Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 7 Min.

Ratgeber und Praxis: Schutz kritischer Unternehmensdaten: Die fünf größten Datenverlustrisiken


TecChannel Compact - epaper ⋅ Ausgabe 9/2019 vom 02.09.2019

Angriffe auf deutsche Industrieunternehmen haben in den letzten beiden Jahren einer Bitkom-Erhebung zufolge über 43 Milliarden Euro Schaden verursacht. Ob Dauerbrenner Phishing oder das Einschleusen von Ransomware: Viele gängige Angriffsszenarien basieren nicht auf der Ausnutzung technischer Sicherheitslücken, sondern setzen an der Schwachstelle Mensch an. Ein wirksamer Schutz erfordert neben Kenntnis der Angriffswege auch Schulungsmaßnahmen für die eigenen Mitarbeiter.

Erfahren Sie, welchen Risiken sensible Unternehmensdaten ausgesetzt sind und welche Schutzmaßnahmen Sie ergreifen sollten.

Die kritischen ...

Artikelbild für den Artikel "Ratgeber und Praxis: Schutz kritischer Unternehmensdaten: Die fünf größten Datenverlustrisiken" aus der Ausgabe 9/2019 von TecChannel Compact. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: TecChannel Compact, Ausgabe 9/2019

Weiterlesen
epaper-Einzelheft 16,99€
NEWS 30 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von TecChannel Compact. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 9/2019 von Grundlagen: Botnet-FAQ: So funktionieren Mirai, Reaper, Echobot und Co.. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Grundlagen: Botnet-FAQ: So funktionieren Mirai, Reaper, Echobot und Co.
Titelbild der Ausgabe 9/2019 von Security, Recht, Praxis: Blockchain: Grundlagen und Sicherheit. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Security, Recht, Praxis: Blockchain: Grundlagen und Sicherheit
Titelbild der Ausgabe 9/2019 von Der Faktor Mensch: Was ist Usable Security?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Der Faktor Mensch: Was ist Usable Security?
Titelbild der Ausgabe 9/2019 von Bedrohungsszenarien: GPS-Spoofing: Die Risiken durch gehackte GPS-Systeme. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bedrohungsszenarien: GPS-Spoofing: Die Risiken durch gehackte GPS-Systeme
Titelbild der Ausgabe 9/2019 von Security Know-how: Advanced Persistent Threats (APTs). Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Security Know-how: Advanced Persistent Threats (APTs)
Titelbild der Ausgabe 9/2019 von Zahlungsverkehr : PSD2: Das steckt hinter der neuen EU-Zahlungsdienstrichtlinie. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Zahlungsverkehr : PSD2: Das steckt hinter der neuen EU-Zahlungsdienstrichtlinie
Vorheriger Artikel
DevSecOps: Fünf Tipps für sichere DevOps
aus dieser Ausgabe
Nächster Artikel Authentifizierung neu gedacht: Zero Trust verstehen und umsetzen
aus dieser Ausgabe

... Informationen eines Betriebes gehören mittlerweile zu den wertvollsten Unternehmenswerten. Darüber hinaus ist mit dem Inkrafttreten der DSGVO die Einhaltung von Datenschutzvorschriften zu einem entscheidenden Faktor geworden, der in die betriebsinterne Informationssicherheitsstrategie integriert werden sollte.

E-Mail- und Web-basierte Angriffe sind die häufigsten Angriffsvektoren. Zum Schutz gilt es, sowohl technische Lösungen einzusetzen als auch Mitarbeiter aufzuklären und zu schulen. (Foto: SkillUp, Shutterstock.com)


Aus diesem Grund ist es wichtig, dass Firmen ein klares Verständnis über die verschiedenen Bedrohungen für die Sicherheit ihrer Daten gewinnen. Erst dann können sie die richtigen Tools, Technologien und Prozesse einsetzen, um Datenschutzverletzungen zu verhindern.

Die bedeutendsten Bedrohungsherde

E-Mail und Web (einschließlich Cloud-Anwendungen) sind die beiden häufigsten Kanäle für die geschäftliche Zusammenarbeit auf der ganzen Welt. Diese Kommunikationskanäle haben es Unternehmen in den letzten beiden Jahrzehnten ermöglicht, die globale Reichweite zu erweitern, die betriebliche Effizienz zu steigern und das Geschäftswachstum voranzutreiben. Angesichts der deutlich zunehmenden Anzahl von Sicherheitsverletzungen innerhalb der letzten Jahre stellen sie jedoch auch ein erhöhtes Risiko für Cyberangriffe und Datenlecks dar.

