiter, ein externer Auftragnehmer, eine ausgelagerte IT-Abteilung usw. an seinem ersten Tag überhaupt bei den Unternehmensressourcen anmeldet. Dies ist die Grundlage für die Arbeit von ILM. Das Grundprinzip besteht darin, alle Zugriffsrechte automatisch zuzuweisen, sobald die Arbeit beginnt, aber auch zu regeln und sicherzustellen, dass die Person nicht mehr Zugriffsrechte anhäuft, als sie für ihre Produktivität benötigt. Im IT-Kontext spricht man hier auch von „Geburtsrechten“, die bei der Erstellung der Identität vergeben werden. Dazu gehören der Zugang zum E-Mail-Posteingang oder zu den Leistungen des Unternehmens, die Zeiterfassung und Anwendungen (wie Microsoft 365) für die tägliche Arbeit.

Umgekehrt werden bei einem internen Stellenwechsel oder beim Ausscheiden aus dem Unternehmen alle nicht mehr benötigten Berechtigungen (im Falle des Ausscheidens eines Mitarbeiters wären das alle) ohne manuellen Aufwand für das IT- oder Sicherheitsteam entzogen. Der Zugriff kann auch an einen Manager oder Kollegen delegiert werden, wenn jemand aus einer Rolle ausscheidet, damit der Geschäftsbetrieb aufrechterhalten werden kann. Da ILM alle drei möglichen Szenarien eines Positionswechsels innerhalb eines Unternehmens – Eintritt, Wechsel, Austritt – berücksichtigt, wird es auch als Joiner-Mover-Leaver-System bezeichnet.

Um ILM zu verstehen, ist es wichtig, zwischen Identitäten und Rollen zu unterscheiden. Eine Rolle ist ein zuvor definierter Satz von Privilegien und Berechtigungen, die entlang der verschiedenen Stellen, Abteilungen, Teams usw. in einer Organisation festgelegt werden. Eine Identität ist die Summe der verschiedenen Rollen, die eine Person innerhalb einer Organisation einnimmt. Die Identität umfasst jedoch auch Standardinformationen wie Name, Geburtstag, Adresse, Steuernummer usw. Nehmen wir zur Veranschaulichung einen Vertriebsmitarbeiter: Wenn ein neuer Mitarbeiter diese Stelle besetzt, wird ein ILM-System diese Person automatisch mit Zugriffsrechten auf alle Ressourcen ausstatten, auf die ein Vertriebsmitarbeiter typischerweise zugreifen muss, wie z. B. das CRM, Mailinglisten, Interessenteninformationen und mehr. Oft ist eine Aufgabe jedoch komplexer, als sie in einer Rolle zusammengefasst werden kann. Aus diesem Grund können Rollen kombiniert werden: Wenn ein Vertriebsmitarbeiter beispielsweise auch mit dem Marketingteam zusammenarbeitet, um ein Video mit Kundenreferenzen zu erstellen, muss er sowohl mit dem Presseteam als auch mit dem Videoproduktionsteam zusammenarbeiten und benötigt möglicherweise Zugriff auf die Dateien und Projekte, an denen sie in ihren jeweiligen Rollen beteiligt sind.

Es wird deutlich, dass ILM Teil der wichtigsten Aspekte des Zugangsmanagements ist: Access Management (AM), das Multi-Faktor-Authentifizierung und Single Sign-On ermöglicht, und Identity Governance and Administration (IGA) – die Verwaltung und Konfiguration des Zugangs.

ILM hilft bei Audits und verhindert finanzielle Einbußen aufgrund von Zugangsproblemen

So schnell wie Zugriffsrechte vergeben werden, müssen sie aber auch wieder entzogen werden können, denn wie alle Lösungen aus dem Bereich des Access- und Identity-Managements dienen sie nicht nur der Rationalisierung der Arbeitsprozesse von IT- und Sicherheitsspezialisten, sondern auch der Einhaltung von Compliance-Anforderungen und Gesetzen. So ist das nachweisliche Entfernen von Zugängen, wenn sie nicht mehr benötigt werden, ein Schlüssel, um Audits unbeschadet zu überstehen. Die denkbaren Verstöße sind dabei vielfältig: Ein Mitarbeiter verlässt das Unternehmen, kann aber theoretisch noch auf seinen Firmenlaptop, sein E-Mail-Postfach oder seine Kundendaten zugreifen.

Jedes inaktive Konto, das noch über sensible Zugriffsrechte verfügt, wird als verwaistes Konto bezeichnet und ist aus Sicht der Compliance ein No-Go. Diese Konten können Hackern als Steigbügel in das Unternehmensnetzwerk dienen, da sie oft unter dem Radar der Sicherheitsteams fliegen, die den Zugang von Personen, die nicht mehr im Unternehmen arbeiten, nicht mehr überwachen. Einmal gekapert, haben die Täter die gleichen Zugriffsrechte wie der ehemalige Mitarbeiter und können sich seitlich im Netzwerk bewegen, bis sie ihr gewünschtes Ziel erreichen. Eine ILM-Lösung hebt die Inhaberschaft solcher Konten automatisch auf oder weist sie neu zu, dezimiert damit die Gefahrenquelle und erfüllt gleichzeitig die bestehende Nachweispflicht: Denn die Zuweisung und der Entzug von Rechten müssen dokumentiert und begründet werden und bei Audits auf Nachfrage von Prüfern nachgewiesen werden.

Eine ILM-Lösung verhindert auch Produktivitätseinbußen. Denken Sie beispielsweise an einen Leiharbeiter, der 1.000 Euro pro Woche verdient, aber eine Woche lang keinen Zugriff auf E-Mails, Software und Anwendungen hat. Auch die Kostenfaktoren von Legacy-Lösungen sollten nicht unterschätzt werden. Einige Unternehmen ohne automatisiertes ILM arbeiten immer noch mit Excel-Tabellen oder komplexen, selbst entwickelten Lösungen, in denen gewährte und entzogene Zugriffsrechte manuell eingegeben werden. Eine haarsträubende Lösung, die unübersichtlich ist und sich auf den (leider fehlerhaften) Faktor Mensch verlässt. Eine unregelmäßig gepflegte Tabelle kann für ein Unternehmen bereits schwerwiegende Sicherheitsmängel bedeuten, die dazu führen, dass Mitarbeiter entweder zu viele Berechtigungen erhalten, was zu Sicherheitsrisiken führt, oder zu wenige, was Produktivitätsverluste bedeutet. Eine ILM-Lösung hingegen entlastet nicht nur die Administratoren, sondern kann mithilfe von Analysen und KI auch anzeigen, wenn jemand eine Berechtigung über einen längeren Zeitraum nicht genutzt hat, und diesen Zugriff dann widerrufen. Darüber hinaus kann es den Zugang von Mitarbeitern, die in Elternzeit gehen oder vorübergehend ihren Arbeitsplatz verlassen, automatisch deaktivieren, während der Zugang einer anderen Person zugewiesen wird, und ihn bei deren Rückkehr wieder reaktivieren.

Die rechte Hand der Compliance

Identity Lifecycle Management schlägt somit mehrere Fliegen mit einer Klappe: Es macht die manuelle Pflege von Zugriffsrechten überflüssig, schließt den menschlichen Faktor in der Zugriffsverwaltung aus und verteilt die Rechte automatisch an zuvor definierte Rollen und Kontexte. Gleichzeitig ist diese Lösung die rechte Hand der Compliance und eine unverzichtbare Unterstützung bei Audits. Sie spart Transaktionskosten, schließt Einfallstore über verwaiste Benutzerkonten und verhindert Verluste durch zugangsbezogene Betriebsstörungen.

