Was Phishing, nutzergenerierte Daten und das Datenrisiko verbindet

Vergangene Woche schrieb ich über die Bedeutung des Vortrags, den Bruce Schneider kürzlich bei einer Kryptografie-Konferenz in New York hielt.  Kurz zusammengefasst: Advanced Persistent Threats (APTs) und Phishing haben das Kräfteverhältnis im Bereich Datensicherheit gehörig durcheinandergebracht. Die Hacker (und Geheimdienste) haben die Nase vorn.  Wenn Sie den Blog von Varonis regelmäßig lesen, wird Sie das nicht weiter überraschen. Doch ich gebe zu, dass es beunruhigend ist, wenn führende Experten erklären, die Bedeutung von Kryptografie nähme ab. Aber man kann die aktuelle Situation auch anders sehen.

Die folgende Analogie ist einem der Kommentare geschuldet, in denen mein Blogeintrag bei Hacker News diskutiert wurde.  Wir sind nicht der Ansicht, dass Türschlösser der Vergangenheit angehören, nur weil sie von jedem mit den nötigen Mitteln und etwas Übung aufgebrochen werden können.  Ebenso wie es qualitativ hochwertigere Schlösser und Riegel gibt, so existieren auch wirkungsvolle kryptografische und andere Sicherheitsmaßnahmen, die Sie standardmäßig verwenden sollten, wie Schneider betont.

Eine Einladung zum Phishing

Sie sollten in jedem Fall für mehr Sicherheit und eine bessere Verschlüsselung und Authentifizierung sorgen. Wie Schneider allerdings betonte, besteht der Trick der Hacker genau darin, Sicherheitsbarrieren zu umgehen. Und beim Phishing müssen die Cyberdiebe nicht einmal das Schloss aufbrechen, sondern werden förmlich dazu eingeladen, geradewegs durch die offene Tür zu spazieren.

Laut dem Data Breach Investigations Report (DBIR), der jährlich veröffentlichten Hacking-Studie von Verizon und bevorzugten Quelle für Hacking-Statistiken in diesem Blog, haben Angriffe, bei denen die Opfer durch Tricks zur Preisgabe von Informationen veranlasst wurden (Social Engineering), 2012 um 52 % zugenommen. Phishing ist die meistverbreitete Variante des Social Engineering. Pretexting, d. h. die Erschleichung von Daten unter falschen Vorgaben, und herkömmliche Bestechungen kommen längst nicht so häufig vor.

Als Sicherheitsexperte im Unternehmen müssen Sie sich mit der unangenehmen Wahrheit abfinden, dass eine einzige Phishing-E‑Mail oder ‑SMS ausreichen kann, um einen Mitarbeiter zu täuschen oder dazu zu bewegen, auf einen Link zu klicken und APT-Nutzdaten herunterzuladen. Mit anderen Worten: Die Hacker werden ins System eindringen. Und was dann?

Ist der APT erst aktiviert und nutzt die Anmeldeinformationen des Opfers, so durchsuchen die Cyberdiebe die Dateisysteme per Fernzugriff nach Daten, die sich leicht zu Geld machen lassen: Kreditkarten, Bankkonten, Sozialversicherungsnummern und sonstige personenbezogene Informationen.

Die Urknalltheorie im Bereich der nutzergenerierten Daten

An diesem Punkt ist es äußerst wichtig, dass Sie verstehen, wie die Daten sich im Dateisystem verbreiten. Natürlich speichern die meisten Mitarbeiter nicht absichtlich Millionen von Zahlen im Klartext in leicht zugänglichen Ordnern. Der entscheidende Punkt ist, dass unstrukturierte, von Mitarbeitern generierte Daten ihren eigenen Lebenszyklus haben, der unglücklicherweise zu genau diesem vorprogrammierten Szenario führen kann.

Textbasierte Kreditkarten‑ und andere Kundendaten stammen häufig aus zentralisierten Datenbanken – denken Sie nur an die Datensätze eines ERP-Systems, die von Mitarbeitern in Form von lesbaren Dateien und Arbeitsblättern exportiert oder heruntergeladen werden.