Wissen über schützenswerte Informationen als Basis

Die zunehmenden IT-Sicherheitsverletzungen variieren zwar in ihrer Natur, aber das Ergebnis ist meist dasselbe: Reputationsschäden und finanzielle Verluste. Die Frage, die sich Betriebe also stellen sollten, lautet: „Was genau wird als ‚kritische Information‘ betrachtet?“

Unabhängig davon, in welcher Branche ein Unternehmen tätig ist, verfügen alle Firmen über sensible oder vertrauliche Daten. Dazu zählen personenbezogene Daten wie etwa Mitarbeiterdatensätze, Kundendaten und -dateien sowie Finanzdaten und -berichte, Projektdaten, medizinische Aufzeichnungen, geistiges Eigentum und IT-Daten (Systeme, Software, Drucker, Netzlaufwerke etc.).

Diese Liste lässt sich um weitere, branchenspezifische Daten erweitern. Im Wesentlichen sind besonders schützenswerte Informationen solche, die

Schäden anrichten können, sollten sie in die Hände von Wettbewerbern fallen;
sich auf Kunden auswirken, wenn sie gestohlen werden oder verloren gehen;
› regulatorische Probleme verursachen könnten.

Ein gutes Verständnis der wichtigsten Sicherheitsbedrohungen für kritische Informationen sorgt dafür, dass Unternehmen einen kosteneffizienten Schutz einführen können. Im Grunde gibt es zwei Bedrohungskategorien für die Informationssicherheit: Interne und externe Bedrohungen.

Gefahren von innen

Im Folgenden geht es zunächst um die wichtigsten Gefahrenquellen, die sich im Unternehmen selbst befinden.

Unwissenheit oder Mangel an Verständnis

Die größte Gefahr für die IT-Sicherheit innerhalb eines Betriebs ist mangelndes Verständnis von Risiken und ihren Konsequenzen. Alle Mitarbeiter aufzuklären und für Bedrohungen zu sensibilisieren ist ein kostengünstiger Weg, um das Gefährdungspotenzial zu reduzieren und eine Kultur des Sicherheitsbewusstseins zu schaffen. Dabei ist es wichtig, alle Hierarchieebenen abzudecken, von der Führungsebene bis zu den Auszubildenden.

Neben der Aufklärung gilt es, Richtlinien und festgelegte Verfahren einzuführen. Diese sollten beispielsweise klare Antworten auf Fragen geben wie: „Was kann ein Mitarbeiter tun, wenn er denkt, dass sich auf seinem Gerät ein Virus oder eine Ransomware-Infektion befindet?“ oder „Was ist zu tun, wenn Informationen an eine unbefugte Person gesendet wurden – eine Tatsache, die zu einer möglichen Datenschutzverletzung führen kann?“ Datensicherheit und Datenschutz sollten dabei nicht in der Verantwortung eines kleinen Teams oder einer einzelnen Person liegen. Vielmehr sind sie ein Teil der Verantwortung aller Mitarbeiter. Die Sicherheitslage eines Unternehmens muss von oben nach unten gesteuert werden. Idealerweise sollte ein abteilungsübergreifendes Team eingerichtet werden, um die (IT-)Sicherheit effektiv zu erhöhen. Der Vorstand übernimmt dafür die Verantwortung und ermöglicht angemessene Investitionen in die erforderlichen Bereiche.

Versehentliche Datenlecks

Senden Mitarbeiter unabsichtlich die falschen Informationen an die falsche Person, wird dies als „versehentliches“ Datenleck bezeichnet. Je nachdem, welche Art von Daten durchsickern, kann das Ergebnis verheerend sein. So könnten beispielsweise im Rahmen der DSGVO hohe Bußgelder verhängt werden, wenn die kompromittierten Daten EU-Bürger betreffen.

Viele Unternehmen sind sich dieser Tatsache nicht bewusst, aber tatsächlich werden tagtäglich vertrauliche Daten ohne Absicht aus dem Unternehmen herausgeleitet. Sensible Metadaten (Autorennamen, Track-Änderungen, Drucker- und IT-Systemdaten) werden in Dokumente und Dateien eingebettet oder angehängt, an denen das jeweilige Team arbeitet. Sie können sowohl sensible Informationen enthalten, als auch für Phishing-Attacken und andere externe Angriffe missbraucht werden. Diese Daten gilt es zu sichern und davor zu schützen, das Unternehmen zu verlassen.