Weitere Informationen zum Thema:

datensicherheit.de, 02.06.2019
One Identity-Umfrage: IAM-Praktiken schwierig umzusetzen

[datensicherheit.de, 18.09.2019] Laut Recherchen des Bayerischen Rundfunks (BR) und der US-Investigativplattform „ProPublica“ sind hochsensible medizinische Daten von Patienten aus Deutschland und den USA auf ungesicherten Servern gelandet. Demnach könnten unbeteiligte Dritte jederzeit Zugriff auf diese Informationen gehabt haben. Betroffen seien Daten von Millionen von Patienten, unter anderem handele es sich um Informationen wie Vor- und Nachname der Betroffenen, Geburtsdatum, aber auch Details über die jeweilige Behandlung. Außerdem fänden sich selbst hochauflösende Röntgenbilder in der Sammlung. Diese Informationen seien wohl jahrelang im Internet verfügbar gewesen und hätten frei eingesehen werden können. In der Summe gehe es um insgesamt 16 Millionen Datensätze – 13.000 davon stammen aus Deutschland. Global seien etwa 50 Länder von diesem Leak betroffen. Hierzulande entfalle der Großteil der Datensätze auf Patienten aus dem Raum Ingolstadt und aus Kempen (Nordrhein-Westfalen).

Vorfall erschreckend, aber nicht überraschend

„Dieser jüngste Vorfall ist erschreckend, trotzdem überrascht er nicht. Denn auch eine aktuelle Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft ergab, dass das Thema Cyber-Sicherheit in Praxen und Kliniken deutlich zu kurz kommt“, kommentiert Marc Schieder, „CIO“ bei DRACOON.
So habe jene Erhebung unter anderem bewiesen, „dass in 20 von 25 Praxen alle Benutzer Administrationsrechte besaßen und keine einzige befragte Praxis regelmäßig prüft, ob alte Administratorenrechte noch bestehen“.

Zudem massiver Nachholbedarf in Sachen Verschlüsselung

Aufgedeckt worden sei außerdem ein massiver Nachholbedarf in Sachen Verschlüsselung. Sensible Patientendaten seien nach einem Test der Mailserver mit dem Analysetool „Cysmo“ stark gefährdet, denn von den ca. 1.200 untersuchten Arztpraxen seien nur 0,4 Prozent hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom BSI empfohlenen Stand der Technik.
Alle weiteren niedergelassenen Ärzte verließen sich hinsichtlich der Verschlüsselung im E-Mail-Verkehr auf veraltete und unsichere Standards. Schieder: „Und genau das eröffnet Dritten die Möglichkeit, solch eine Mail auf dem Weg zwischen Sender und Empfänger abzufangen.“

E-Mail-/Passwort-Kombinationen von 60 % der Kliniken bereits im Darknet

Bei den befragten Kliniken hätten immerhin fünf Prozent dem aktuellen BSI-Standard entsprochen – vor dem Hintergrund der besonderen Sensibilität der Daten sei aber auch diese Zahl „erschreckend“.
Getestet worden seien die Mailserver durch die PPI AG im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Die Studie habe außerdem ergeben, dass E-Mail-/Passwort-Kombinationen von 60 Prozent der Kliniken bereits im sogenannten Darknet hätten gefunden werden können. Bei den Arztpraxen habe diese Zahl bei neun Prozent gelegen.

Verantwortung für sicheren Umgang mit Patientendaten ernstnehmen!

Um ein dauerhaft hohes Niveau an Datenschutz und Datensicherheit im Betrieb zu gewährleisten, müssten sowohl Kliniken als auch niedergelassene Ärzte, aber auch Apotheker und andere Gesundheitsdienstleister ihre Verantwortung für den sicheren Umgang mit Patientendaten ernstnehmen.
„Dazu gehört, dass ein maximal sicherer Verschlüsselungsstandard genutzt wird – dies betrifft neben dem E-Mail-Verkehr auch Lösungen aus dem Bereich ,Enterprise Filesharing‘, wie sie bereits von zahlreichen Praxen und Kliniken genutzt werden.“

Daten bereits am Endgerät verschlüsseln!

Idealerweise böten Lösungen aus diesem Sektor eine clientseitige, offengelegte Verschlüsselung. Hierbei würden die Daten bereits am Endgerät verschlüsselt, was ein Maximum an Datensicherheit garantiere.
Auch in Bezug auf das Thema „Berechtigungen“ sollten Healthcare-Unternehmen dringend reagieren, so dass sichergestellt sei, „dass wirklich nur derjenige Benutzer Zugriff auf Daten hat, auf die er berechtigt ist“.

Modernes Berechtigungskonzept mit dezentraler Administration gefragt

Neben einer hohen Sicherheitskultur in Bezug auf Passwörter gehöre dazu auch, dass nur solche Lösungen zum Dateiaustausch implementiert würden, die über ein modernes Berechtigungskonzept mit dezentraler Administration verfügten.
Zugriffsrechte müssten einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. „So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte erhalten, andere wiederum auch Daten bearbeiten und löschen können.“

Jüngste Datenleck als Warnung sehen!

Auf diese Weise werde verhindert, „dass Unbefugte auf sensible Patientendaten Zugriff haben“. Spätestens jetzt sollten Kliniken und andere Dienstleister aus dem Gesundheitsbereich das jüngste Datenleck als Warnung sehen und ihre IT-Sicherheitskultur im Unternehmen dringend prüfen:
„Organisatorisch, aber auch dahingehend, dass neue Lösungen innerhalb des Betriebs den höchsten Ansprüchen in Sachen Datensicherheit und -schutz genügen“, fordert Schieder.

Weitere Informationen zum Thema:

GDV DIE DEUTSCHEN VERSICHERER, 08.04.2019
Cybersicherheit im Heilwesen / Deutschlands Ärzte haben ein Passwort-Problem – Zugangsdaten häufig im Darknet zu finden

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

[datensicherheit.de, 29.05.2019] Daten sind immaterielle Vermögenswerte – quasi „das neue Geld“. Manchmal sei diese Erkenntnis sogar wörtlich zu nehmen, denn laut KASPERSKY lab zeigt eine aktuelle eigene Studie, dass 37 Prozent der befragten Mitarbeiter versehentlich Zugang zu vertraulichen Informationen der Kollegen wie Gehaltszettel oder Bonuszahlungen gehabt hätten. Dennoch überprüfe und ändere nur weniger als die Hälfte (43 Prozent) regelmäßig selbst die Zugriffsrechte für gemeinsam bearbeitete Dateien oder für Sharing-Dienste. Nach eigenen Angaben beauftragte KASPERSKY lab das Meinungsforschungsinstitut OnePoll mit der Befragung von 7.000 Büroangestellten mit einem Computerarbeitsplatz im Zeitraum von Dezember 2018 bis Januar 2019 in Großbritannien, den USA, Frankreich, Spanien, Deutschland, Italien, Brasilien, China, Mexiko, Japan, Malaysia, Südafrika, Russland und der Türkei.

Zugriffsrechte regelmäßig überprüfen!

