Pharmakonzern Pfizer räumte kürzlich ein, dass beim Unternehmen Tausende interner Dokumente geleakt worden seien. Darunter auch Geschäftsgeheimnisse im Zusammenhang mit dem COVID-19-Impfstoff. Im Rahmen einer Klage in Kalifornien erklärte Pfizer dazu, ein ehemaliger Mitarbeiter habe sensible Daten, während das Arbeitsverhältnis noch bestand, auf seine persönlichen Cloud-Konten und -Geräte abgezogen.
Üblicherweise bringen wir Datenschutzverletzungen gerne mit Unternehmensspionage und fortgeschrittenen, hartnäckigen Bedrohungen in Verbindung. Dieser Vorfall ist hingegen ein ziemlich typisches Beispiel für ein schwer aufzudeckendes Verhalten. Eines, das durch Cloud-Konnektivität noch verstärkt wird: Datenlecks. Ganz gleich, ob es sich um einen versehentlichen Eingabefehler, den absichtlich herbeigeführten Datenabfluss (wie im Fall von Pfizer) oder ein kompromittiertes Konto handelt: Daten bewegen sich aufgrund der zunehmenden Abhängigkeit von Cloud-Anwendungen, fließender denn je zwischen Geräten und Anwendungen. Schon allein deshalb, damit Firmen weiterhin produktiv bleiben.
Ein Problem, das nicht nur bei Pfizer besteht. Wer dem entgegenwirken will, muss zwangsläufig davon ausgehen, dass sensible Daten irgendwann auch an Unbefugte weitergegeben werden. Genauso wie man davon ausgehen sollte, dass eine Entität erst dann vertrauenswürdig ist, wenn sie im Rahmen von Zero-Trust verifiziert wurde. Dazu muss man aber in der Lage sein, intelligente Zugriffsentscheidungen auf der Grundlage des Benutzerverhaltens, der Risikoexposition der Endgeräte, der verwendeten Apps und der Sensibilitätsstufe der Daten zu treffen.
Sensible IP bei Pfizer geleakt
Pfizer verklagte den ehemaligen Mitarbeiter, um wenigstens die Verbreitung sensibler Daten zu verhindern, die dieser während seiner Tätigkeit im Unternehmen abgezogen hatte. Nach eigenen Angaben von Pfizer handelt es sich bei den 12.000 gestohlenen internen Dokumenten um Informationen, welche die Entwicklung des COVID-19-Vakzins betreffen sowie die eines neuen Medikaments zur Behandlung von Melanomen.
Angeblich habe der Beklagte aufgrund seiner Position im globalen Produktentwicklungsteam einen privilegierten Zugriff auf vertrauliche und proprietäre Daten. Bevor der betreffende Mitarbeiter Pfizer verließ, kopierte er Daten auf mehrere private Geräte und persönliche Cloud-Speicherkonten. Die internen Systeme von Pfizer haben Berichten zufolge die anomalen Aktivitäten erst bemerkt, als die Dateien bereits von ihren ursprünglichen Speicherorten kopiert worden waren.
Es handelt es sich hier um eine typische Insider-Bedrohung, also die Art von Bedrohung, die von Personen im eigenen Unternehmen ausgeht, z. B. von Mitarbeitern, ehemaligen Mitarbeitern, Auftragnehmern oder Geschäftspartnern. Insider, die in aller Regel über Informationen zu Sicherheitspraktiken, Daten und Computersystemen des Unternehmens verfügen.
Der Schutz von Cloud-Daten: Drei Faktoren, die Sie berücksichtigen sollten
Pfizer hatte das anomale Verhalten als solches erkennen können. Wozu das Unternehmen aber nicht in der Lage war: die Daten proaktiv zu verschlüsseln. Laut aktuellen „Prognosen für 2022“ wird Cloud-Konnektivität zwar die Zahl der Sicherheitslücken vergrößern. Allerdings werden integrierte und aus der Cloud heraus bereitgestellte Lösungen einen Weg anbieten, wie Unternehmen im Cloud-First-Zeitalter mit den sich entwickelnden Bedrohungen Schritt halten können.