Oftmals ist es auch die von außen frei zugängliche Website des Unternehmens, die eine reiche Quelle für Phishing-Material darstellt, das von Cyber-Kriminellen gesichtet und im Dark Web verkauft werden kann. Beispielsweise hat die australische Bundespolizei versehentlich Unterlagen mit personenbezogenen Daten aus einem Strafverfahren auf eine Website hochgeladen. Die sensiblen Informationen konnten von jedermann frei heruntergeladen werden. Ein weiteres Beispiel ist die australische/ neuseeländische ANZ Bank, die unbeabsichtigt ihre Daten zum Ende des Geschäftsjahres zur falschen Zeit auf eine Website gestellt hatte. Das führte dazu, dass der Handel für vier Tage unterbrochen werden musste.

Die Quintessenz solcher Fälle ist, dass Missgeschicke passieren. Allerdings es gibt Tools, die das Team und das jeweilige Unternehmen vor dieser Art von Datenverlust schützen. Die Metadaten lassen sich beispielsweise mittels Dokumentenbereinigung (Sanitization) entfernen. Dies kann manuell gemacht werden, allerdings können dabei menschliche Fehler passieren, so dass auch automatisierte Lösungen in Betracht gezogen werden sollten.

Diebstahl von Unternehmensdaten

Innerhalb der letzten Jahre gab es abseits versehentlicher Datenlecks auch zahlreiche internationale Fälle, in denen Mitarbeiter sich konkret gegen ihr Unternehmen gewendet haben. Dies betraf Weltkonzerne wie Sony oder Google, aber auch kleinere und mittelständische Unternehmen.

Hierbei kann es sich zum einen um Innentäter handeln, die einen persönlichen Vorteil erlangen wollen, etwa Mitarbeiter, die ein Unternehmen verlassen und Dateien und Daten mitnehmen. Zum anderen können es missgünstige Mitarbeiter sein, die Rache nehmen wollen, indem sie durch Preisgabe von sensiblen Informationen Schaden anrichten.

Die gute Nachricht ist, dass die gleiche Technologie, mit der versehentliche Datenlecks erkannt und verhindert werden, auch vorsätzliche abwehrt. Weitere Lösungen ermöglichen es, Informationen und deren Verwendung zu erkennen und nachzuverfolgen. Dennoch gibt es keinen „Universalschutz“. Es geht vielmehr darum Schichten von Sicherheit aufzubauen um eine Strategie der Verteidigung in der Tiefe zu realisieren. Das Verständnis der Informationen und ihrer Risiken ist dabei essenziell und kann zu einem kostengünstigen und effektiven Lösungsansatz führen.

Externe Bedrohungen

Während interne Bedrohungen, insbesondere unbeabsichtigte und zufällige Ereignisse, den Großteil der Datenschutzverletzungen ausmachen, dürfen diejenigen von außen nicht vernachlässigt werden. Distributed Denial of Service (DDoS) und System-Hacking befinden sich weiterhin auf dem Vormarsch. Sicherheitspraktiken wie regelmäßige Patch-Updates des Betriebssystems und der Anwendungen sowie aktuelle Antiviren-Definitionen und eine effektive Backup-Strategie tragen wesentlich zum Schutz des Unternehmens vorLegacy-Angriffen bei. Doch es gibt noch weitere Bedrohungen von außen, die es zu verstehen und vor denen es sich zu schützen gilt.

Phishing

Durch Phishing versuchen Cyber-Kriminelle, sensible Daten einer Person abzurufen, wie beispielsweise Bankkennwörter oder Kreditkartendaten, um Geld zu stehlen. Heutige Phishing-Angriffe erfolgen in der Regel über sehr überzeugend gefälschte geschäftliche oder persönliche E-Mails. Meist beinhalten sie einen Link, auf den der Empfänger klicken und sensible Informationen an die Angreifer weiterleiten soll.