Wenn sensible Daten wie Gehaltszettel durch Sicherheitsverstöße oder mangelnde Zugriffsrechte öffentlich zugänglich sind, könne sich dies nicht nur negativ auf das Miteinander der Mitarbeiter auswirken, sondern auch mögliche Cyber-Angriffe, Bußgelder wegen Datenschutzverstößen oder Klagen betroffener Angestellter nach sich ziehen.
Daher sei es wichtig, dass Zugriffsrechte regelmäßig überprüft und entsprechend angepasst würden – zum Beispiel auch, wenn ein Mitarbeiter die Abteilung wechselt oder das Unternehmen verlässt.

Unautorisierter Zugang Teil eines größeren Problems

Der unautorisierte Zugang sei Teil eines größeren Problems, das als „Digital Clutter“, also digitaler Müll oder digitales Datenchaos, bezeichnet werde und für die unkontrollierte Verbreitung und Weitergabe von Arbeitsdateien und Dokumenten stehe. Das Fehlen von Verfahren und Richtlinien zur Handhabung digitaler Dokumente könne dazu führen, dass Mitarbeitern nicht bewusst sei, wer dafür zuständig ist, oder es ihnen gleichgültig sei.
So habe nur ein Drittel (29 Prozent) in der Umfrage angegeben, genau zu wissen, was in den geteilten Dateien und Sharing-Diensten gespeichert ist. Gerade für kleine und mittelständische Unternehmen könne dies zur Herausforderung werden, „wenn sie das Wachstum priorisieren und IT und Sicherheit nicht-spezialisierten Mitarbeitern überlassen“.

Auf Sicherheitsbewusstsein, Schutz und Richtlinien setzen!

„In den meisten Fällen bedeutet heutzutage das Arbeiten in einem Büro den Umgang mit sensiblen und persönlichen Daten“, so Milos Hrncar, „General Manager DACH“ bei KASPERSKY lab. „Um sich vor den damit verbundenen Risiken zu schützen, sollten Unternehmen auf Sicherheitsbewusstsein, Schutz und Richtlinien setzen.“
Mitarbeiter – vom regulären Mitarbeiter bis hin zum IT-Spezialisten – müssten wissen, wie sie Dienste für File-Sharing oder Zusammenarbeit nutzen, wie sie wichtige Dokumente verschlüsseln und Phishing-E-Mails erkennen können. Hrncar: „Es gibt Lösungen und Dienstleistungen auf dem Markt, die dabei helfen können.“

KASPERSKY-Tipps zum Schutz sensibler und kritischer Daten

• Mitarbeiter sollten regelmäßig in Sachen IT- und Datensicherheit geschult werden. „Kaspersky Automated Security Awareness Platform“ z.B. biete kurze Trainingseinheiten, die auf realen Ereignissen basierten und praktische Fähigkeiten vermittelten, die für die tägliche Arbeit der Angestellten relevant seien.
• Eine umfassende Schutzlösung sollte verwendet werden (wie etwa „Kaspersky Endpoint Security Cloud“), welche Datei-, E-Mail- und Web-Schutz bietet. Mit der Verschlüsselungsfunktion könnten zudem die Geräte aller Mitarbeiter remote verschlüsselt werden.
• Auch Schutzlösungen für externe Dienste wie „Exchange Online“ in der „Microsoft Office 365“-Suite sollten verwenden werden („Kaspersky Security for Microsoft Office 365“ z.B. schütze Mitarbeiter vor Spam, Phishing und schädlichen Anhängen, die Anmeldeinformationen abgreifen oder schädliche Software ins Netzwerk schleusen könnten).

Abbildung: KASPERSKY lab

Studie „Digitalen Datenmüll aus dem geschäftlichen Alltag verbannen“

Weitere Informationen zum Thema:

KASPERSKY lab, 2019
Digitalen Datenmüll aus dem geschäftlichen Alltag verbannen

KASPERSKY lab DAILY
Sorting Out Digital Clutter In Business / Kaspersky Lab brings together digital workplace and personal habits to assess cyber risk

KASPERSKY lab
SERVICE / Kaspersky Security Awareness

datensicherheit.de, 09.04.2019
KASPERSKY lab warnt vor digitalen Doppelgängern

datensicherheit.de, 25.09.2018
Kaspersky-Studie: Jede zehnte Infektion via USB ein Krypto-Miner

[datensicherheit.de, 18.09.2018] Obwohl Microsoft seine Cybersicherheit in den letzten Jahren massiv ausgebaut hat, sind vor allem die Betriebssysteme Windows 10 und Windows 8 für Hacker nach wie vor leicht zu kompromittieren, wie der aktuelle 2018 Black Hat Hacker Survey des PAM-Anbieters Thycotic nun offenbart. 50 Prozent der befragten Hacker gaben demnach an, in den letzten zwölf Monaten am häufigsten Windows 10 bzw. 8 infiltriert zu haben. Ein beliebter Angriffsvektor war dabei Social Engineering, aber auch vermeidbare Nachlässigkeiten wie zu weit gefasst Zugriffsrechte oder nicht geänderte Herstellerpasswörter spielten den Hackern in die Hände.

Für den Report befragte das Unternehmen im Rahmen der diesjährigen Security-Konferenz Black Hat in Las Vegas insgesamt 300 Hacker zu ihren bevorzugten Angriffszielen, leicht zu kompromittierenden Systemen und beliebten Angriffsvektoren. Bei 70 Prozent der Befragten handelte es sich dabei um so genannte White-Hat-Hacker, d.h. Sicherheitsexperten, die für Unternehmen nach Sicherheitslücken und Schwachstellen suchen, um ihre IT-Sicherheit zu optimieren.

Die wichtigsten Ergebnisse des Reports im Überblick:

• 26 Prozent der befragten Hacker gaben an, am häufigsten Windows 10 infiltriert zu haben. 22 Prozent hackten wiederum vorrangig Windows 8, gefolgt von 18 Prozent, die es vor allem auf Linux abgesehen haben. Für Mac OS lag der Anteil bei weniger als fünf Prozent.
• Social Engineering ist laut 56 Prozent der Befragten die schnellste Methode, um Netzwerke zu infiltrieren.
• Die zwei beliebtesten Methoden beim Erlangen von privilegierten Berechtigungen sind das Verwenden von Standard-Herstellerkennwörtern (22%) sowie das Ausnutzen von Anwendungs- und Betriebssystemschwachstellen (20%).

91 Prozent der Hacker kompromittieren Windows-Umgebungen trotz GPO-Richtlinien

Die Sicherheit der Betriebssysteme hängt von den entsprechenden Konfigurationen ab sowie dem Verhalten, das die Nutzer an den Tag legen. Dessen müssen sich Unternehmen bewusst sein. Das einzig wirksame Mittel, um eine Kompromittierung von Benutzerkonten zu verhindern, ist deshalb die konsequente Eindämmung zu weitgefasster Zugriffsrechte – insbesondere bei privilegierten Konten wie Administrator-, Server- oder Datenbank-Accounts, die umfassende Datenzugriffe oder weitreichende Systemeinstellungen erlauben. Viele Unternehmen setzen auf Group Policy Objects (GPO), um die Verwaltung, Konfiguration und Sicherheit von mit der Windows-Domain-verbundenen Geräten zu zentralisieren. Diese GPO-Richtlinien sind als Sicherheitskontrolle jedoch nur bedingt zu empfehlen, da diese von Angreifern leicht umgangen werden können, wie 91 Prozent der von Thycotic befragten Hacker auch bestätigten.

