Thought Leadership
Forenova: Datenschutz muss am richtigen Ort und zur richtigen Zeit geschehen
Paul Smit, Director Professional Services bei ForeNova: »Datenschutz ist eine gesellschaftliche, geopolitische und wirtschaftliche Aufgabe für die IT-Sicherheitsverantwortlichen privater und staatlicher Organisationen. Nach Profit strebende Cyberkriminelle suchen auch deshalb mittlerweile Zugang zu sensiblen Daten: Ransomware-Akteure erpressen hohe Lösegelder, weil die Opfer den Pflichten des Datenschutzes nachkommen müssen. Einer Umfrage von Forenova und von Cybersecurity Insiders unter 236 professionellen Anwendern in den USA und Kanada von 2022 zufolge war jedes dritte Unternehmen von Ransomware betroffen. In 18 Prozent dieser Fälle drohten die Angreifer damit, Daten offenzulegen.
Diese Angriffe mit einer gezielten Exfiltration als wirksame Drohkulisse erfordern eine mehrstufige Vorbereitung wie Infektion eines Systems, Vernetzen mit einem Command-and-Control-Server und die Suche nach Inhalten, die ein Lösegeld notwendig machen. Daher braucht die Opfer-IT eine gestaffelte mehrstufige Abwehr: Eine Säule ist dabei das Monitoring des Datenverkehrs im Netz, das die Manöver der Hacker frühzeitig erkennt. Diese unscheinbaren Indizien zu entdecken ist wichtig, da sich häufig ein Malware-Code im Rahmen einer APT-Attacke nach Infektion des Systems erst einmal unauffällig verhält. Fileless-Malware-Angreifer tarnen ihre Aktionen mit legitimen Tools. Auch dieses Vorgehen erzeugt Spuren im Datenverkehr. Eine weitere Säule ist der Schutz am Endpunkt. Diese Systeme verhindern oder stoppen vor Ort die laufende Exfiltration. Künstliche Intelligenz erkennt kleine abweichende Muster von Datenverkehr im Netzwerk oder von Systemverhalten am Endpunkt.
Nicht weniger wichtig ist eine datenschutzkonforme Cyberabwehr: Eine Network Detection and Response analysiert in Echtzeit nur die Metadaten eines Netzverkehrs – nicht die Inhalte. Solche Analysen können in einem Rechenzentrum eines Dienstleisters in Europa erfolgen. Auch eine EDR entfaltet seinen Schutz, ohne den Datencontent im Blick zu haben – etwa durch das automatische Erkennen von Malware-Signaturen oder -Verhalten. Wenn Inhalte einer Phishing-Mail auf Malware hindeuten, agiert die EDR wohl in einem berechtigten Interesse des Unternehmens.«