Passende Technologie ist wichtig, um erfolgreiche Phishing-Angriffe auf Unternehmen zu verhindern. Allerdings spielt auch hier die Aufklärung der Mitarbeiter eine Rolle. Es gilt die Belegschaft dafür zu sensibilisieren, wie eine verdächtige E-Mail aussehen kann, und sie zur Vorsicht beim Öffnen oder Anklicken von Links in verdächtigen E-Mails oder Dokumenten zu ermahnen. Weiterhin sollte ein Prozess implementiert werden, nach dem Mitarbeiter prüfen können, ob eine E-Mail oder ein Dokument schädlich sind. Dies wird langfristig dazu beitragen, eine Kultur erhöhten Sicherheitsbewusstseins im Betrieb zu etablieren.

Malware- und Ransomware-Angriffe

Angriffe mit Verschlüsselungstrojanern befinden sich nach wie vor auf dem Vormarsch. Im Jahr 2017 machten Ransomware-Angriffe wie WannaCry, NotPetya und Bad Rabbit Schlagzeilen und brachten zahlreiche Unternehmen in Bedrängnis. Unter ihnen fanden sich auch Betriebe aus dem KRITIS-Bereich wie etwa Krankenhäuser. DasBSI schätzt in seinem Bericht zur Lage der IT-Sicherheit in Deutschland (PDF,www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2018.pdf ) die finanziellen Folgen der Ransomware-Welle im Jahr 2017 auf rund 8 Milliarden Dollar. Die Angriffe waren so ausgeklügelt, dass sie sich den Sicherheitsvorkehrungen einiger der weltweit größten Unternehmen entziehen konnten, die sich auf traditionelle Sicherheitstechnologien verlassen hatten.

Auch im Jahr 2018 setzte sich die Bedrohung fort. Im Lagebericht stellt das BSI weiter fest, dass die neueren Fälle von Erpressungstrojanern zwar nicht wie im Vorjahr die Schlagzeilen beherrschten, aber auf neue Entwicklungen hinweisen. Beispielsweise wurde im Januar 2018 erstmals eine neue Ransomware namens GandCrab entdeckt, die neben lokal aktiven Kampagnen (Magniber) als erste per Exploit-Kit verbreitet wurde.

Die Erpresser-Software SamSam attackiert über Schwachstellen öffentlich zugänglicher Softwarekomponenten (Web-Server) oder durch das Erraten unsicherer Passwörter in der verwendeten Benutzerverwaltung. Mit dieser Art Ransomware wurde im März 2018 die Stadt Atlanta (Georgia, USA) angegriffen und weite Bereiche der externen und internen Dienste wurden lahmgelegt. Letztendlich zielen Attacken darauf ab, die kritischen Daten von Organisationen zu stehlen und zu veräußern. Verkauft werden die Daten entweder an einen externen Käufer oder im Falle von Ransomware zurück an das Unternehmen, dem sie gehören.

Moderne Angriffe werden häufig in Form von aktivem Code oder Skripten ausgeführt, die in harmlos aussehende, eingehende E-Mails und Dokumente oder Links zu Dokumenten eingebettet sind. Diese haben verheerende Auswirkungen auf die internen Systeme des Betriebs, wenn sie sich hier ausbreiten. Die häufigste Art von schädlichen Dokumenten sind Lebensläufe oder Stellenangebote, mit dem die Personalabteilung oder eine Person angesprochen wird.

Auch hier spielen die Aufklärung und regelmäßige Schulung der Mitarbeiter eine entscheidende Rolle für die Prävention. Weiterhin sollte auch für dieses Problem die Implementierung einer technischen Lösung erwogen werden.

Prinzipiell gibt es zwei Möglichkeiten, Ransomware und Malware im Betrieb zu verhindern. Die Erste basiert darauf, aktive Inhalte zu entfernen. Das heißt, Malware wird aus dem Dokument entfernt, der Rest bleibt unangetastet. Dadurch erhält der Empfänger die gesendeten Informationen sofort, nicht aber die Schadsoftware. Diese Technologie wird auch „Structural Sanitization“ genannt.

Bei der zweiten Methode kommt Sandbox-Technologie zum Einsatz. Sie öffnet das Dokument in einer sicheren Umgebung (Sandbox) und analysiert anschließend dessen Verhalten. Wenn nach einer bestimmten Zeitspanne (beispielsweise 15 Minuten) nichts Ungewöhnliches geschieht, wird das Dokument für den Empfänger freigegeben. Damit geht eine gewisse Zeitverzögerung einher und fortschrittliche eingebettete Malware kann diesen Schutzmechanismus unter Umständen umgehen.