Dann kommt der kollaborative Aspekt nutzergenerierter Daten zum Tragen: Die Wissensarbeiter tauschen ihre Ideen und Analysen aus und erstellen darauf aufbauend immer mehr neue Inhalte, die häufig Hinweise auf die lesbaren Versionen der Originaldatensätze und Auszüge daraus enthalten.  So wandern Präsentationen und andere Dokumente mit personenbezogenen Informationen auf den Dateiservern umher und es ist nur eine Frage der Zeit, bis Inhalte mit solchen Informationen beispielsweise in einem Ordner landen, auf den jeder zugreifen kann.

Da Hacker mithilfe gut getarnter APTs oft monatelang unentdeckt Dateisysteme durchsuchen, werden sie bei ihrer Schatzsuche mit hoher Wahrscheinlichkeit fündig.

Umgang mit Phishing

Die gute Nachricht: Angestellte können lernen, Phishing zu erkennen.  Es gibt einige grundlegende Informationen und Tipps, die Sie Ihren Mitarbeitern und IT‑Verantwortlichen an die Hand geben sollten:

• Klicken Sie in der Arbeit niemals auf Links in E‑Mails, die angeblich von einer Bank, einer Fluggesellschaft, einem Lieferservice oder einer Kreditkartengesellschaft stammen.
• Extrahieren Sie niemals ZIP-Dateien, die Sie von externen Absendern erhalten, insbesondere wenn es sich dabei um die oben genannten Arten von Unternehmen handelt.
• Die Mitarbeiter sollten darin geschult werden, die Domänennamen zu erkennen, die in E‑Mail-Adressen oder im HTML-Code von Websites enthalten sind.  Häufig tarnen Hacker die Domäne der obersten Ebene, doch wenn man die E‑Mail-Kopfzeilen oder den zugrunde liegenden URL in der Statusleiste des Browsers anzeigt, bemerkt man schnell, dass der Domänenname nicht mit dem angegebenen Unternehmensnamen übereinstimmt.
• Einige Unternehmen simulieren sogar Phishing-Angriffe, um zu testen, wie gefährdet ihre Mitarbeiter sind – eine Idee, die Sie aufgreifen könnten.

Die IT‑Abteilung spielt ebenfalls eine wichtige Rolle bei der Reduzierung oder Löschung personenbezogener Informationen in Ordnern und Verzeichnissen mit zu weit gefassten Berechtigungen.  Bedenken Sie, dass APTs im Allgemeinen keine erhöhten Berechtigungen benötigen, um personenbezogene Informationen und andere wertvolle Daten zu finden und aus dem Unternehmen „herauszuschleusen“. Das Ziel der IT‑Abteilung sollte darin bestehen, zu erkennen, welche vertraulichen Daten aus zugriffsbeschränkten Bereichen der Dateisysteme nach außen gelangt sind. Einige Tipps zur Risikominimierung bei Sicherheitsverletzungen:

• Das regelmäßige Durchsuchen des Dateisystems nach personenbezogenen Informationen außerhalb der Standardspeicherorte ist eine gute Schutzmaßnahme. Die Definition personenbezogener Informationen unterscheidet sich von Branche zu Branche – vor allem im medizinischen und im Finanzbereich gelten spezielle Regelungen –, daher sind bei der Entwicklung der Suchmuster gesetzliche Definitionen und branchenspezifische Vorschriften zu beachten.
• Entscheidend ist auch, dass die Data Owner in Arbeitsabläufe zur Entscheidung über Zugriffsgenehmigungen für neue Benutzer eingebunden sind und regelmäßig überprüfen, welche Berechtigungen von bestehenden Benutzern nicht mehr benötigt werden und entzogen werden können. Das heißt also, dass die Zahl der Benutzer, die auf vertrauliche Daten zugreifen können, minimiert werden muss. Dadurch verringert sich die Wahrscheinlichkeit, dass ein beliebiger Benutzer, der zum Phishing-Opfer wird, Zugriff auf personenbezogene Daten hat.

Bildnachweis: Renepick

The post Was Phishing, nutzergenerierte Daten und das Datenrisiko verbindet appeared first on Varonis Deutsch.