Was wollen Hacker? Wenn Sie jetzt auf „Geld“ tippen, sind Sie auf der sicheren Seite, denn das stimmt immer. Laut Data Breach Investigations Report (DBIR) von Verizon ist finanzielle Bereicherung nach wie vor in über 75 % der untersuchten Sicherheitsvorfälle das erklärte Ziel eines Hackers.
Die bessere Antwort auf die obige Frage ist allerdings, dass Hacker es auf Daten aus unternehmensinternen Filesystemen abgesehen haben – sensible Daten und natürlich solche, die sich zu Geld machen lassen. In aller Regel unverschlüsselte nutzergenerierte Dateien (interne Dokumente, Präsentationen oder Excel-Tabellen), die Bestandteil der Arbeitsumgebung sind. Teilweise handelt es sich auch um Dateien, die aus strukturierten Datenbanken exportiert werden. Dort wo Kundenkonten, Finanzdaten, Umsatzprognosen und etliche andere Firmeninterna gespeichert sind.
Die Nachfrage nach solchen Daten hat enorme Ausmaße angenommen, ebenso wie die Ressourcen um ungeheure Datenmengen zu speichern. Fast 90 % des globalen Datenvolumens wurde allein in den vergangenen beiden Jahren generiert. Bis 2020 wird das Datenvolumen um 4.300 % ansteigen!
Herausforderungen im Bereich Datensicherheit
Leider sind die relativ simplen (häufig mit dem jeweiligen Betriebssystem mitgelieferten) Tools, die IT-Administratoren nutzen um unternehmenseigene Inhalte zu verwalten, nicht unbedingt darauf ausgelegt, Daten zu identifizieren und zu schützen. Meistens sind Firmen auf die Unterstützung von Drittanbietern angewiesen. Einen allgemeinen Konsens darüber, wie ein solcher Datenschutz am besten zu gewährleisten existiert dabei aber selten. Natürlich lassen sich virtuelle Einfallstore über Firewalls und Intrusion-Prevention-Systeme absichern.
Oder Sie betrachten die Sache angemessen realistisch und gehen davon aus, dass Hacker es am Ende doch irgendwie schaffen ins System zu gelangen.
Wahre Sicherheit kommt von innen
Eines haben uns die erfolgreichen Angriffen auf gut geschützte Unternehmen in den letzten Jahren allerdings gelehrt: Es gibt kein komplett einbruchssicheres System rund um die Daten. Warum?
Hacker werden förmlich eingeladen und spazieren immer noch geradewegs durch die Vordertüre in ein Netzwerk. Ihre bevorzugte Masche: Phishing-E-Mails. Dabei gibt der Angreifer vor, bei einem bekannten Unternehmen (wie FedEx, UPS oder Microsoft) zu arbeiten, und sendet eine E-Mail an einen Mitarbeiter. Der Dateianhang enthält vorgeblich eine Rechnung oder wahlweise etwas, das wie ein Geschäftsdokument aussieht. Klickt ein Mitarbeiter darauf, wird die im Anhang enthaltene Schadsoftware ausgeführt.
Verizon beobachtet die Angriffsmethoden der Hacker im Rahmen des DBIR seit Jahren in der Praxis. Social-Engineering-Techniken, zu denen Phishing und andere Formen des Identitätsbetrugs gehören, haben sich demnach immens weit verbreitet (siehe Grafik).
Sie sind drin … und was nun?
Das DBIR-Team weist explizit darauf hin, dass Hacker recht schnell in ein System eindringen (innerhalb weniger Tage oder schneller). Häufig benötigt die für IT-Sicherheit zuständige Abteilung allerdings Monate, um den Angriff überhaupt zu bemerken und die Folgen abzuschätzen.
Sobald Hacker einen Fuß in der Tür haben, verwenden sie getarnte FUD-Malware, um im Verborgenen zu agieren. „FUD“ steht für „fully undetectable“; es handelt sich also um nicht als solche erkennbare Schadsoftware. Von Virenscannern unbemerkt erfasst sie die Tastatureingaben von Mitarbeitern, analysiert Dateiinhalte, entfernt oder exportiert Daten.
Wer nicht über Phishing ins System eindringt sucht oft nach Schwachstellen bei öffentlich zugänglichen Webschnittstellen und verschafft sich mithilfe einer SQL-Injection oder anderer Methoden Zugang.
Und immer noch profitieren Hacker von schlecht gewählten Passwörter: Häufig ermitteln Angreifer die verwendeten Passwörter und geben sich bei der Anmeldung im System einfach als Mitarbeiter aus.
Fazit: Die Angreifer kommen und gehen, ohne irgendeinen Alarm auszulösen.
Um sich wirksam gegen diese neue Hackergeneration zu wappnen, empfiehlt es sich, zunächst alle sensiblen Daten zu identifizieren und dann auf dieser Basis Abwehrmechanismen zu entwickeln – ein Ansatz, der auch als „Inside Out Security“ bezeichnet wird.
