Nahezu neun von zehn Fällen von Datenmissbrauch bei Unternehmen und Behörden wären durch geeignete Sicherheitsvorkehrungen zu verhindern gewesen, lautet eine der Kernaussagen eines umfassenden Berichts, der von Verizon Business veröffentlicht wurde. Die Ergebnisse lassen erkennen, dass 87 Prozent der Verstöße durch angemessene Sicherheitsmaßnahmen zu vermeiden gewesen wären.

Weiter enthält die Studie wichtige Empfehlungen, die den Unternehmen und Be-hörden helfen, sich zu schützen, sowie den eindringlichen Rat, proaktiv tätig zu werden.

Der 2008 Data Breach Investigations Report umfasst einen Zeitraum von vier Jahren und mehr als 500 forensische Untersuchungen anhand von 230 Millio-nen Datensätzen. Hunderte von Fällen von Datenmissbrauch wurden unter die Lupe genommen, darunter drei von fünf der größten, die jemals gemeldet wur-den. Die von Ermittlungsfachleuten von Verizon Business Security Solutions durchgeführte Studie – es ist die erste ihrer Art – ergab weiter, dass 73 Pro-zent der Verstöße von externen Quellen ausgingen, bei 18 Prozent handelte es sich um Bedrohungen von innen; dabei war bei den meisten Verstößen eine Kombination von Vorkommnissen der Auslöser, weniger ein einzelner Hacker-angriff oder Versuch, in das System einzudringen.

 „Sicherheitsverstöße und die Gefährdung sensibler Informationen sind alles andere als Theorie und lösen bei Organisationen weltweit wachsende Besorgnis aus“, sagte Peter Tippett, Vice President Research and Intelligence bei Verizon Business Security Solutions. „Dieser Bericht kann Unternehmen dabei helfen, Datenmissbrauch besser zu verstehen und zu erkennen, wie es dazu kommt und welche Gemeinsamkeiten es gibt. Noch wichtiger ist, dass er Organisati-onen dringend rät, in ihrem Sicherheitsansatz proaktiv vorzugehen – das ist der entscheidende Punkt beim Schutz von Daten.”

Wichtige Erkenntnisse aus der Überprüfung von Sicherheitsgrund-sätzen

Einige Ergebnisse widersprechen möglicherweise weit verbreiteten Ansichten wie etwa der, dass für die meisten Fälle von Datenmissbrauch Insider verant-wortlich sind. Hier die entscheidenden Resultate:

• Die meisten Datenverstöße, die untersucht wurden, gingen von externen Quellen aus. 39 Prozent der Verstöße konnten Geschäftspartnern zugeordnet werden. Diese Zahl stieg während des Untersuchungszeitraums auf das Fünf-fache des Ausgangswertes an.

• Die meisten Verstöße rührten von einer Kombination von Vorkommnissen her, weniger von einer Einzelaktion. 62 Prozent der Verstöße waren auf mas-sive interne Fehler zurückzuführen, die entweder direkt oder indirekt zu dem Verstoß beitrugen. Bei den beabsichtigten Verstößen waren 59 Prozent das Ergebnis von Hackerangriffen oder Versuchen, in das System einzudringen.

• Von den durch Hacken verursachten Verstößen waren 39 gegen die Anwen-dungs- oder Software-Ebene gerichtet.  Attacken auf die Anwendungs-, Soft-ware- oder Services-Ebene kamen weitaus häufiger vor als die unerlaubte Nut-zung von Betriebssystem-Plattformen (23 Prozent). Weniger als 25 Prozent der Angriffe machten sich eine bekannte oder unbekannte Schwachstelle zunutze. Wichtig daran: Für 90 Prozent der bekannten Schwachstellen waren mindes-tens sechs Monate vor dem Verstoß Patches verfügbar.

• Neun von zehn Verstößen hatten eine „unbekannte“ Komponente, darunter  nicht bekannte Systeme, Daten, Netzwerkverbindungen und/oder Account-User-Privilegien. Weiter werden 75 Prozent der Verstöße von Dritten entdeckt und nicht von der betroffenen Organisation, und sie bleiben längere Zeit unent-deckt.

• In einer modernen Organisation gibt es überall Daten; immer zu wissen, wo sie sich befinden, ist eine überaus komplexe Herausforderung. Das grundlegen-de Prinzip hingegen lässt sich recht einfach formulieren: Wenn man nicht weiß, wo sich die Daten befinden, kann man sich auch nicht schützen.

Wachsender weltweiter Schwarzmarkt für gestohlene Daten 

Die untersuchten Verstöße verteilen sich über ein breites Spektrum von Bran-chen. Auf den Einzelhandel sowie die Getränke- und Lebensmittelindustrie ent-fallen mehr als die Hälfte aller untersuchten Fälle. Im Gegensatz dazu trugen Finanzdienstleistungen – eine Branche mit enormen monetären Anlagewerten, die im Normalfall und besonders verglichen mit den zuvor genannten Sektoren gut geschützt sind – nur 14 Prozent zu den untersuchten Verstößen bei.

Die Ergebnisse der Studie lassen einen deutlichen Anstieg in Zahl und Typus in-ternationaler Vorfälle erkennen. Beispielsweise betreffen Attacken aus Asien, insbesondere aus China und Vietnam, häufig Application Exploits, die zu Daten-gefährdungen führen, während Defacements (Entstellungen, Verunstaltungen) häufig aus dem Nahen Osten kommen. Internet-Protocol (IP)-Adressen aus Osteuropa und Russland stehen häufig hinter der Gefährdung von Point-of-Sale-Systemen.

