Kommentar zum IBM Security Cost of a Data Breach

IBM Security hat aktuell die Ergebnisse des jährlichen “Cost of a Data Breach” Reports veröffentlicht. Die Erhebung basiert auf einer eingehenden Analyse von mehr als 500 realen Datenschutzverletzungen im vergangenen Jahr.

Demzufolge sind mit diesen Datenschutzverletzungen die höchsten Kosten in der 17-jährigen Geschichte des Berichts verbunden. Unternehmen sahen sich während der Pandemie gezwungen, zügig auf Remote Working umzustellen. Die Ergebnisse des Berichts legen nahe, dass Sicherheit diesen schnellen IT-Veränderungen hinterherhinkt – einschließlich der Tatsache, dass Datenschutzverletzungen mehr kosten und schwieriger einzudämmen sind. 

Der vom Ponemon Institute unabhängig durchgeführte und auf einer quantitativen Analyse von 524 kürzlich erfolgten Verstößen in 17 Ländern und 17 Branchen basierende jährliche Bericht über die Kosten einer Datenschutzverletzung bietet wertvolle Insights und Benchmarks, um Organisationen bei der Verbesserung ihrer Haltung gegenüber der Sicherheit zu unterstützen und Finanz- und Markenschäden einzudämmen.

Hank Schless, Senior Manager of Security Solutions, Lookout:  

„Die Art und Weise, wie wir arbeiten, hat sich grundlegend geändert. Der Schwerpunkt liegt inzwischen darauf von überall aus zu arbeiten. Die Ergebnisse des IBM 2021 Cost of a Data Breach Report zeigen eine Reihe von neuen, aber auch bereits bestehenden Sicherheitsherausforderungen auf. SaaS-Apps unterstützen eine produktive Zusammenarbeit, während eine Cloud-basierte Infrastruktur die Skalierbarkeit bietet, die moderne Unternehmen brauchen. Aber diese Cloud-First-Umgebung hat neue Risiken mit sich gebracht:

• Mit legitimen Anmeldeinformationen kann jeder von überall aus auf Unternehmensressourcen zugreifen. 
• Die stärkere Abhängigkeit von privaten oder nicht verwalteten Geräten erschwert es, zu erkennen, ob jemand, der sich mit dem Netzwerk verbindet, eine potenzielle Gefahr für das Unternehmen darstellt. 
• Ohne Transparenz über den Kontext, wer oder was sich mit Cloud-basierten Ressourcen verbindet, werden verräterische Anzeichen eines Angriffs leicht übersehen.
• Nicht immer sind lokale Infrastruktur und Cloud-basierte Dienste gleichermaßen geschützt.

Remote Working hat etliche der bereits bestehenden Probleme weiter verschärft. Kompromittierte Anmeldeinformationen sind kein neues Phänomen. Aber in Remote Working- oder hybriden Umgebungen fehlt Firmen die nötige Transparenz hinsichtlich von Benutzern und Geräten. Der häufigste Weg, Anmeldeinformationen zu kompromittieren, ist mobiles Phishing:

• Daten von Lookout zeigen, dass ein Drittel der mobilen Nutzer weltweit im Zeitraum des IBM-Berichts, von Mai 2020 bis März 2021, mindestens einem mobilen Phishing-Versuch ausgesetzt waren.
• Jede mobile App mit Messaging-Funktionen ist anfällig für Social Engineering. Für Angreifer bieten sich unzählige Kanäle: SMS, Social-Media-Plattformen, Messaging-Apps Dritter und sogar Dating-Apps. 
• Viele Mitarbeiter nutzen private oder unzureichend verwaltete Geräte, um auf Unternehmensressourcen zuzugreifen. Also suchen Angreifer gezielt nach Anmeldeinformationen für Plattformen wie Google Workspace oder Microsoft 365. 

Gelingt es einem Angreifer Anmeldeinformationen zu kompromittieren, wird er damit versuchen, auf unternehmenseigene Cloud-Plattformen wie Google Workspace, AWS, Microsoft 365 und Azure zuzugreifen – und somit auf Unmengen sensibler Daten. 

Aus diesem Grund ist es für Unternehmen unerlässlich, dedizierte Sicherheitsmaßnahmen für Apps in der Cloud zu implementieren. Mit Cloud Access Security Broker (CASB)-Lösungen haben Firmen die Möglichkeit, anomales Benutzer-, Geräte- oder Dateiverhalten mit User and Entity Behavior Analytics (UEBA) zu überwachen. Angreifer, die sich als legitime Benutzer ausgeben, melden sich oft von anderen Standorten aus an als die Mitarbeiter selbst und versuchen, auf verschiedene Dateien zuzugreifen und große Mengen sensibler Daten abzuziehen. Verhalten, das auf eine Insider-Bedrohung hindeutet. 

Wenig überraschend steht nach Aussagen von IBM auch die Gesundheitsbranche im Fokus von Cyberkriminellen. Die Branche speichert neben Daten zur Patientengesundheit auch Zahlungsdaten, Sozialversicherungsnummern und andere hochsensible und persönlich identifizierbare Informationen, die sogenannten PII-Daten. Neben branchenspezifischen Compliance-Standards wie HIPAA müssen auch andere Datenschutzbestimmungen wie DSGVO und CCPA berücksichtigt werden. Angesichts der veränderten Datennutzung und der mangelnden Transparenz, ist es aber deutlich schwieriger als innerhalb des traditionellen Perimeters, die Einhaltung dieser Vorschriften zu gewährleisten. Das Gesundheitswesen hat bereits eine Flut von Ransomware-Angriffen erlebt. Angreifer machen sich die Tatsache zunutze, dass die Branche durch die Pandemie unter immensem Druck steht, und haben sie mit maßgeschneiderten Ransomware-Kampagnen ins Visier genommen. Ransomware-Gruppen wissen, welche Folgen es hat, Gesundheitssysteme herunterzufahren –  Angreifer können also von einer potenziell höheren Wahrscheinlichkeit ausgehen, das geforderte Lösegeld erfolgreich einzutreiben.

Um sich vor aktuellen Angriffstrends und Herausforderungen zu schützen, sollten Unternehmen, Cybersicherheit vom Endgerät bis in die Cloud betrachten und dazu eine echte Endpunkt-zu-Cloud-Sicherheitsstrategie umsetzen. Ziel ist es, Transparenz über alle Aktivitäten in Zusammenhang mit Daten, Benutzern, Geräten und Apps herzustellen. Endgerätesicherheit selbst ist ein wichtiger erster Schritt. Unternehmen sollten aber zusätzlich Sicherheitslösungen integrieren, die granulare, kontextabhängige Zugriffsrichtlinien auf Cloud-Ressourcen implementieren.“

Hank Schless, Senior Manager of Security Solutions, Lookout, www.lookout.com