Risk Assessment

Durch datenzentrierte Risikoanalyse die Bedrohungslage richtig bewerten

19.12.2018
Von 


Thomas Ehrlich ist Regional Director DACH bei Netskope. Davor verantwortete er als Country Manager DACH und Osteuropa das Wachstum und die Positionierung des Security-Anbieters Varonis in dieser Region.
Auch jenseits der DSGVO mit ihrer Datenschutz-Folgenabschätzung machen Risikobewertungen Sinn und können zu mehr IT-Sicherheit beitragen.

Nach Angeben des Identity Theft Resource Centers (ITC) war 2017 ein Rekordjahr in Sachen Datenschutzverletzungen. Trotz Inkrafttreten der DSCGVO spricht auch 2018 vieles dafür, dass sich die Situation nicht wesentlich verbessert hat. Zwar beziehen sich die Zahlen auf die USA, doch in Europa ist die Situation ganz ähnlich, zumal Cyberkriminalität längst ein internationales Geschäft ist, das buchstäblich keine Grenzen kennt.

Wie kann dieser scheinbar übermächtigen Bedrohung Einhalt geboten werden. Die Antwort könnten datenzentrierte Risikobewertungen sein.

Die Herausforderung bei einer Risikobewertung ist es, zu entscheiden, welche Teile der Systeme bei Angreifern besonders beliebt sind und daher einer genaueren Risikoanalyse unterzogen werden sollen.
Die Herausforderung bei einer Risikobewertung ist es, zu entscheiden, welche Teile der Systeme bei Angreifern besonders beliebt sind und daher einer genaueren Risikoanalyse unterzogen werden sollen.
Foto: Romolo Tavani - shutterstock.com

Was ist eine datenzentrierte Risikobewertung?

Risikobewertungen stellen bereits wesentliche Bestandteile aller relevanten Compliance-Standards dar - von NIST über PCI und HIPAA bis hin zur DSGVO. Bei solchen Bewertungen gilt es in der Regel, die aktuelle Bedrohungslage zu evaluieren, Informationen und Informationssysteme zu kategorisieren und die aktuellen Sicherheitskontrollen zu überprüfen. Ziel ist es dabei, die Wirksamkeit dieser Kontrollen zum Schutz vor Hackern zu messen und dann die Wahrscheinlichkeit eines unbefugten Zugriffs oder einer Unterbrechung eines Informationssystems zu ermitteln.

Die Herausforderung für die Sicherheitsverantwortlichen ist es dabei, zu entscheiden, welche Teile der Systeme einer genaueren Risikoanalyse unterzogen werden sollen. Im Zweifelsfall sind es genau jene Bereiche, die bei Angreifern besonders beliebt sind. In aller Regel sind dies eben Daten, was man bei einer datenzentrierten Risikobewertung entsprechend berücksichtigt. Anstatt sich also - wie üblich bei Risk Assessments - auf die verschiedenen Angriffsvektoren zu fokussieren, sollte man die Daten ins Zentrum der Aufmerksamkeit stellen.

Ein praktischer Ansatz für die Sicherheit und die Verringerung des (Daten-)Risikos besteht aus zwei groben Schritten.

  1. Es den Hackern schwerer machen, wertvolle Daten (seien es personenbezogene Daten wie Kreditkartennummern oder auch geistiges Eigentum) im Dateisystem zu finden bzw. auf sie zuzugreifen.

  2. Die Angreifer so schnell wie möglich erkennen und zu stoppen.

Need-to-know-Prinzip gegen Ransomware und Datendiebstahl

Eine datenorientierte Risikobewertung macht gerade im ersten Schritt einen Unterschied. Je mehr Daten für einen einzelnen Nutzer zugreifbar sind, desto höher ist das Risiko. Worin liegen diese Risiken?