74 Prozent der Unternehmen scheitern bei der Umsetzung einer Least Privilege Policy

„Der Black Hat Hacker Report 2018 zeigt, dass unsere Betriebssysteme und Endpunkte nach wie vor sehr anfällig sind für Bedrohungen, die von Hackern und Cyberkriminellen ausgehen“, so Markus Kahmen, Regional Director CE bei Thycotic. „Indem Unternehmen eine Strategie der minimalen Rechtevergabe umsetzen und diese mit anderen Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung, Verhaltensanalyse und Privileged Account Protection kombinieren, sind sie jedoch in der Lage, ein effektives und dynamisches Sicherheitsniveau aufzubauen und aufrechtzuerhalten, das Cyberkriminelle davon abhält, ihre IT-Umgebungen zu missbrauchen.“ 

Bei der Umsetzung einer Least Privilege Policy gibt es in vielen Unternehmen jedoch nach wie vor großen Nachholbedarf. Wie die befragten Hacker berichteten, sind rund drei Viertel der Unternehmen (74%) bei der Implementierung von Zugriffsrechten auf Basis einer minimalen Rechtevergabe überfordert. Damit einher geht ein schlechter Passwortschutz, der Diebstahl von Zugriffsdaten und letztlich eine Erhöhung von Berechtigungen, die es Cyberkriminellen ermöglicht, administrative Kontrollen zu übernehmen und das Netzwerk zu erobern.

Weitere Informationen zum Thema:

Thycotic
2018 Black Hat Hacker Survey Report: Key takeaways straight from attendees at the 2018 Black Hat Conference

datensicherheit.de, 15.09.2018
Umfrage: Cyberkrieg für 86 Prozent der IT-Sicherheitsexperten bereits Realität

datensicherheit.de, 16.08.2018
Cyberkriminalität: Motive von Black Hats

datensicherheit.de, 21.09.2017
Black-Hat-Umfrage: Wahlhacks als möglicher Auftakt für einen Cyberkrieg

[datensicherheit.de, 01.03.2018] In einem aktuellen Kommentar nimmt Thomas Ehrlich, „Country Manager DACH“ von Varonis, Stellung zum jüngsten Angriff auf das Datennetz der Bundesverwaltung. Dieser Angriff auf den Informationsverbund Berlin-Bonn (IVBB) zeige wieder einmal, dass es Cyber-Kriminellen (oder in diesem Fall wahrscheinlich Cyber-Spionen) immer wieder gelingt, den Perimeter zu überwinden und in Netzwerke einzudringen – egal wie gut diese geschützt sind oder als wie sicher sie gelten.

Daten letztlich das wertvollste Asset

Derzeit sei noch unklar, welche Daten tatsächlich gestohlen bzw. gelesen wurden. Als sicher gelte jedoch, dass auch hier wieder Daten das Ziel der Angreifer waren. Somit unterschieden sich staatliche Institutionen nicht wesentlich von Unternehmen.
Auch hierbei seien die Daten letztlich das wertvollste Asset. Deshalb müssten diese ins Zentrum der Sicherheitsstrategie gestellt und an ihrem Schutz sämtliche Maßnahmen ausgerichtet werden.

Zugriffsrechte nur nach dem „need-to-know“-Prinzip!

Hierzu müssen zuallererst die Zugriffsrechte nach dem „need-to-know“-Prinzip durchgesetzt werden: Mitarbeiter hätten dann nur noch Zugriff auf die Daten, die sie wirklich benötigen.
„Die Anzahl zu entwendender Dateien sinkt hierdurch schon deutlich, insbesondere wenn man bedenkt, wie weitgefasst derzeit oftmals Zugriffsrechte sind“, so Ehrlich.

Mehrzahl der Mitarbeiter hat Zugriff auf mehr als 1.000 sensible Dateien

So habe der „Datenrisiko-Report 2017“ gezeigt, dass in knapp der Hälfte der Unternehmen die Mehrzahl der Mitarbeiter Zugriff auf mehr als 1.000 sensible Dateien hätten. Durchschnittlich seien 20 Prozent der Ordner – und damit oftmals personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – für alle Mitarbeiter zugänglich.
All diese Unternehmen – für Verwaltungen gelte dies selbstverständlich gleichermaßen – trügen das gleiche Risiko eines möglichen umfangreichen Angriffs, bei dem Hacker ins Netzwerk gelangen und über einen langen Zeitraum Daten entwenden, bevor irgendjemandem etwas auffällt.
Nach derzeitigem Stand sei der Angriff auf das Regierungsnetz im Dezember 2017 bemerkt worden, nachdem er möglicherweise schon über eine längere Zeit, womöglich sogar ein ganzes Jahr gelaufen sei… Jede Menge Zeit also, sich im Netzwerk umzusehen und „interessante“ Daten zu kopieren.

Foto: Varonis Systems

Thomas Ehrlich: Daten wie Vertrauen in die Institutionen gleichermaßen sichern!

Überwachung des Datenzugriffs als Standard!

Neben restriktiven Zugriffsrechten müsse zudem die Überwachung des Datenzugriffs zum Standard werden. Durch intelligente Nutzeranalyse könne so automatisch schnell identifiziert werden, wenn ungewöhnliches Verhalten auftritt (wie beispielsweise der Zugriff zu ungewöhnlichen Zeiten und/oder Orten) und entsprechende Gegenmaßnahmen gestartet werden, bevor größerer Schaden entsteht.
Nur so könnten die Daten gleichermaßen wie das Vertrauen in die Institutionen gesichert werden!

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2018
Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

VARONIS
2017 Varonis Data Risk Report

[datensicherheit.de, 26.09.2017] Balabit, Aussteller auf der „it-sa 2017“ (Halle 10, Stand 401) in Nürnberg, informiert über ein „häufig von Unternehmen unterschätztes Sicherheitsrisiko“ – die Gefahr, welche durch Drittanbieter (Outsourcing) bzw. sogenannte Insider ausgeht, die privilegierte Zugriffsrechte auf Daten und IT-Infrastruktur haben.

Third-Party-Provider als Sicherheitsrisiko

Laut Balabit belegt Verizons diesjähriger „Data Breach Investigations Report“, dass der Missbrauch von Privilegien, über die sogenannte „privilegierte Nutzer“ verfügen, als dritthäufigste Ursache von Datenschutzverletzungen gilt.
„Insider Threats“ entstünden jedoch nicht nur durch Mitarbeiter, die Böses im Schilde führen. Zu „privilegierten Nutzern“ gehörten eben auch externe Drittanbieter – und diese würden als potenzielle Bedrohung für eine Organisation nicht selten übersehen. Dabei hätten auch sie Zugang zu sensiblen Informationen, sei es im Kunden- oder Finanzbereich, und entsprechend groß seien die Schäden, die sie anrichten könnten.

Unternehmen helfen, mit dieser Bedrohung umzugehen!