„Die Welt wird immer engmaschiger von Informationstechnologien überzogen; die Unternehmen suchen aggressiv nach globalen Partnerschaften, und die Ge-setze, die den Umgang mit und die Veröffentlichung von Vorfällen regeln, sind hinfällig. Vor diesem Hintergrund wird sich wahrscheinlich der Aufwärtstrend beim internationalen Datenmissbrauch fortsetzen“, lautet eine Schlussfolge-rung der Studie.

Mit Verweis auf die Psychologie hinter solchen Verstößen legt der Bericht nahe, dass der nachlässige Umgang mit Daten die einfachste, sicherste und lukrativ-ste Möglichkeit darstellt, jene Informationen zu stehlen, die benötigt werden, um Identitätsdiebstahl zu begehen. Indem Kriminelle in Computersysteme mit eingeschränktem Zugang einbrechen und sich dort gespeicherter sensibler In-formationen bemächtigen, erlangen sie Zugang zu Systemen, die Informatio-nen über Zehntausende potenzielle Opfer enthalten – und nicht nur über einige wenige, wie dies auf nicht-elektronischemWeg der Fall ist. 

Noch attraktiver wird diese Art von Verbrechen durch den lukrativen Schwarz-markt für gestohlene Daten. Dieses soziale Netzwerk ermöglicht Kriminellen, gemeinsam nach angreifbaren Systemen zu suchen, Daten in ihren Besitz zu bringen und so Identitätsdiebstahl in großem Maßstab zu begehen. Innerhalb dieses Netzwerks unterhalten die kriminellen Zusammenschlüsse Verbindun-gen zu Hackern, Betrügern und anderen Gruppen des organisierten Verbre-chens. 

Empfehlungen für Unternehmen

Simple Maßnahmen, sorgfältig und auf kontinuierlicher Basis durchgeführt, brin-gen enorme Vorteile mit sich, stellt die Studie fest. Zu den wichtigsten Empfeh-lungen gehören:

• Verfahren an die Unternehmenspolitik anpassen. In 59 Prozent der Fälle von Datenverletzung gab es innerhalb der Organisation Richtlinien und Verfahren für das System, jedoch wurden diese niemals in Form von Maßnahmen umge-setzt. Implementieren und nochmals implementieren!

• Einen Datenspeicherungsplan aufstellen. Für 66 Prozent der Verstöße, bei de-nen es um Daten ging, von denen das Unternehmen nicht einmal wusste, dass sie sich im System befanden, ist es von entscheidender Bedeutung, jederzeit zu wissen, wohin Daten fließen und wo sie gespeichert sind. Identifizieren Sie Daten und stufen Sie sie nach ihrem Risiko für das Unternehmen ein.

• Die Daten mit Hilfe von Transaktionszonen überwachen. Die Ermittler kamen zu dem Schluss, dass die Netzwerk-Segmentierung dazu beitragen kann, eine Attacke zu verhindern oder zumindest abzumildern. Mit anderen Worten, mau-ern Sie Ihre Daten ein, wo und wie immer dies angemessen erscheint.

• Behalten Sie Event-Logs im Auge. Der Nachweis für Vorkommnisse, die in bis zu 82 Prozent der Fälle zu Datenzugriffsverstößen führten, lag den jeweiligen Organisationen bereits vor, noch bevor es zur eigentlichen Beeinträchtigung der Daten kam. Data-Logs sollten daher kontinuierlich und systematisch ausge-wertet werden und man sollte darauf reagieren, sobald ein solches Vorkomm-nis entdeckt wird.

• Stellen Sie einen Reaktionsplan auf. Sofern ein Verstoß vermutet wird, muss die Organisation unmittelbar bereit sein, darauf zu reagieren, und zwar nicht nur, um den Missbrauch der Daten zu unterbinden, sondern auch, um Beweis-material zu sichern, das es dem Unternehmen ermöglicht, die Sache nötigen-falls strafrechtlich zu verfolgen.

• Betreiben Sie Bewusstmachung. Nur 14 Prozent der Datenmissbrauchsfälle werden von Mitarbeitern der betroffenen Organisation aufgedeckt, und das, ob-wohl sie die erste Verteidigungslinie beim Schutz der Daten darstellen. Schulen Sie Ihre Mitarbeiter für mehr Aufmerksamkeit in solchen Dingen.

• Machen Sie einen Test mit einem Scheinangriff: Stellen Sie fest, ob Ihre Mit-arbeiter gut genug ausgebildet sind, um richtig auf einen Datenmissbrauch zu reagieren. Halten Sie Übungen ab und testen Sie die Fähigkeiten, das Urteils-vermögen und die vorgegebenen Maßnahmen im Rahmen eines Scheinan-griffs.

Tippett fügte hinzu: „Der Bericht lässt klar erkennen, dass es nicht darum geht, wie raffiniert oder komplex Schutzmaßnahmen sind. Es kommt darauf an, dass man seine Hausaufgaben macht, von der Planung und Implemen-tierung bis hin zur Überwachung der Daten.”

Den vollständigen 2008 Data Breach Investigations Report können Sie unter http://www.verizonbusiness.com/resources/security/databreachreport.pdf einsehen.