Geschichten wie Catch Me If You Can (über den Hochstapler Frank Abagnale, der so ziemlich jeden um sich herum hinters Licht führen konnte) wecken in vielen Menschen den Wunsch, so clever und selbstbewusst zu sein wie Frank. Denn dieser konnte die Leute mit seinem Charme und Witz von jeder beliebigen Idee überzeugen.
Nach einem Big-Data-Vorfall ist es ein natürlicher Impuls, nach einer ähnlichen Geschichte zu suchen: beispielsweise wie ein Angreifer sein Opfer überlisten konnte, ihn „reinzulassen“. Wir stellen uns gerne vor, wie er das Opfer anruft und ihm eine überzeugende Geschichte erzählt. So etwas wie: „Hallo, hier ist Max von der IT, ich arbeite mit Karla zusammen – kennst du Karla? Ja … tut mir leid, dass du so viele Benachrichtigungen auf dein Telefon kriegst, morgens um drei. Wenn du mir den PIN-Code geben kannst, kann ich das reparieren.“
Auch wenn diese Szene aus einem Film stammen könne, kommen Sicherheitsverletzungen heutzutage nie durch eine einzelne Fehlentscheidung zustande. Vielmehr ist es immer eine Kette von Entscheidungen, die alle getroffen werden, lange bevor der verschlafene Netzwerkadministrator einen Anruf vom Angreifer erhält.
In diesem Artikel werde ich erläutern, wie Unternehmen widerstandsfähiger gegen Angriffe oder Sicherheitslücken werden können, damit ein Moment menschlicher Schwäche nicht gleich zur Katastrophe führt.
Bei einem kürzlichen Vorfall in einem großen Rideshare-Unternehmen gelang es dem Angreifer, sich Zugang zu den Daten der SaaS-Anwendungen und der Cloud-Infrastruktur des Unternehmens in AWS und Google Cloud Platform zu verschaffen.
Wir beobachten immer wieder, dass Angreifer mit den gleichen Techniken auf Daten zugreifen können. Sie scannen die Umgebung auf Schwachstellen: Daten, die nicht gesperrt sind, Konten mit schwachen Passwörtern und Passwörter, die im einfachem Klartext gespeichert sind. Bei diesem jüngsten Vorfall fand der Angreifer ein Passwort, mit dem er sich Zugang zu dem System verschaffte, in dem massenhaft Passwörter gespeichert waren. So erhielt er weiteren Zugang zu mehr Daten in einer größeren Infrastruktur.
In den Daten steckt das Geld – Angreifer wissen, dass wir auf ihre Verfügbarkeit und ihren Schutz angewiesen sind. In den Daten liegt außerdem das Risiko, und deshalb müssen wir uns auf ihren Schutz konzentrieren. Nach einem Sicherheitsvorfall können SaaS-Anwendungen intakt bleiben und Cloud-Infrastrukturen wiederhergestellt werden, aber die Kompromittierung der Daten kann niemals rückgängig gemacht werden. Es ist viel einfacher, die Zahnpasta in der Tube zu lassen, als sie wieder reinzubekommen.
Manche Führungskräfte fragen sich vielleicht: „Sollte die Cloud nicht sicherer sein?“
In der Cloud ist jemand anderes dafür verantwortlich, dass Anwendungen gesichert werden. Jemand anderes ist verantwortlich für das Patchen der Anwendung und aller Abhängigkeiten, beispielsweise Datenbanken und Betriebssysteme. Jemand anderes ist auch für das Netzwerk, die Failover, die Heizungs- und Klimatechnik, den Brandschutz und das physische Schloss an der Tür verantwortlich.
Wenn der Cloud-Anbieter all diese Sicherheitsaspekte im Griff hat, muss er lediglich dafür sorgen, dass nur die richtigen Personen auf die richtigen Daten zugreifen können, und zwar nur auf die Daten, die sie benötigen – und dass dann die Personen die Daten für den vorgesehenen Zweck verwenden. Klingt einfach sein, oder?
Das ist es jedoch nicht, und diese Daten sind oft stärker gefährdet, als man denkt.
Mein Unternehmen Varonis hat 15 Petabyte an Cloud-Daten in 717 Organisationen aus zahlreichen Branchen analysiert, darunter Finanzdienstleistungen, Gesundheitswesen und Behörden. Vier von fünf Unternehmen (81 %) hatten gefährdete vertrauliche Daten – die für jeden Mitarbeiter bzw. für das gesamte Internet offenlagen.
Ein durchschnittliches Unternehmen hat fast 20.000 Ordner und über 150.000 Dateien, die öffentlich freigegeben sind. Was befindet sich in diesen offenliegenden Dateien und Ordnern? Über 100.000 öffentlich freigegebene sensible Datensätze in SaaS-Anwendungen. Allein in Microsoft 365 sind in einem Unternehmen im Durchschnitt fast 50.000 sensible Datensätze öffentlich geteilt.
Viele Risiken sind heutzutage möglich, weil die Cloud es Endbenutzern leicht macht, Daten ohne die Hilfe oder Anleitung der IT freizugeben. Sie können Daten öffentlich und mit Kollegen teilen, indem sie auf „Freigeben“ klicken – und das tun sie auch. Wir haben festgestellt, dass Mitarbeiter zehntausende Freigabelinks in Microsoft 365 erstellen. Und viele dieser Links geben jedem Mitarbeiter Zugriff. Mit so vielen Freigabeaktivitäten verfügt ein durchschnittliches Unternehmen jetzt über 40 Millionen Objekte mit einzigartigen Berechtigungen sowie über viele offenliegende Dateien, die niemals gesehen oder überprüft werden.
Auf grundlegendster Ebene verfügt das durchschnittliche Unternehmen über Tausende von Konten – einschließlich Administratorkonten –, die keine Multi-Faktor-Authentifizierung (MFA) vorschreiben, obwohl ihre Sicherheitsvorteile gut bekannt sind.
Konten mit viel Zugriff sind Zeitbomben für die Datensicherheit, und der mögliche Schaden, den sie bei einer Kompromittierung anrichten können, ist enorm. Wie viel Schaden könnte ein einzelnes Konto oder ein Gerät anrichten, und wie gut können Sie den Schaden eindämmen?
Im Folgenden finden Sie vier Schritte, mit denen Sie sicherstellen können, dass ein Angreifer es weiter nicht leicht hat, falls er es schaffen sollte, einen Ihrer Mitarbeiter zu kompromittieren. Durch diese Maßnahmen muss er anschließend deutlich härter arbeiten, um Ihre kritischen Daten zu kompromittieren.
Dieser Artikel wurde ursprünglich im Magazin: Forbes veröffentlicht.