Outsourcing der Unternehmens-IT an Dritte – seien es einzelne Dienstleistungen oder gar die gesamte IT-Infrastruktur – gälten heute als eine beliebte Strategie, Kosten zu senken. Dass diese Kostenreduktion jedoch zu einem Sicherheitsrisiko werden kann, sei weniger geläufig. Denn die Erfahrung zeige, dass externe Dienstleister schnell zur „Insider-Bedrohung“ werden könnten. Sie seien nämlich „ein lohnendes Ziel für Cyber-Kriminelle“.
In der Tat seien einige der verheerendsten Datenverletzungen in den letzten Jahren über die Accounts von Drittanbietern entstanden, wie etwa bei dem Einbruch bei Unicredit, bei dem 400.000 Nutzer-Accounts gestohlen worden seien, oder dem prekären Sicherheitsvorfall bei einer schwedischen Behörde, bei dem bei in die Cloud an Dritte ausgelagerte Personendaten vermutlich Tausende abgeflossen seien.

Ursachen für Sicherheitsrisiken durch Drittanbieter

Das Sicherheitsrisiko durch Drittanbieter wird laut Balabit durch mehrere Faktoren verursacht:

• Problem 1 – Mehr privilegierte Nutzer:
  Da die externen Dienstleister ähnliche Privilegien und Zugriffsrechte haben wie reguläre Mitarbeiter, steigt die Zahl der „privilegierten Nutzer“ und damit das Risiko für das Unternehmen.
• Problem 2 – Gemeinsam genutzte Accounts:
  Gern richten Firmen sogenannte „Shared Accounts“ ein, dabei werden administrative Konten und Passwörter gemeinsam genutzt – IT-Mitarbeiter von Drittanbietern loggen sich generell über dieses Account ins System ein. Das ist insofern problematisch, da niemand mehr nachvollziehen kann, wer innerhalb des IT-Systems für welche Aktionen verantwortlich war.
• Problem 3 – Passwortsicherheit:
  Es geht auf das Konto der Passwortsicherheit, wenn sich mehrere Nutzer privilegierte Konten und Passwörter teilen. Erhöht wird das Risiko noch, wenn die gemeinsam genutzten Passwörter nicht regelmäßig geändert werden – dann könnte im schlimmsten Fall ein (externer) Mitarbeiter noch Zugriff auf das System haben, selbst wenn er gar nicht mehr für das Unternehmen tätig ist.

Unter Kontrolle halten: Zugriff von privilegierten Accounts

Wenn IT-Aufgaben outgesourct werden, brauche es daher Maßnahmen, welche die Aktivitäten der Drittanbieter kontrollieren und transparent werden lassen. Firewalls und ähnliches nützten wenig, da die Betroffenen bereits „drin“ seien.
Eine Möglichkeit diese Probleme in den Griff zu bekommen, bestehe darin, zuverlässige Daten zu diesen Benutzer-Sessions zu sammeln. Tools wie z.B. die „Privileged-Access-Management-Lösung“ von Balabit kontrollierten den Zugriff von privilegierten Accounts und lieferten wichtige Informationen darüber. Dabei werde die Analyse des Verhaltensmusters eines Benutzers integriert, um den „toten Winkel“, in dem sich Drittanbieter möglicherweise bewegten, im Blick zu behalten. Es werde dabei in Echtzeit analysiert, wie Nutzer mit dem IT-System interagieren. Dadurch entstehe ein Profil der einzelnen Nutzer. Registriert das System eine gravierende Abweichung von diesem Profil, erfolge eine automatische Risikobewertung, das Sicherheitsteam erhalte eine Meldung und könne den Fall prüfen sowie bei Bedarf einschreiten.

Experten-Vorträge in den Messeforen am 11. und 12. Oktober 2017

Das Unternehmen lädt Messebesucher, die Lösungen zum Schutz vor dem Verlust vertraulicher Daten, vor internen und externen Bedrohungen durch privilegierte Konten, suchen und Unterstützung wünschen, um die vielfältigen Compliance-Anforderungen wie die neue Europäische Datenschutz-Grundverordnung, PCI-DSS oder ISO 2700x zu erfüllen, an den Stand 401 in Halle 10 der „it-sa 2017“ ein.

Zudem bietet Balabit nach eigenen Angaben zwei Fachvorträge auf den Messe-Foren an:

• Mittwoch, 11.10.2017, 11.30 Uhr – 12.00 Uhr
  Forum M10 – „Forum Management“ in Halle 10
  „Catch me if you can: Wie das Tippverhalten Identitäten schützt?“
  Referent: Thomas Haak, „Sales Director“ bei Balabit
• Donnerstag, 12.10.2017, 11.30 Uhr – 11.45 Uhr
  Forum T10 – „Forum Technik“ in Halle 10
  „Enemy at the gates: Wie geht Privileged Access Management mit raffinierten Cyberkriminellen um?“
  Referent: Zoltan Bakos, „Senior Pre-Sales Engineer“ bei Balabit

Weitere Informationen zum Thema:

datensicherheit.de, 06.12.2011
Finanzinstitute: BaFin fordert strikte Regelung der Zugriffsrechte auf IT-Systeme

Von unserem Gastautor Sven Janssen, Regional Director Central Europe bei SonicWall

[datensicherheit.de, 13.02.2017] Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz der EU-Bürger, droht Unternehmen aber gleichzeitig mit drakonischen Strafen, falls sie die Richtlinien nicht oder nur unzureichend umsetzen. Um den Anforderungen gerecht zu werden, sollten sie einen Datenschutzbeauftragten bestellen, der Zugriffsrechte penibel verwaltet und die Sicherheit ihres Netzwerks sicherstellt.

Die EU-Datenschutz-Grundverordnung (GDPR) gilt ab 25. Mai 2018 und schafft in Europa einheitliche Datenschutz-Regelungen. Datenschutzverletzungen müssen ab diesem Zeitpunkt innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Außerdem sind die von der Verletzung betroffenen Personen über den Vorfall zu informieren. Die neue Richtlinie ist einerseits für alle Unternehmen bindend, die einen Sitz in der EU haben, und erstreckt sich andererseits auch auf Firmen weltweit, sofern sie personenbezogene Daten über in der EU ansässige Bürger erheben, verarbeiten und nutzen. Wer sich nicht an die neuen Vorschriften hält, muss mit beträchtlichen Geldstrafen rechnen. Die maximale Geldbuße bei einem schweren Datenschutzvergehen beträgt bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Die strikte Einhaltung der GDPR ist daher für Unternehmen aller Branchen überlebenswichtig.

Doch welche Strategien sollten sie verfolgen, um den Anforderungen gerecht zu werden? Drei grundsätzliche Maßnahmen sind bei der Umsetzung der Richtlinien von zentraler Bedeutung: Bestellung eines Datenschutzbeauftragten, die strikte Verwaltung der Zugriffsrechte sowie die wirksame Absicherung des Netzwerkverkehrs. Das sind die wichtigsten ersten Schritte, um die persönlichen Daten der Kunden wirksam zu schützen, Datenlecks zu verhindern und damit hohe Geldstrafen sowie Image-Verluste zu vermeiden.

Ein Datenschutzbeauftragter gehört zum Pflichtprogramm

Die Bestellung eines Datenschutzbeauftragten ist eine der Voraussetzungen in der GDPR und gilt europaweit. Grundsätzlich steht es dem Unternehmen frei, die Position des betrieblichen Datenschutzbeauftragten intern oder extern zu besetzen. Viele bedienen sich bereits der Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen, um ihre eigenen internen Ressourcen besser zu nutzen und von den Vorteilen des spezifischen Fachwissens eines externen Datenschutzbeauftragten zu profitieren. Grund: Technologische Neuentwicklungen fordern den Datenschutzbeauftragten zusehends, so dass für ihn eine permanente Weiterbildung in der IT und im juristischen Bereich unerlässlich ist, um den immer komplexeren Fragestellungen gerecht zu werden. Externe Dienstleister wie Systemintegratoren, Systemhäuser oder Reseller haben den wachsenden Bedarf erkannt und bieten mittlerweile die Übernahme dieser Aufgabe als Dienstleistung an. Aber Achtung: Es ist nicht zu empfehlen, aus Sparsamkeit auf einen Datenschutzbeauftragten zu verzichten, da er der zuständigen Aufsichtsbehörde gemeldet werden muss. Eine Unterlassung bleibt daher mit hoher Wahrscheinlichkeit nicht lange unentdeckt.

