Blog Datensicherheit

Was Phishing, nutzergenerierte Daten und das Datenrisiko verbindet

Vergangene Woche schrieb ich über die Bedeutung des Vortrags, den Bruce Schneider kürzlich bei einer Kryptografie-Konferenz in New York hielt. Kurz zusammengefasst: Advanced Persistent Threats (APTs) und Phishing...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Contents

    Vergangene Woche schrieb ich über die Bedeutung des Vortrags, den Bruce Schneider kürzlich bei einer Kryptografie-Konferenz in New York hielt.  Kurz zusammengefasst: Advanced Persistent Threats (APTs) und Phishing haben das Kräfteverhältnis im Bereich Datensicherheit gehörig durcheinandergebracht. Die Hacker (und Geheimdienste) haben die Nase vorn.  Wenn Sie den Blog von Varonis regelmäßig lesen, wird Sie das nicht weiter überraschen. Doch ich gebe zu, dass es beunruhigend ist, wenn führende Experten erklären, die Bedeutung von Kryptografie nähme ab. Aber man kann die aktuelle Situation auch anders sehen.

    Die folgende Analogie ist einem der Kommentare geschuldet, in denen mein Blogeintrag bei Hacker News diskutiert wurde.  Wir sind nicht der Ansicht, dass Türschlösser der Vergangenheit angehören, nur weil sie von jedem mit den nötigen Mitteln und etwas Übung aufgebrochen werden können.  Ebenso wie es qualitativ hochwertigere Schlösser und Riegel gibt, so existieren auch wirkungsvolle kryptografische und andere Sicherheitsmaßnahmen, die Sie standardmäßig verwenden sollten, wie Schneider betont.

    Eine Einladung zum Phishing

    Sie sollten in jedem Fall für mehr Sicherheit und eine bessere Verschlüsselung und Authentifizierung sorgen. Wie Schneider allerdings betonte, besteht der Trick der Hacker genau darin, Sicherheitsbarrieren zu umgehen. Und beim Phishing müssen die Cyberdiebe nicht einmal das Schloss aufbrechen, sondern werden förmlich dazu eingeladen, geradewegs durch die offene Tür zu spazieren.

    Laut dem Data Breach Investigations Report (DBIR), der jährlich veröffentlichten Hacking-Studie von Verizon und bevorzugten Quelle für Hacking-Statistiken in diesem Blog, haben Angriffe, bei denen die Opfer durch Tricks zur Preisgabe von Informationen veranlasst wurden (Social Engineering), 2012 um 52 % zugenommen. Phishing ist die meistverbreitete Variante des Social Engineering. Pretexting, d. h. die Erschleichung von Daten unter falschen Vorgaben, und herkömmliche Bestechungen kommen längst nicht so häufig vor.

    Als Sicherheitsexperte im Unternehmen müssen Sie sich mit der unangenehmen Wahrheit abfinden, dass eine einzige Phishing-E‑Mail oder ‑SMS ausreichen kann, um einen Mitarbeiter zu täuschen oder dazu zu bewegen, auf einen Link zu klicken und APT-Nutzdaten herunterzuladen. Mit anderen Worten: Die Hacker werden ins System eindringen. Und was dann?

    Ist der APT erst aktiviert und nutzt die Anmeldeinformationen des Opfers, so durchsuchen die Cyberdiebe die Dateisysteme per Fernzugriff nach Daten, die sich leicht zu Geld machen lassen: Kreditkarten, Bankkonten, Sozialversicherungsnummern und sonstige personenbezogene Informationen.

    Die Urknalltheorie im Bereich der nutzergenerierten Daten

    An diesem Punkt ist es äußerst wichtig, dass Sie verstehen, wie die Daten sich im Dateisystem verbreiten. Natürlich speichern die meisten Mitarbeiter nicht absichtlich Millionen von Zahlen im Klartext in leicht zugänglichen Ordnern. Der entscheidende Punkt ist, dass unstrukturierte, von Mitarbeitern generierte Daten ihren eigenen Lebenszyklus haben, der unglücklicherweise zu genau diesem vorprogrammierten Szenario führen kann.

    Textbasierte Kreditkarten‑ und andere Kundendaten stammen häufig aus zentralisierten Datenbanken – denken Sie nur an die Datensätze eines ERP-Systems, die von Mitarbeitern in Form von lesbaren Dateien und Arbeitsblättern exportiert oder heruntergeladen werden.

    Dann kommt der kollaborative Aspekt nutzergenerierter Daten zum Tragen: Die Wissensarbeiter tauschen ihre Ideen und Analysen aus und erstellen darauf aufbauend immer mehr neue Inhalte, die häufig Hinweise auf die lesbaren Versionen der Originaldatensätze und Auszüge daraus enthalten.  So wandern Präsentationen und andere Dokumente mit personenbezogenen Informationen auf den Dateiservern umher und es ist nur eine Frage der Zeit, bis Inhalte mit solchen Informationen beispielsweise in einem Ordner landen, auf den jeder zugreifen kann.

    Da Hacker mithilfe gut getarnter APTs oft monatelang unentdeckt Dateisysteme durchsuchen, werden sie bei ihrer Schatzsuche mit hoher Wahrscheinlichkeit fündig.