Wer Datenlecks verhindern will, dem helfen folgende Technologien, die eine integrierte Sicherheitslösung bereithalten sollte:
1) Einblick in das Benutzerverhalten
Die Analyse des Nutzer- und Entitätsverhaltens (User and Entity Behaviour Analytics, UEBA) ist unerlässlich, wenn man verstehen will, wie Nutzer mit Apps und Daten interagieren. Kommt es zu einer Kompromittierung, ist in den meisten Fällen keine Malware beteiligt. Vielmehr wird ein privilegiertes Konto mit Zugang zu sensiblen Daten, genutzt, um oftmals weitreichenden Schaden anzurichten. Sei es durch den Diebstahl von Anmeldeinformationen, durch die versehentliche Weitergabe von Daten an nicht autorisierte Personen oder, wie im Fall des Pfizer-Leaks, durch einen Vorfall mit böswilliger Absicht.
2) Die Apps verstehen, die Mitarbeiter verwenden
Neben dem Benutzerverhalten sollte eine Cybersicherheitslösung zusätzlich die unterschiedlichen Apps „verstehen“, die Mitarbeiter verwenden, und zwar unabhängig davon, ob die Anwendungen von der IT-Abteilung genehmigt wurden oder nicht. Schatten-IT ist inzwischen zu einem großen Problem geworden. Schließlich sind Cloud-Apps simpel zu installieren und viele Mitarbeiter nutzen die Consumer-Varianten von Unternehmens-Apps wie Google Workspace und Microsoft Office 365.
Laut Bloomberg Law habe Pfizer im Oktober 2021 ein Tool implementiert, mit dem man das Hochladen von Dateien in Cloud-Apps erkennen kann. Trotzdem reichte diese Erkenntnis nicht aus, um die Datenschutzverletzung letztendlich zu verhindern.
3) Automatisierte Verschlüsselung einsetzen
Beim Datenschutz werden automatisierte Maßnahmen immer wichtiger. Firmen haben vielleicht Tools im Einsatz, um anomales Nutzerverhalten zu erkennen oder festzustellen, ob Dateien in eine App hochgeladen werden, über die Sie keine Kontrolle haben. Aber ohne eine intelligente Engine zur Durchsetzung von Richtlinien lässt sich nichts tun, um den Abfluss von Daten zu verhindern.
Um Datenlecks zu vermeiden, sollten Unternehmen Nutzerverhalten und die Nutzungsart der Apps überwachen sowie moderne Datenschutzlösungen einsetzen. Zum einen, um potentielle Datenverluste zu verhindern und mittels Data Loss Prevention (DLP) die Vertraulichkeitsstufe der betreffenden Daten zu klassifizieren und zu verstehen sowie verschiedene Einschränkungen wie Wortmarken oder das Schwärzen von Schlüsselwörtern durchzusetzen. Zum anderen ein Enterprise Digital Rights Management (E-DRM), welches sensible Daten während des Downloads verschlüsseln kann. So können nur autorisierte Benutzer darauf zugreifen, selbst wenn sie das Unternehmen verlassen.
Das vierte Puzzleteil: Endpunkttelemetrie und eine integrierte Plattform
Der Vorfall zeigt, dass selbst dann, wenn ein Unternehmen die weltweit besten Systeme zur Datenklassifizierung- und Anomalienerkennung einsetzt, es sicherstellen muss, auch eingreifen zu können. Um Cloud-Daten zu schützen, bewegen Firmen sich immer mehr in Richtung eines Zero Trust-Modells. Dabei wird eine Entität erst dann als vertrauenswürdig eingestuft (und der Zugriff erlaubt), wenn ihr aktueller Risiko-Level überprüft wurde. Um effiziente Entscheidungen über Zugriffsrichtlinien zu treffen, welche die Produktivität nicht beeinträchtigen, braucht man einen integrierten Einblick. Neben Telemetriedaten zu Benutzern, Apps und Daten zählt dazu auch die Endpunktsicherheit. Mitarbeiter benutzen sämtliche der ihnen zur Verfügung stehenden Geräte inzwischen auch beruflich. Wer den Sensibilitäts-Level seiner Daten ebenso wie den schwankenden Risiko-Level von Benutzern, Apps und Endpunkten nicht kennt, setzt sich unnötig einer weitreichenden Gefährdung aus.