Datenlecks: Schwachstellen aufspüren

Von Kreditkarten-Daten über Angestellten-Protokolle – Die heutige Wirtschaft lebt von sensiblen Daten. In vielerlei Hinsicht stellen sie für Unternehmen eine Art Lebenselixier dar. Aus Erfahrung kann man sagen, dass die nächste große Datenpanne wohl nicht lange auf sich warten lassen wird.

Datenlücken und Datenpannen treten alarmierend häufig auf und es gibt noch immer viele Missverständnisse darüber, warum sie vorkommen. In den Medien werden Hacker oft in dunklen Hinterzimmern dargestellt, die in Top-Secret Sicherheitssysteme eindringen. Doch die Wirklichkeit sieht anders aus, als glorifizierende Darstellungen uns vermitteln mögen.

Der wahre Grund für Datenpannen sind unglückliche Zwischenfälle, ausgelöst durch Unternehmensinterne respektive Mitarbeiter. Dabei ist alles möglich: Von grundlegenden menschlichen Versagen bis hin zum bewussten Ausreizen der Sicherheitsrichtlinien des Unternehmensnetzwerkes.

Datenlecks und Datenpannen – Worin liegt der Unterschied?

Aufgrund der großen Unterschiede zwischen Vorfällen, bei denen sensible Daten an die Öffentlichkeit geraten, ist eine Einteilung in zwei Gruppen sinnvoll: Datenlecks und Datenpannen.

Bei Datenpannen brauchen Angreifer typischerweise Zugang zu Servern. Diesen verschaffen sie sich durch Schwachstellen, die gute Sicherheitslösung meistens vermeiden könnten.

Datenlecks brauchen hingegen keine offensichtlichen Sicherheitslücken im System. Es reicht, wenn sensible Daten in die falschen Hände gelangen – z.B. wegen einer unverantwortlichen Aktion eines verärgerten Mitarbeiters.

Der Unterschied zwischen Datenpannen und Datenlecks ist nicht allgemeingültig. Manche Experten würden viele Arten von Datenverlust einfach als Datenpanne klassifizieren. Egal wie – jeder Datenverlust richtet große Schäden im Unternehmen an. Wenn wir an dieser Stelle jedoch zwischen Datenleck und Datenpanne unterscheiden, sind wir besser in der Lage, Probleme zu verstehen und Lösungen herauszuarbeiten.

Im Folgenden zeigen wir, auf welche Schwachstellen geachtet werden müssen.

1.      Menschliche Fehler

Selbst wenn ein Unternehmen ausreichend in Sicherheitslösungen investiert hat, muss es immer noch mit menschlichen Fehlverhalten rechnen. Laut einer PWC Umfrage 2015 wurden 50% der schlimmsten Datenpannen durch unbeabsichtigtes menschliches Versagen verursacht.

Erst vor ein paar Monaten sah die Federal Deposit Insurance Corp. aus den USA sich mit einer massiven Datenpanne konfrontiert. Ein ehemaliger Mitarbeiter verließ seinen Arbeitsplatz mit einem USB-Stick auf dem mehr als 44.000 sensible Kundendaten gespeichert waren. Die Daten konnten später heruntergeladen werden. Der Mitarbeiter beteuerte seine Unschuld.

ESETs Senior Research Fellow David Harley kommentierte eine Studie von 2014 und meint, dass Internes Versagen eine große Bedrohung für Unternehmen darstellt.

Harley sagt: „Ein sehr hoher Anteil von Sicherheitsverletzungen wird direkt oder indirekt von Personen innerhalb einer Organisation verursacht – egal ob es dabei um menschliche Versagen, Social Engineering oder schlechte Sicherheitsmanagemententscheidungen geht. Dennoch bin ich nicht davon überzeugt, dass vorsätzliche schädliche Aktion von Angestellten allen anderen Faktoren überlegen sind.“

Ein berühmtes Sprichwort sagt: „Irren ist menschlich.“ Das bedeutet jedoch nicht, dass sich ein Unternehmen vor Datenlecks nicht ausreichend schützen könnte. Entsprechend der PWC Studie 2015 geben 33% der Unternehmen an, dass die Verantwortlichkeit für Datenschutz nicht ganz klar ist. In 72% der Unternehmen sind bereits Mitarbeiter verschuldete Datenpannen vorgekommen, weil Sicherheitsrichtlinien nicht umfassend ernst genommen worden.

Unternehmen sollten Mitarbeiter einen verantwortungsbewussten Umgang mit dem Unternehmensnetzwerk lehren. Nur so lassen sich Datenpannen einschränken und Kosten der „Wiedergutmachung“ vermeiden.

2.      Diebstahl

Es ist Fakt, dass Daten nicht nur von kriminellen Außenstehenden gestohlen werden, sondern auch eigene Mitarbeiter ins Visier rücken. Die britische Medienaufsichtsbehörde OFCOM musste dieses Jahr eine solche Erfahrung machen. Ein ehemaliger Mitarbeiter hatte über einen Zeitraum von sechs Jahren heimlich Daten von Dritten gesammelt.

Die Regulierungsbehörde erfuhr davon erst, als der frühere Mitarbeiter versuchte, die Daten an seinen neuen Arbeitgeber auszuhändigen. Dieser alarmierte OFCOM jedoch über den Datenklau.

Kein Unternehmen möchte seine Mitarbeiter unter Generalverdacht stellen, aber diese Art von Datenleck kann unterbunden werden. Immer dann, wenn beispielsweise sensible Dokumente involviert sind, sollte nur verifizierten Personen Zugang gewährt werden. Alle Unternehmensdaten auf nur einen großen Server zu lagern, ist niemals eine gute Idee.

 

3.      Zugangsmissbrauch

Selbst wenn Mitarbeiter keine bösen Absichten hegen, können auch kleine Aktionen die IT-Netzwerksicherheit gefährden und zu Datenlecks führen.

Laut einem 2014 erschienenen Bericht von Cisco gaben etwa 25% der Angestellten an, sensible Informationen mit Freunden, Familienmitgliedern oder sogar Fremden zu teilen. Etwa 50% der Umfrageteilnehmer teilten sogar ihr Arbeitsgerät mit nicht-Unternehmensangehörigen und das unbeaufsichtigt.

Diese Verhaltensweisen mögen vielleicht ‚harmlos‘ erscheinen, aber sie können dazu beitragen, dass sensible Unternehmensdaten nach außen gelangen. Sicherheitseinstellungen und -verfahren können diese schädlichen Aktivitäten einschränken. Ein Umgehen der Maßnahmen aber nicht gänzlich verhindern.

Nun, da wir die drei hauptsächlichen Schwachstellen für Datenlecks identifiziert haben, mag man sich fragen, welche Gegenmaßnahmen denn jetzt ergriffen werden können?

Der kürzlich erschienene Beitrag Digital-Patch-Kit: Wie schützt man sich vor Datenlecks? beinhaltet dazu praktische Tipps – auch für Unternehmen.

 

Autor , ESET