    Umgang mit Phishing

    Die gute Nachricht: Angestellte können lernen, Phishing zu erkennen.  Es gibt einige grundlegende Informationen und Tipps, die Sie Ihren Mitarbeitern und IT‑Verantwortlichen an die Hand geben sollten:

    • Klicken Sie in der Arbeit niemals auf Links in E‑Mails, die angeblich von einer Bank, einer Fluggesellschaft, einem Lieferservice oder einer Kreditkartengesellschaft stammen.
    • Extrahieren Sie niemals ZIP-Dateien, die Sie von externen Absendern erhalten, insbesondere wenn es sich dabei um die oben genannten Arten von Unternehmen handelt.
    • Die Mitarbeiter sollten darin geschult werden, die Domänennamen zu erkennen, die in E‑Mail-Adressen oder im HTML-Code von Websites enthalten sind.  Häufig tarnen Hacker die Domäne der obersten Ebene, doch wenn man die E‑Mail-Kopfzeilen oder den zugrunde liegenden URL in der Statusleiste des Browsers anzeigt, bemerkt man schnell, dass der Domänenname nicht mit dem angegebenen Unternehmensnamen übereinstimmt.
    • Einige Unternehmen simulieren sogar Phishing-Angriffe, um zu testen, wie gefährdet ihre Mitarbeiter sind – eine Idee, die Sie aufgreifen könnten.

    Die IT‑Abteilung spielt ebenfalls eine wichtige Rolle bei der Reduzierung oder Löschung personenbezogener Informationen in Ordnern und Verzeichnissen mit zu weit gefassten Berechtigungen.  Bedenken Sie, dass APTs im Allgemeinen keine erhöhten Berechtigungen benötigen, um personenbezogene Informationen und andere wertvolle Daten zu finden und aus dem Unternehmen „herauszuschleusen“. Das Ziel der IT‑Abteilung sollte darin bestehen, zu erkennen, welche vertraulichen Daten aus zugriffsbeschränkten Bereichen der Dateisysteme nach außen gelangt sind. Einige Tipps zur Risikominimierung bei Sicherheitsverletzungen:

    • Das regelmäßige Durchsuchen des Dateisystems nach personenbezogenen Informationen außerhalb der Standardspeicherorte ist eine gute Schutzmaßnahme. Die Definition personenbezogener Informationen unterscheidet sich von Branche zu Branche – vor allem im medizinischen und im Finanzbereich gelten spezielle Regelungen –, daher sind bei der Entwicklung der Suchmuster gesetzliche Definitionen und branchenspezifische Vorschriften zu beachten.
    • Entscheidend ist auch, dass die Data Owner in Arbeitsabläufe zur Entscheidung über Zugriffsgenehmigungen für neue Benutzer eingebunden sind und regelmäßig überprüfen, welche Berechtigungen von bestehenden Benutzern nicht mehr benötigt werden und entzogen werden können. Das heißt also, dass die Zahl der Benutzer, die auf vertrauliche Daten zugreifen können, minimiert werden muss. Dadurch verringert sich die Wahrscheinlichkeit, dass ein beliebiger Benutzer, der zum Phishing-Opfer wird, Zugriff auf personenbezogene Daten hat.

    Bildnachweis: Renepick

    The post Was Phishing, nutzergenerierte Daten und das Datenrisiko verbindet appeared first on Varonis Deutsch.

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    unternehmensweite-suche:-die-verbindung-von-daten-und-wissen,-teil-1
    Unternehmensweite Suche: die Verbindung von Daten und Wissen, Teil 1
    unternehmensweite-suche:-die-verbindung-von-daten-und-wissen,-teil-1
    Michael Buckbee
    30. März 2015
    Wir vom Blog-Team freuen uns natürlich sehr über die Veröffentlichung der GA-Version von DatAnswers, unserer Lösung für unternehmensweite Suche. Die Kurzbeschreibung von DatAnswers: eine Google-ähnliche Suche für Datei- und SharePoint-Daten....
    unternehmensweite-suche:-daten-und-wissen-gehören-zusammen,-teil-2
    Unternehmensweite Suche: Daten und Wissen gehören zusammen, Teil 2
    unternehmensweite-suche:-daten-und-wissen-gehören-zusammen,-teil-2
    Michael Buckbee
    7. April 2015
    Vielleicht verwenden Sie häufig die automatischen Suchvorschläge in Google (oder die Ihrer bevorzugten Suchmaschine), um Fakten zu bestätigen, gegebenenfalls ohne überhaupt die Suchergebnisse anzuzeigen. Sie sind nicht sicher, wie man...
    kuppingercole-bescheinigt -varonis-herausragende-dash--board-unterstützung-und-hochsichere-m365-kompatibilität
    KuppingerCole bescheinigt  Varonis herausragende Dash- board Unterstützung und hochsichere M365-Kompatibilität
    kuppingercole-bescheinigt -varonis-herausragende-dash--board-unterstützung-und-hochsichere-m365-kompatibilität
    Klaus Nemelka
    14. März 2022
    Die Analysten von KuppingerCole haben in ihrem aktuellen Market Compass Data Governance Platforms die wichtigsten Anbieter untersucht und bescheinigen Varonis gerade in diesem Punkt eine herausragende Position
    soziale-aspekte-und-datenschutz-beim-thema-„unternehmensweite-suche“
    Soziale Aspekte und Datenschutz beim Thema „unternehmensweite Suche“
    soziale-aspekte-und-datenschutz-beim-thema-„unternehmensweite-suche“
    Michael Buckbee
    5. April 2014
    von Brian Vecci In der IT-Sicherheitswelt ist Komplexität gefährlich. Je schwieriger es ist, etwas zu verstehen, desto schwieriger ist es auch, es zu schützen. SharePoint fällt genau in diese Kategorie....