Inside Out Security in drei Schritten
Schritt 1: Bestandsaufnahme der IT-Infrastruktur und Daten
Will man eine solche Strategie entwickeln beginnt man idealerweise mit der Bestandsaufnahme der IT-Infrastruktur.
Diese Anforderung findet sich in zahlreichen Datenstandards und Best Practices, darunter die ISO 27001, den kritischen Sicherheitskontrollmaßnahmen (Critical Security Controls, CSC) des SANS Institute, dem Rahmenwerk zur Computer und Netzsicherheit kritischer Infrastrukturen (Critical Infrastructure Cybersecurity, CIS) des National Institute of Standards and Technology (NIST) und den PCI-Regeln für den Zahlungsverkehr (Payment Card Industry Data Security Standard, PCI-DSS).
Praktisch alle genannten Standards sehen Steuerungsmechanismen für das Asset-Management vor beziehungsweise die Klassifizierung der Assets. Das Ziel ist es zu klären, welche Inhalte überhaupt in einem System gespeichert sind (und wo). Ressourcen, von deren Existenz man nichts weiß lassen sich schwerlich schützen… Neben der gängigen Hardware (Router, Server, Laptops, Fileserver usw.) werden die digitalen Systembestandteile klassifiziert: wichtige Software, Anwendungen, Betriebssysteme und natürlich Daten/Informationen.
So soll beispielsweise das CIS-Rahmenwerk des NIST als freiwillige Leitlinie zum Schutz der IT von Kraftwerken, von Transportunternehmen und anderen wichtigen Dienstleistern dienen. Wie alle Rahmenwerke bietet das CIS-Rahmenwerk eine allgemeine Struktur, über die verschiedene spezifische Standards abgebildet werden.
Der erste Teil des Rahmenwerks enthält eine Identifizierungskomponente, zu deren Unterkategorien die Inventarisierung der Ressourcen (siehe ID.AM-1 bis ID.AM-6) und die Klassifizierung der Inhalte (siehe ID.RA-1 und ID.RA-2) gehören.
PCI DSS 3.2 sieht Steuerungsmechanismen zur Identifizierung von Speicherhardware und ganz konkret von sensiblen Karteninhaberdaten und -informationen vor (siehe Anforderung 2.4).
Schritt 2: Risiko senken durch Zugriffssteuerung
Zusätzlich zur Lokalisierung sensibler Inhalte sind in den Sicherheitsstandards und Best Practices weitere Steuerungsmechanismen vorgesehen. Dazu gehört es die Zugriffsrechte zu überprüfen – ein Schritt, der zumeist innerhalb der Kategorie „Risikoanalyse“ angesiedelt ist. Dadurch lässt sich in Erfahrung bringen ob und inwieweit unbefugte Nutzer auf sensible Daten zugreifen können. Im Anschluss werden die Berechtigungen so geändert, dass genau das nicht passieren kann.
Das CIS-Rahmenwerk gibt zusätzlich eine Schutzfunktion mit Unterkategorien für die Zugriffssteuerung vor (siehe PR.AC-1 bis PR.AC-4).
Insbesondere um das Prinzip der minimalen Rechtevergabe umzusetzen (PR.AC-4): Die Mitarbeiter erhalten ausschließlich die Berechtigungen, die sie benötigen um ihren Job zu machen. Man spricht in solchen Fällen auch von „Role Based Access Control“ (RBAC) oder „rollenbasierter Zugriffskontrolle“.
Ähnliche Arten den Zugriff auf Daten zu steuern sind auch in anderen Standards so berücksichtigt.
Wichtig ist dabei vor allem, dass die Sicherheitsmaßnahmen zu einem festen Bestandteil der Arbeitsabläufe werden. Maßnahmen wie die kontinuierliche Datenanalyse, eine Risikoermittlung und das Anpassen der Zugriffsrechte. So entsteht eine kontinuierliche Risikoeinschätzung und Risikobewertung.
Schritt 3: Datenminimierung
Neben dem Identifizieren sensibler Daten und Beschränken der Zugriffberechtigungen sehen die Standards einen weiteren Mechanismus vor. Nämlich das Löschen oder Archivieren von personenbezogenen Daten, die nicht mehr gebraucht werden.
Diese Einschränkung zur Aufbewahrung von Daten ist in der PCI DSS 3.1 unter Anforderung 3 zu finden. Sie legt fest, das Speichern von Karteninhaberdaten auf ein Minimum zu beschränken. Auch im Rahmen der neuen EU-Datenschutz-Grundverordnung (DS-GVO) wird eine Aufbewahrungsfrist gefordert. Sie wird im Absatz zum Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen erwähnt (Artikel 25).
Die Minimierung bei der Datenerfassung und -aufbewahrung als eine Methode das Risiko zu senken ist auch Bestandteil einer weiteren bewährten Vorgehensweise: dem Privacy by Design.
Der schwierige Teil: Datenklassifizierung im großen Stil
Der erste Schritt – die Identifizierung und Klassifizierung sensibler Daten – ist leichter gesagt als getan.