Ransomware ist nach wie vor eine Gefahr, wie erst kürzlich der Angriff auf den Anlagenbauer Krauss Maffei gezeigt hat. Hier musste aufgrund verschlüsselter Dateien die Produktion zwei Wochen lang gedrosselt werden - mit ganz realen wirtschaftlichen Konsequenzen. Da Ransomware nur die Daten, auf denen der infizierte Account Zugriff hat, verschlüsseln kann, wird die Bedeutung von Zugriffsrechten ersichtlich.

Auch Datendiebstähle stellen ein immer größeres Risiko dar. In seinem Report "Regional Risks for Doing Business 2018" sieht das World Economic Forum Datendiebstahl als zweitgrößtes Risiko für deutsche Unternehmen an, deutlich vor internationalen Konflikten, Spekulationsblasen, Wetterextremen und Terroranschlägen. Hat ein kompromittiertes Nutzerkonto weit gefasste Zugriffsrechte, ist es für Angreifer ein leichtes Spiel, sich in den entsprechenden File Shares in aller Ruhe umzusehen und die für ihn interessanten Daten zu entwenden.

Durch die Analyse und Anpassung der Sicherheitskontrollen für Dateidaten (insbesondere der Zugriffsberechtigungen) kann die Anzahl der Mitarbeiter mit Zugriff auf die Daten auf diejenigen beschränkt werden, die sie wirklich für ihre Arbeit benötigen (Need-to-know-Prinzip). Kombiniert man dies mit Kontextinformationen über die Daten, wie zum Beispile welche Dateien sensibel oder reguliert sind, kann auf diese Weise priorisiert werden, welche Dateien und Ordner besonderen Schutz bedürfen.

Verhaltensbasierte Verteidigung

Für den zweiten Schritt, die schnellere Identifizierung von Angriffen, bedarf es einer Technologie, die in der Lage ist, abnormales Verhalten zu erkennen. Dazu vergleicht sie das normale Nutzerverhalten mit dem aktuellen. Erkennt die Software signifikante Abweichungen (beispielsweise in Bezug auf Uhrzeiten, Ordner, auf die zugegriffen wird, oder Geolokation), schlägt sie Alarm und kann (automatisiert) entsprechende Verteidigungsmaßnahmen einleiten.

Der Varonis Datenrisiko-Report 2018 besagt, dass in 41 Prozent der Unternehmen sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien haben. Darunter fallen personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen. Mit diesen drei einfachen und schnell umzusetzenden Tipps können die angesprochenen Datenrisiken wirkungsvoll adressiert und die Datensicherheit verbessert werden:

  1. Eliminieren bzw. reduzieren Sie allgemein zugängliche Ordner. Ihre IT-Mitarbeiter sollten nach diesen Ordnern mit wertvollen Kundendaten oder firmeneigenen Informationen suchen. Unter Windows sind dies Ordner mit "Jeder"-Zugriff, die ganze Abteilungen oder andere große Gruppen umfassen.

  2. Stellen Sie fest, wer wirklich Zugriff auf diese Ordner benötigt. Reduzieren oder beseitigen Sie die Zugriffsrechte, damit sie der Funktion des Mitarbeiters entsprechen. Dies ist mit Windows-Bordmitteln kaum durchführbar. Intelligente Lösungen sind in der Lage, die Zugriffe zu analysieren und festzustellen, wer auf welche Daten (häufiger) zugreift. Idealerweise sollten diese durch Datenverantwortliche ergänzt werden. Diese gehören nicht der IT-Abteilung an, sondern sind in den entsprechenden Fachabteilungen oder Projektgruppen beheimatet. Sie verantworten und gewähren die Zugriffsrechte. Dies hat den Vorteil, dass diese genau wissen, wer welchen Zugriff benötigt.

  3. Kontrollieren Sie die Datennutzung. Haben Sie Ihre Zugriffsrechte insbesondere für sensible Daten unter Kontrolle gebracht, setzen Sie Analyse- und Monitoring-Lösungen ein, die in der Lage sind, abnormales Verhalten zu erkennen und zu stoppen. Auf diese Weise wird sichergestellt, dass die Daten nur in der vorgesehenen Weise verwendet und nicht durch externe Angreifer oder böswillige Insider kompromittiert werden.