Laxe Zugriffsrechte sind brandgefährlich

Unternehmen müssen laut GDPR sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten – andernfalls ist mit Strafen zu rechnen. Ferner sind die Daten vor unbeabsichtigtem Verlust, versehentlicher Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Möglichkeit, Anwendungen zu steuern, die Zugriff auf persönliche Daten von EU-Bürgern haben, ist ein wichtiger Punkt bei der Datensicherheit. Access-Governance erfordert deshalb eine regelmäßige Überprüfung der Zugriffsrechte von Abteilungsleitern, Mitarbeitern und Vertragspartnern. Dabei geht es nicht nur um den Schutz vor unerlaubten Zugriffen, sondern auch um den revisionssicheren Nachweis, dass ein Zugriff nicht möglich war. Es ist also sicherzustellen, dass die Berechtigungen mit den Job-Beschreibungen übereinstimmen und nicht die Datensicherheit gefährden. Identitäts- und Zugriffsmanagementlösungen, die dieses Maß an Steuerung zulassen, enthalten beispielsweise Multi-Faktor-Authentifizierung (MFA), sicheren Remote-Zugriff, risikobasierte, adaptive Zugangssicherheit, granulares Passwort-Management und die volle Kontrolle über privilegierte Benutzer-Credentials und deren Aktivität.

Schutz der Daten betrifft alle Bereiche des Unternehmens

Die Vorgaben der GDPR lassen sich jedoch nicht nur auf den Datenschutzbeauftragen und Zugriffskontrollen reduzieren, sondern gehen weit darüber hinaus. Unternehmen sind aufgefordert, sowohl technische als auch organisatorische Vorkehrungen zu treffen, die ein angemessenes Schutzniveau für die Daten in allen Bereichen des Unternehmens sicherstellen. Dazu gehören beispielsweise Produkte und Lösungen wie Virenscanner, Appliances für E-Mail-Sicherheit, Data Loss Prevention (DLP), Unified Thread Management (UTM), Firewalls, Zutrittskontrollen sowie ein Information Security Management System (ISMS), aber auch organisatorische Maßnahmen wie die Einrichtung eines Chief Information Security Officers (CISO).

Welche Maßnahmen im Detail umgesetzt werden müssen, ist natürlich von Fall zu Fall verschieden – sie lassen sich erst durch ein Audit konkret benennen.

Netzwerkschutz verhindert Datendiebstahl

Externe Cyber-Attacken sind meist die Ursache für Datenlecks und somit Datenschutzverletzungen. Einen möglichen Baustein zur Abwehr solcher Bedrohungen stellen beispielsweise Next Generation Firewalls (NGFWs) dar, da sie – im Gegensatz zu normalen Firewalls – das Risiko solcher Datenlecks durch verschiedene integrierte Sicherheitstechnologien senken. So verfügen NGFWs üblicherweise über Deep Packet Inspection, Echtzeit-Entschlüsselung und Prüfung von SSL-Sitzungen sowie adaptives Multi-Engine-Sandboxing und gestatten die volle Kontrolle von Anwendungen. Außerdem liefern sie umfassende forensische Einsichten in den Netzwerkverkehr. Unternehmen sind dadurch in der Lage nachzuweisen, dass sie die Compliance einhalten. Außerdem helfen ihnen die Kenntnisse dabei, bei potentiellen Verletzungen wirksame Nachbesserungen durchzuführen.

Die Absicherung des Netzwerkes ist umso wichtiger, da Mitarbeiter zunehmend mobil auf Unternehmensressourcen zugreifen. Sie benötigen dafür einen stets sicheren Zugang von beliebigen Geräten aus. Auch hier bringen NGFWs einen entscheidenden Vorteil, da sie eine sichere, verschlüsselte Verbindung etwa via SSL-VPN erlauben. Die Datensicherheit lässt aber noch weiter verbessern, indem Identitäten mit Gerätevariablen und veränderlichen Faktoren wie Zeit oder Ort kombiniert werden. Dieser adaptive, risikobasierte Ansatz gewährleistet zu jeder Zeit den sicheren Zugriff auf das Unternehmensnetz und verbessert gleichzeitig den Datenschutz und die Compliance.

E-Mails sind für den Informationsaustausch immer noch die am weitesten verbreitete Methode. Gleichzeitig stellt die Kommunikation per E-Mail aber ein großes Sicherheitsrisiko dar. Grund: Cyber-Kriminelle versuchen durch Phishing oder infizierte E-Mails in Unternehmen einzudringen und Daten zu stehlen. Um potenzielle Datenschutzverletzungen zu vermeiden, benötigen Unternehmen die volle Kontrolle und Transparenz über alle E-Mail-Aktivitäten. Nur so lässt sich verhindern, dass Phishing- und E-Mail-Attacken auf geschützte Daten erfolgreich sind. Auch unter diesem Gesichtspunkt unterstützen NGFWs Unternehmen mit integrierten Anti-Spam-Technologien, Verschlüsselung oder einem Reputationssystem. Die Sicherheitsfunktionen wehren gefährliche Mails ab, stellen aber gleichzeitig den sicheren und konformen Austausch von sensiblen und vertraulichen Daten sicher.

Weitere Informationen zum Thema:

datensicherheit.de, 02.09.2016
NIS-Richtlinie und GDPR: Neuer Leitfaden zur Begegnung der Herausforderungen für Unternehmen

[datensicherheit.de, 22.08.2016] Laut einer von Varonis in Auftrag gegebenen Umfrage des Ponemon Institute unter mehr als 3.000 Mitarbeitern und IT-Experten in den USA und Europa sollen bereits drei von vier Unternehmen in den vergangenen zwei Jahren von Datenverlust oder -diebstahl betroffen gewesen sein. Die Zahl sei gegenüber der Umfrage von 2014 dramatisch gestiegen.

Angriffe auf Konten von Insidern

Hauptursache für die zunehmenden Datenverluste und -diebstähle sind laut der Studie Angriffe auf Konten von Insidern. Die Situation verschärfe sich zusätzlich dadurch, dass Mitarbeiter und Dritte über weit großzügigere Zugriffsrechte verfügten als notwendig.
Ein weiterer Grund sei, dass zahlreiche Organisationen Zugriffe und Aktivitäten in ihren E-Mail- und Dateisystemen mit den meisten vertraulichen und sensiblen Daten nach wie vor unzureichend oder gar nicht überwachten.

Umfrage im April und Mai 2016

Der aktuelle Bericht „Closing Security Gaps to Protect Corporate Data: A Study of U.S. and European Organizations“ sei anhand von Interviews erstellt worden; diese seien im April und Mai 2016 mit 3.027 Mitarbeitern in Deutschland, Frankreich, dem Vereinigten Königreich und den USA geführt worden. Unter den Befragten hätten sich 1.371 Endanwender und 1.656 IT- und IT-Sicherheitsexperten aus Unternehmen mit einigen Dutzend bis zu mehreren Zehntausend Mitarbeitern aus unterschiedlichen Branchen wie Finanzdienstleistungen, Öffentlicher Sektor, Gesundheitswesen und Biowissenschaften, Handel, Industrie sowie Technologie und Software befunden.

