it-sa 2023

Sind Ihre Daten auch vor Insidern geschützt?

Quelle: Varonis

Die jüngste Sicherheitslücke im Pentagon, bei der der 21-jährige Jack Teixeira anscheinend vertrauliche Informationen auf Social-Media-Websites weitergab, hat die Diskussion über den Schutz von Daten vor böswilligen Insidern neu entfacht. Von der Schlange im Garten Eden (dem ursprünglichen Insider) über Snowden, Manning und Winner bis hin zu Teixeira braucht es nur einen faulen Apfel, um den Lauf der Geschichte zu verändern.

Der Zugang zu Informationen und die Tatsache, dass es generell viel zu viel Zugang zu sensitiven Daten gibt, ist ein roter Faden, der sämtliche Insider miteinander verbindet. Robert Litt, ehemaliger Chefsyndikus des Büros des Direktors der Nationalen Nachrichtendienste, bemerkte dazu: „Nach dem Bekanntwerden der undichten Stellen sollte eine nüchterne und gründliche Überprüfung des Informationsaustauschs, der Anzahl der Personen mit Sicherheitsfreigaben, der Umsetzung bestehender Richtlinien in Bezug auf die Notwendigkeit, etwas zu wissen, und der Überwachung von Verschlusssystemen erfolgen.“

Anzeige

Insider-Bedrohungen sind das am schwierigsten abzuwehrende Risiko und können gleichzeitig den größten Schaden anrichten. Das Pentagon hat innerhalb seiner physischen und digitalen Grenzen wahrscheinlich alles richtig gemacht: Teixeira arbeitete in einer Einrichtung mit sensiblen geschützten Informationen (SCIF/Sensible Comparted Information Facility), die „vor elektronischer Überwachung schützt und Datenlecks verhindert“. Das bedeutet, dass keine USB-Sticks hinein- oder herausgebracht werden durften, dass nichts ins Internet hochgeladen werden konnte und dass keine Datenübertragungen möglich waren. Dennoch konnte keine der Perimeter-Kontrollen vor dieser Bedrohung schützen.

Anatomie eines Insider-Angriffs

Was ist also schiefgelaufen? Die undichte Stelle verfügte über umfangreichen Zugang zu sensitiven Daten, die sie offensichtlich nicht benötigte. Trotz des Hypes um Zero Trust scheint es sich in diesem Fall um ein Versagen des Need-to-know-Modells und/oder eine Panne bei der Überwachung klassifizierter Systeme zu handeln. In vielen Unternehmen und staatlichen Organisationen liegt der Schwerpunkt immer noch oft auf dem Schutz der Außengrenzen und nicht auf dem Schutz des eigentlichen Ziels fast sämtlicher Angriffe: der Daten im Inneren.

Es ist schon seltsam, dass die meisten Unternehmen so viele Kontrollen dort durchführen, wo keine großen Risiken bestehen. Anders die Banken: Sie konzentrieren sich beim Schutz weniger auf die Fenster und Türen als auf den Tresorraum, da sie wissen, dass Bargeld ein wertvolleres Ziel ist als die Kugelschreiber im Schalterraum.

Anzeige

Hätte Teixeira nicht von vornherein Zugang zu so vielen sensitiven Informationen gehabt, hätte es keinen oder nur einen sehr geringen Schaden gegeben, der viel schneller eingedämmt worden wäre. Der Insider hätte zwar möglicherweise den Perimeter überwinden können, aber niemand würde Teixeiras Namen kennen, wenn die Daten die ganze Zeit adäquat geschützt worden wären.

Das Gleichgewicht zwischen Zugang und Sicherheit finden

Den „Tresor“ in der digitalen Welt zu schützen, ist natürlich eine große Herausforderung. Jeden Tag werden immer mehr sensitive Daten an immer mehr Orten gespeichert. Die Zusammenarbeit erfordert ein Gleichgewicht zwischen Produktivität und Sicherheit, denn Daten haben nur dann einen Wert, wenn sie gemeinsam genutzt werden können.

Schränkt man den Zugang zu Daten vollständig oder zu stark ein, werden sie wertlos. Die Nachrichtendienste haben dies gelernt, nachdem sie vor dem 11. September den Informationsaustausch zwischen verschiedenen Behörden eingeschränkt hatten. Werden die Beschränkungen jedoch zu sehr gelockert, können die Daten schnell zu einer Gefahr werden, wie die jüngste Sicherheitsverletzung im Pentagon gezeigt hat.

Wie lassen sich Zugang und Sicherheit in Einklang bringen? Mit fünf einfachen Schritten kann die Gefahr sowohl durch Innentäter als auch durch externe Angreifer, welche die Konten oder Computer von Insidern kompromittieren, wesentlich reduziert werden:

  1. Machen Sie eine Bestandsaufnahme der Regeln, die Sie zum Schutz sensitiver Daten aufgestellt haben. Haben Sie festgelegt, wann und wie Sie sensible Daten löschen, unter Quarantäne stellen oder sperren?
  2. Prüfen Sie, ob Sie diese Regeln manuell oder durch Automatisierung durchsetzen können.
  3. Erkennen Sie, wie Sie Verstöße gegen diese Regeln feststellen können.
  4. Suchen Sie nach Regeln, die erstellt, verfeinert oder effektiver durchgesetzt werden sollten.
  5. Wenn Sie gerade erst anfangen, sollten Sie eine Bestandsaufnahme Ihrer Daten vornehmen, um festzustellen, wo Benutzer sensitive Daten speichern und mit wem sie sie teilen.

In den meisten Unternehmen greifen die Mitarbeitenden von überall und von vielen Geräten aus auf sensitive Daten zu, die in mit der Cloud verbundenen Anwendungen und Datenspeichern gespeichert sind. Dies ist so ziemlich das Gegenteil eines SCIFs. Bei einem derartig verteilten, unberechenbaren Perimeter macht es noch weniger Sinn, den größten Teil der knappen Sicherheitsressourcen dort einzusetzen. Zumal wir nicht wissen, woher die Angriffe kommen werden. Allerdings wissen wir, worauf sie es abgesehen haben. Die meisten Betriebe verfügen zwar nicht über streng geheime Informationen wie das Pentagon, dennoch haben sie Daten, die für Angreifer interessant sind. Deshalb ist es sinnvoll, die begrenzten Ressourcen auf diesen Bereich zu konzentrieren.

Die Umsetzung des Need-to-know-Prinzips und die genaue Überwachung der Daten auf Anzeichen ungewöhnlicher Aktivitäten tragen dazu bei, den Schaden zu verringern, den Insider anrichten können und machen es einfacher, sie aufzuspüren. Angreifer von außen, die einen Computer oder ein Konto eines Mitarbeitenden übernehmen (und damit effektiv zu Insidern werden), müssen wesentlich mehr Aufwand betreiben, um an die anvisierten Daten zu gelangen. Auf diese Weise haben Sicherheitslösungen größere Chancen, sie zu entdecken.

Es spielt keine Rolle, ob man mit militärischen oder Geschäftsgeheimnissen umgeht oder ob die Mitarbeitenden in einem SCIF, in einem Bürogebäude oder von zu Hause aus arbeiten: Priorisiert man die Sicherheit der Daten, sind diese besser sowohl vor Insidern als auch Angreifern von außen geschützt.

Messestand 7A-319, Halle 7

Sebastian

Mehle

Account Manager

Varonis Deutschland GmbH

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.