Von Insidern geht die größte Gefahr aus|IBM-Studie bestätigt

Security LeakSind Insider die neue Malware? Insider haben gegenüber externen Angreifern einen entscheidenden Vorteil: Sie verfügen bereits über legitime Zugriffsrechte auf Dateien, Anwendungen, Code oder vertrauliche Daten. 

Wenn Mitarbeiter auf die dunkle Seite der Macht wechseln oder Zugangsdaten in die falschen Hände gelangen ist das immens schwierig nachzuweisen. Die Tätertypologien und Motivationen sind vielfältig, damit hat sich vor kurzem das BKA im Rahmen einer Literaturstudie beschäftigt. Der schon häufiger herangezogene Data Breach Investigation Report von Verizon aus dem Jahr 2015 wird auch vom BKA zugrunde gelegt: „Nach dem Data Breach Investigations Report 2015 von Verizon steht der „Missbrauch durch Insider“ für fast 21 % der 2014 registrierten Sicherheitsvorfälle (Verizon, 2015). In 55 % der Fälle von Insidermissbrauch handelte es sich um Privilegienmissbrauch, d. h. interne Akteure missbrauchen den Zugang, der ihnen anvertraut wurde, um sensible Daten unrechtmäßig zu erlangen oder weiterzugeben. (…) (ebd.).“

Anzeige

Neben dem generelleren Anstieg von Sicherheitsvorfällen (laut IBM stieg die Zahl der Vorfälle um 64 % in 2015 verglichen mit dem Jahr 2014) stellte IBM in seiner Untersuchung fest, dass das Gesundheitswesen am häufigsten betroffen war. Noch vor den sozusagen „klassischen“ Branchen Finanzen und Industrie. Die IBM X-Force stützt sich bei ihren Analysen auf Daten, die bei mehr als 8.000 Kunden in über 100 Ländern erhoben wurden.

Cyberkriminalität und Cybersicherheit – ein neuer „way of life“

Diese Beobachtung deckt sich mit den Erkenntnissen: Cyberkriminalität in all ihren Spielarten wird so etwas wie die neue Normalität, Datenlecks inklusive. Das verlangt von allen Beteiligten Cybersicherheit mehr denn je als „way of life“ zu betrachten. Zwar sind einige Branchen mehr im Fokus als andere wie Gesundheitswesen, die industrielle Produktion oder Behörden und Regierungsstellen rund um den Globus.

2015 gehört aber zu den Jahren in denen klar wurde, dass keine Branche von Angriffen oder Sicherheitsschwachstellen verschont bleibt. Wurden die Attacken und Schwachstellen bekannt beziehungsweise bekannt gemacht, schafften sie es in aller Regel in die Schlagzeilen. Für Unternehmen gleich in zweierlei Hinsicht folgenschwer, denn meistens sind es externe Dritte und Kunden, die über eine erfolgreiche Datenschutzverletzung informieren. Und damit zugleich offenlegen, dass ein Unternehmen nicht in der Lage war diese zu bemerken, geschweige denn rechtzeitig gegenzusteuern.

Die laut IBM am häufigsten attackierten sind keine Überraschung:

  • Gesundheitswesen
  • Industrie
  • Finanzwesen
  • Behörden und Regierungsinstitutionen
  • Transportwesen

Der Shooting Star unter ihnen hat die Analysten aber dann doch überrascht: Fünf von acht der massivsten Datenschutzvorfälle im Gesundheitswesen seit Beginn des Jahres 2010 – das sind diejenigen unter ihnen, bei denen mehr als 1.000 000 Datensätze kompromittiert worden sind – passierten in den ersten sechs Monaten des Jahres 2015. Angriffe auf das Transportwesen haben es in der Analyse 2015 zum ersten Mal unter die Top 5 geschafft und sind in den beobachteten Fällen weitgehend politisch motiviert gewesen.

2014 sah das erstellte Ranking noch so aus:

  1. Finanzwesen
  2. Information und Kommunikation
  3. Industrie
  4. Handel/Retail
  5. Energieversorger, Energiesektor allgemein

2015 hat sich die Reihenfolge verschoben, der Gesundheitssektor und das Transportwesen haben es erstmals überhaupt in die Top 5 geschafft:

  1. Gesundheitswesen
  2. Industrie
  3. Finanzwesen
  4. Behörden und Regierungsstellen
  5. Transportwesen

Dass die Gesundheitsbranche ein schwieriges Jahr hinter sich hat, einerseits verursacht durch etliche Ransomware-Angriffe, andererseits durch eine Vielzahl von Datenschutzverstößen, zu diesem Ergebnis kommt auch eine jüngst veröffentlichte Umfrage des Ponemon Institute.