Bislang werden unstrukturierte Daten in der Regel durch einen ebenso einfachen wie aufwendigen Abgleich relevanter Teile des Dateisystems mit bekannten Mustern klassifiziert. Das geschieht mithilfe von regulären Ausdrücken und anderen Kriterien. Dabei wird protokolliert, welche Dateien den Mustern entsprechen.
Dieser Prozess muss natürlich ständig wiederholt werden, denn es werden laufend neue Dateien erstellt und vorhandene aktualisiert. Ein solcher Abgleich beginnt allerdings jedes Mal wieder von neuem bei der ersten Datei in der Liste und er wird fortgesetzt, bis die letzte Datei auf dem Server erreicht ist.
Das heißt, dass Informationen aus vorangegangenen Systemprüfungen nicht genutzt werden. Wenn also zehn Millionen unveränderte Dateien in einem Dateisystem gespeichert sind und seit der letzten Prüfung nur eine einzige neue Datei hinzugefügt worden ist, dann werden beim nächsten Abgleich alle zehn Millionen Dateien und diese eine neue Datei geprüft.
Sinnvoller ist es, den jeweiligen Änderungszeitpunkt der Dateien zu prüfen und dann nur die Inhalte der Dateien zu durchsuchen, die seit der letzten Prüfung aktualisiert wurden. Diese Strategie kommt bei inkrementellen Sicherungen zum Einsatz. Dabei werden die Änderungszeitpunkte und andere mit den Dateien verknüpfte Metadaten geprüft. Aufgrund der CPU- und Festplattenzugriffe ist das allerdings ein ressourcenintensives Vorgehen. Für Filesysteme im zwei- oder dreistelligen Terabyte-Bereich wie sie bei Unternehmen nicht unüblich sind erweist sich die Methode als nicht besonders geeignet. Es müssen ja noch immer bei jeder einzelnen Datei die Metadaten vom letzten Zugriffszeitpunkt geprüft werden.
Am sinnvollsten ist ein echtes inkrementelles Scannen. Dabei muss nicht mehr das Änderungsdatum jeder Datei geprüft werden, um festzustellen, ob sie geändert wurde.
Stattdessen basiert diese optimierte Methode auf einer Liste geänderter Dateiobjekte, die vom Betriebssystem zur Verfügung gestellt wird. Oder anders gesagt: Wenn es möglich ist, jede Dateiveränderung nachzuverfolgen – und der Betriebssystemkernel hat Zugriff auf diese Informationen –, dann ist es möglich, eine Liste nur mit den zu prüfenden Dateiobjekten zu erstellen. Dieser Ansatz ist deutlich besser als die übliche (langwierige) Prüfung des gesamten Dateisystems.
Dazu muss man auf zentrale Metadaten im Dateisystem zugreifen können. Mindestens braucht man die Zeitstempel der Dateiänderungen; idealerweise stehen darüber hinaus weitere Daten im Zusammenhang mit den Benutzer- und Gruppenzugriffskennungen zur Verfügung.
Varonis-Lösung und Schlussfolgerungen
Gibt es eine Möglichkeit, die Daten mithilfe eines datenzentrierten Programms zur Risikoanalyse wirklich inkrementell zu scannen?
Das ist beispielsweise mit Systemen wie dem Varonis IDU Classification Framework möglich. Und so funktioniert’s:
Das Classification Framework basiert auf einer zentralen Varonis-Technologie, dem sogenannten Varonis Metadata Framework. Damit kann man auf die internen Metadaten des Betriebssystems zugreifen und sämtliche Ereignisse im Zusammenhang mit Dateien und Verzeichnissen nachverfolgen wie Erstellen, Aktualisieren, Kopieren, Verschieben und Löschen. Das Varonis Metadata Framework ist nicht einfach eine weitere Anwendung, die unter dem Betriebssystem läuft. Vielmehr lässt es sich hardwarenah in das Betriebssystem integrieren und verursacht daher keinen merklichen Rechenaufwand.
Auf Basis der Metadaten kann das Classification Framework dann einen schnellen inkrementellen Scanvorgang durchführen. Das Framework durchsucht nur einen kleinen Teil der Dateiobjekte, nämlich die geänderten oder neu erstellten. Diese Dateien können direkt geprüft werden, ohne dass das gesamte System durchsucht werden muss.
Anschließend nimmt das Varonis IDU Classification Framework eine schnelle Klassifizierung der Dateiinhalte vor, wobei es auf die Klassifizierungs-Engine von Varonis oder auf Klassifizierungsmetadaten von Drittanbietern wie RSA zurückgreift.
Das IDU Classification Framework ist auf die Verwendung mit DatAdvantage ausgelegt, einem Produkt, das anhand von Datei-Metadaten ermittelt, wer tatsächlich für sensible Daten verantwortlich ist.
Letztendlich können diese Data Owner, das sind diejenigen, die für die Inhalte zuständig sind und am besten wissen, wer darauf zugreifen sollte, dann angemessene Zugriffsberechtigungen vergeben und dadurch die Sicherheit der Daten verbessern.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.