Hauptproblem: fahrlässiges Verhalten von Mitarbeitern

• 76 Prozent der IT-Experten gäben an, dass ihre Organisation in den vergangenen zwei Jahren Daten verloren habe oder Daten gestohlen worden seien. Das sei ein deutlicher Anstieg im Vergleich zu der von Ponemon für Varonis durchgeführten Studie von 2014: Damals hätten nur 67 Prozent der IT-Experten diese Antwort gegeben.
  Laut IT-Experten sei die Gefahr, dass Insider-Konten gehackt werden, bei fahrlässigem Verhalten von Mitarbeitern mehr als doppelt so hoch wie bei anderen Risikofaktoren wie externen Angreifern, böswillig agierenden Mitarbeitern oder Lieferanten.
  Ransomware bereitet demnach 78 Prozent der IT-Experten große Sorgen. Dabei handelt es sich um eine Schadsoftware, die den Zugriff auf Dateien blockiert, bis eine bestimmte Geldsumme als „Lösegeld“ gezahlt wird. 15 Prozent der befragten Organisationen seien bereits Opfer von Ransomware geworden. Nur knapp die Hälfte davon habe den Angriff innerhalb der ersten 24 Stunden bemerkt.
• 88 Prozent der Endanwender sagten, dass sie für ihre Tätigkeit Zugriff auf geschützte Informationen wie Kundendaten, Kontaktlisten, Mitarbeiterdaten, Finanzberichte, vertrauliche Unternehmensdokumente oder andere sensible Informationen benötigten. 2014 sei diese Zahl mit 76 Prozent deutlich niedriger gewesen.
  62 Prozent der Endanwender gäben zusätzlich an, auf Unternehmensdaten zugreifen zu können, die wahrscheinlich nicht für ihre Augen bestimmt seien.
• Nur 29 Prozent der IT-Experten bestätigten, dass ihr Unternehmen das Prinzip der minimalen Rechtevergabe rigoros umsetze, um sicherzustellen, dass Insider ausschließlich auf die Unternehmensdaten zugreifen könnten, die sie wirklich benötigten.
  Lediglich 25 Prozent der Firmen überwachten sämtliche E-Mail- und Dateiaktivitäten von Mitarbeitern und Dritten. 38 Prozent überwachten diese Aktivitäten hingegen überhaupt nicht.
• 35 Prozent der Organisationen verfügten über keine durchsuchbaren Daten zu Aktivitäten im Dateisystem. Somit seien sie beispielsweise nicht in der Lage, die von Ransomware verschlüsselten Dateien herauszufinden.

Datenschutzvorfälle weiterhin auf dem Vormarsch

Trotz aller verfügbaren Technologien und der enormen Zunahme von Medienberichten über Hacking-Angriffe seien Datenschutzvorfälle weiterhin auf dem Vormarsch, erläutert Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institute. Die wertvollsten Informationen, um die es in den meisten Fällen gehe, seien unstrukturierte Daten wie E-Mails und firmeninterne Dokumente. Wenn E-Mails und Dateien veröffentlicht würden, sei das zumeist ein Vorkommnis, durch den der Ruf eines Unternehmens dauerhaft geschädigt werde.
Diese Studie zeige auf, warum Hacker so großen Schaden anrichten könnten: „Zu viele Mitarbeiter können auf weitaus mehr Daten zugreifen, als das für ihre Tätigkeit erforderlich wäre. Wenn darüber hinaus Aktivitäten von Mitarbeitern, die wertvolle Daten nutzen, nicht dokumentiert oder überwacht werden, macht man es Hackern und böswillig agierenden Insidern allzu leicht, unbemerkt Daten zu stehlen“, warnt Ponemon.

Technologiewettlauf mit Hackern und bei Insider-Bedrohungen

„Wir befinden uns derzeit in einem Technologiewettlauf mit Hackern und bei Insider-Bedrohungen. Wenn Organisationen ihren Mitarbeitern allzu großzügige Zugriffsrechte erteilen und darüber hinaus Aktivitäten in ihren Systemen nicht überwachen, laufen sie quasi ins offene Messer“, sagt Yaki Faitelson, Mitgründer und CEO von Varonis.
Bei Sony Pictures, den „Panama Papers“ und dem Datenklau beim US-amerikanischen Democratic National Committee seien stets Dateien und E-Mails gestohlen worden, die nicht ausreichend vor Insider-Bedrohungen und Angreifern von außen geschützt gewesen seien, die Zugangsdaten von Insidern missbrauchten. In allen Fällen, so Faitelson, sei eine immense Rufschädigung die Folge gewesen. Die Ergebnisse ihrer Studie und die Auswirkungen dieser Sicherheitsvorfälle sollten Manager dringend aufhorchen lassen.

Weitere Informationen zum Thema:

VARONIS
Data Theft Rising Sharply, Insider Threats Cited as Leading Cause

[datensicherheit.de, 10.04.2016] BOMGAR hat am 7. April 2016 die Ergebnisse der internationalen Sicherheitsumfrage „Vendor Vulnerability Research 2016” bekannt gegeben. So wüssten etwa in Deutschland nur 24 Prozent der befragten Unternehmen, welche Zugriffe auf interne IT-Systeme von welchen Dienstleistern durchgeführt werden — und so erwarteten 83 Prozent der Firmen, dass sie innerhalb der nächsten zwei Jahre Opfer einer Cyberattacke würden.

64 Prozent erwarteten schwere Sicherheitsverletzung sogar in diesem Jahr

Diese aktuelle Sicherheitsstudie über Drittanbieterzugriffe zeige, dass hohes Vertrauen und wachsende Abhängigkeit der Unternehmen von externen Dienstleistern mit Zugriffsrechten auf IT-Systeme auch die Gefahr von IT-Sicherheitsverstößen erhöhe.
64 Prozent der befragten Organisationen erwarteten sogar eine schwere Sicherheitsverletzung in diesem Jahr durch die Zusammenarbeit mit externen Dienstleistern.

Über 600 IT-Experten befragt

Für die von BOMGAR in Auftrag gegebene Untersuchung seien über 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA befragt worden. Die Rückmeldungen kämen aus den unterschiedlichsten Branchen — von der IT- und Telekommunikationsbranche bis zum Finanz-, Industrie und Energiesektor.
Die vorliegende Studie untersucht laut BOMGAR, welche Visibilität, Kontroll- und Managementmöglichkeiten die Organisationen in Europa und den USA über externe Dienstleister mit Zugriffsrechten auf ihre IT-Netzwerke haben. Sie thematisiere auch, inwieweit Organisationen die Gefahren durch potenzielle Risiken – seien es Cyberattacken oder Datenschutzverletzungen – bewusst sind, die Dienstleister mit „Remote-Access“-Rechten verursachen könnten. Schließlich soll die Untersuchung auch noch aufzeigen, welche „Policies“ und Prozesse zum Schutz der Unternehmen vor den identifizierten Gefahren implementiert wurden.