Unautorisierter Zugriff dominiert – 60 % aller Angreifer sind Insider

Bereits seit 2014 – so die Studie – gehen die weitaus meisten der Sicherheitsvorfälle und Datenschutzverletzungen auf einen nicht autorisierten Zugriff zurück. In 2015 beobachteten die Analysten einen Anstieg von bisher 37 % auf 45 %, während Schadcode „nur“ noch auf 29 % kommt (im Übrigen trotzdem ein Anstieg um 9 % verglichen mit dem Vorjahr). Verantwortlich sind laut IBM zu 60 % Personen, denen wir geneigt sind im Geschäftsalltag zu vertrauen. Zu diesem Kreis gehören eigene Mitarbeiter genauso wie Berater, Projektmitarbeiter und externe Dienstleister.

Nicht selten sind sie für einen gewissen Zeitraum, manchmal sogar dauerhaft mit weitreichenden Zugriffsrechten ausgestattet. Nur wenige überprüfen welcher Dienstleister wie in ein System gelangen kann, geschweige denn welche Zugriffsberechtigungen an dieser Stelle vergeben worden sind. Und das keineswegs nur in kleinen und mittelständischen Unternehmen. Großkonzerne, darunter selbst Banken und Versicherungen, machen hier keine Ausnahme. Gerade Providern werden weitreichende Zugriffsrechte eingeräumt. In manchen Fällen haben sie exakt dieselben Rechte wie die IT-Administratoren selbst.

Sicher, der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) und die Normen der ISO 27001- und 27002-Serie bieten eine gute Richtschnur. Wenn es aber in der Praxis darum geht, einen externen Dienstleister einzubinden sieht das oftmals deutlich anders aus, denn nicht immer ist der Grundschutz so einfach zu überprüfen oder umzusetzen.

Ein zentraler Bereich dabei: Das Management von Zugriffsrechten. Gerade im Gesundheitswesen geht man von einem potenziell höheren Risiko aus weshalb hier zusätzlich besondere Richtlinien gelten. Hat man die Möglichkeit neben den Zugriffsaktivitäten die zugehörigen Metadaten zu erheben und sie mit einer Analyse des Nutzerverhaltens zu kombinieren, ergibt sich ein weit kompletteres und vor allem ein aktuelles Bild. Anomalien beim Zugriffsverhalten oder verdächtige Aktivitäten sind frühzeitig zu erkennen und damit potenzielle Datenschutzverstöße, Leaks und Insider-Aktivitäten….

Keine Ausnahme von der Regel

Zu diesem Schluss kommt IBM bei der Analyse der Kundendaten. Auch wenn bestimmte Branchen stärker betroffen sind als andere, prinzipiell kann jeder und jedes Unternehmen Opfer eines Sicherheitsvorfalls oder einer schwerwiegenden Datenschutzverletzung werden. IT-Abteilungen und CISOs stehen allerdings neben diesen Herausforderungen zusätzlich vor einer kommunikativen Aufgabe. Denn sie sind es, die vermehrt das direkte Gespräch mit den Chefetagen und den Mitarbeitern der diversen Abteilungen suchen müssen. Auf dieser Basis sollten die Verantwortlichen die Geschäftsziele priorisieren und ihre Risikotoleranz ermitteln. Das empfiehlt jedenfalls IBM als Voraussetzung für entsprechende IT-Sicherheitspläne und Richtlinien.

Viele der massiven Datenschutzverletzungen insbesondere dieses und des zurückliegenden Jahres weisen strukturelle Ähnlichkeiten auf. In zahlreichen Fällen ist es den Angreifern gelungen, sich in den Besitz der Login-Daten eines Mitarbeiters zu bringen. Unabhängig davon ob Mitarbeiter oder ehemaliger Angestellter, externer Dienstleister oder Hacker, was alle Bedrohungen dieser Art gemeinsam haben ist, dass sie schwer zu entdecken und noch schwerer zu verhindern sind.

An vielen Stellen sind die Zugriffsaktivitäten der Schlüssel will man potenzielle Datenschutzverletzungen frühzeitig verhindern. Nur, dazu braucht man zweierlei: Man muss wissen, wer welche Zugriffsrechte hat und man muss wissen, was er damit tatsächlich tut, respektive tun kann. Gerade bei Großunternehmen und Konzernen besteht Handlungs- wenn nicht Nachholbedarf. Und der Automatisierungsgrad ist in diesem Bereich längst nicht so weit fortgeschritten wie es die schiere Größe eines Unternehmens nahelegen würde.

David LinDavid Lin, Varonis
www.varonis.com/de

Weitere Informationen:

2016 Cyber Security Intelligence Index der IMB X-Force Research 

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.