Drittanbieterzugriffe besser steuern können

Breit dokumentierte Sicherheitsvorfälle wie auf das Einzelhandelsunternehmen Target im Jahr 2013 hätten bei 81 Prozent der Befragten das Bewusstsein dafür geschärft, wie sie Drittanbieterzugriffe besser steuern könnten. Trotzdem seien sich nur 35 Prozent der Firmen (in Deutschland sogar nur 20 Prozent) sicher, die genaue Anzahl der externen Dienstleister zu kennen, welche auf ihre IT-Systeme zugreifen.
Laut der Studie haben im Schnitt 89 externe Dienstleister pro Woche Zugriff auf Unternehmensnetzwerke – diese Zahl werde voraussichtlich wachsen. 75 Prozent der befragten Experten konstatierten, dass die Zahl der Drittanbieter in ihrem Unternehmen in den vergangenen zwei Jahren gestiegen sei, und 71 Prozent gingen davon aus, dass sich dieser Trend in den nächsten beiden Jahren fortsetze.

Geringe Sichtbarkeit der Drittanbieterzugriffe

In den Studienergebnissen spiegele sich ein hohes Vertrauen gegenüber externen Dienstleistern wieder, wogegen die Sichtbarkeit der Drittanbieterzugriffe auf IT-Systeme niedrig bleibe. So vertrauten 92 Prozent der Umfrageteilnehmer ihren Vertragspartnern vollständig oder zumindest in den meisten Fällen, obwohl zwei Drittel (67 Prozent) einräumten, dass die Freiräume der Drittanbieter zu weit gefasst seien. Erstaunlicherweise würden dabei nur 34 Prozent (24 Prozent in Deutschland) die genaue Zahl der Log-ins in ihrem Unternehmensnetz durch externe Dienstleister oder Hersteller kennen, und 69 Prozent räumten bereits eine dokumentierte oder wahrscheinliche Sicherheitsverletzung durch Drittanbieter im vergangenen Jahr ein.

Hacker können Vertrauen gegenüber Drittanbietern missbrauchen

Externe Dienstleister spielten eine immer wichtigere Rolle beim Support der IT-Systeme, Applikationen und Endgeräte im Unternehmen. Allerdings führten die vernetzten Strukturen in vielen Organisationen auch zu unbeabsichtigten Wechselwirkungen, die sich nicht so leicht adressieren und in den Griff bekommen ließen, erklärt BOMGAR-CEO Matt Dircks.
Die vorliegende Studie verdeutliche, welches große Vertrauen den Drittanbietern entgegengebracht werde und wie wenig Kontrollmechanismen und Sichtbarkeit andererseits beim Netzwerkzugang vorhanden seien. Diese Kombination von Abhängigkeit, Vertrauensvorschuss und fehlender Kontrolle sei der „beste Nährboden“ für gefährliche Sicherheitsverstöße in Unternehmen aller Größen.
Wenn Hacker die Sicherheit kompromittierten und als vermeintlich berechtigte Dienstleister agieren könnten, verfügten sie über wochen- oder monatelange Zugriffsberechtigungen im Unternehmensnetz — genügend Zeit, um sensible Daten abzugreifen oder geschäftskritische IT-Systeme auszuschalten, warnt Dircks.
Interessanterweise liege es auf Unternehmensseite nicht an einer mangelnden Sensibilisierung für das Thema – unter den Befragten gebe es vielmehr ein ausgeprägtes Risikobewusstsein dafür, welche Folgen ein ineffektives Management von Drittanbieterzugriffen habe.

Schwachstellen bei der Einbindung externer Dienstleister schließen

Ganz offensichtlich gebe es in vielen Organisationen eine Lücke bei der Prävention von Cyberangriffen durch Hacker, die externe Dienstleister als Zugriffspunkt nutzten, ergänzt Dircks. Ohne eine granulare Zugriffssteuerung und Auditierung der Aktivitäten im Netzwerk ließen sich die Schwachstellen bei der Einbindung externer Dienstleister nicht schließen.
BOMGARs Lösungen für Zugriffssicherheit seien schnell integrierbar und einfach in der Bedienung, was Unternehmen jeder Größe eine sofortige Steuerung der Drittanbieterzugriffe sowie die zuverlässige Erkennung von Anomalien im Netzwerk und potenziellen Gefahren ermögliche. „Erst wenn sie Zugriffe sichern, können Organisationen tatsächlich davon profitieren, dass sie Aufgaben an externe Dienstleister auslagern und die Möglichkeiten einer vernetzten Geschäftswelt nutzen“, so Dircks.

[datensicherheit.de, 13.05.2012] Die Softwarelösung „8MAN“ in der Version 4.2 zur Analyse und Kontrolle aller Zugriffsrechte unterstützt bei der Rechteverwaltung und -vergabe nun auch eine funktionale Trennung von Business- und IT-Rollen:
Die Lösung der protected-networks.com GmbH, spezialisiert auf das Berechtigungsmanagement in IT-Infrastrukturen, erlaubt es Dateiinhabern und Fachabteilungen, eigenständig Zugriffsrechte zu managen. Verantwortliche IT-Administratoren können die gewünschten Änderungen anschließend mit einem einzigen Mausklick autorisieren.
Die Vergabe von Zugriffsrechten ist meist eine Aufgabe, die ausschließlich von verantwortlichen IT-Administratoren durchgeführt wird. Das Wissen über die Schutzwürdigkeit von Dateien und Verzeichnissen liegt dagegen häufig bei den Dateieignern und in den Fachabteilungen. „8MAN 4.2“ soll daher den „Data Ownern“ bei der Rechtevergabe optional mehr aktive Mitarbeit erlauben, ohne die wichtige zentrale Übersicht aufzugeben. Wird die entsprechende Funktion bei der Konfiguration von „8MAN“ aktiviert, könnten diese eine gewünschte Veränderung oder Erweiterung von Zugriffsrechten schnell und einfach in einem Bildschirmfenster erfassen. Auch die Angabe von Gründen für die Änderung sei möglich. Der verantwortliche Administrator erhalte diese Informationen umgehend übermittelt und könne sie mit einem einzigen Klick genehmigen oder ablehnen. Diese Vorgehensweise sei bei allen Modifikationen der Zugriffsrechte möglich – zum Beispiel beim Erstellen und Löschen von Verzeichnissen, von Benutzern, Gruppen und Berechtigungen oder für ein „Soft Delete“, das es erlaube, gelöschte Rechte für einen Anwender zu einem späteren Zeitpunkt schnell wieder zu aktivieren.
Sowohl Administratoren als auch Dateieigner und Fachabteilungen profitierten von diesem Feature. Für die Administration sinke der Arbeitsaufwand, ohne dass der Überblick über sämtliche Änderungen verlorengehe. „Data Owner“ seien in der Lage, schnell und einfach Modifikationen zu initiieren, so dass sich Veränderungen in den Betriebsabläufen zeitnah in der Rechtevergabe widerspiegelten.
Heute arbeiteten in modernen Unternehmen häufig keine absoluten IT-Laien mehr am PC, sondern Menschen, die mit dem Computer aufgewachsen seien und um die Bedeutung digitaler Informationen wüssten. Entsprechend sei es nur logisch, ihnen auch die selbst gewünschte Mitverantwortung beim Schutz der digitalen Ressourcen zu übertragen, so Stephan Brack, „CEO“ von protected-networks.com in Berlin.

Weitere Informationen zum Thema:

8MAN
BERECHTIGUNGSMANAGEMENT