Vergessen Sie den Perimeter

Angreifer haben schon längst Ihr Passwort

06.03.2019 von Thomas Ehrlich
Milliarden Zugangsdaten kursieren im Internet bzw. sind schwach gewählt. Wie kann man ihnen dann noch trauen?

Der weitaus überwiegenden Anzahl von Datenschutzverletzungen liegen schwache oder zuvor gestohlene Zugangsdaten zugrunde (der Data Breach Investigations Report 2017 von Verizon beziffert den Anteil auf 80 Prozent) - kein Wunder, bei über einer Milliarde online gespeicherter Datensätze und Zugangsdaten. Hacker hatten schon immer ein Faible für gestohlene Credentials, die sie später für Angriffe nutzen können und es scheint, als hätten sie heute mehr Auswahl denn je. Gerade in diesem Moment versuchen Tausende von Botnets und Malware-Varianten, mit den vorhandenen Passwörtern in IT-Systeme einzudringen. Die Chancen für sie stehen dabei nicht schlecht.

Bei über einer Milliarde online gespeicherter Datensätze und Zugangsdaten stehen die Chancen für Hacker nicht schlecht, in IT-Systeme einzudringen.
Foto: JARIRIYAWAT - shutterstock.com

Wir leben in der Zeit eines gewissen Daten-Paradoxons: Zum einen haben wir mehr Daten gespeichert als jemals zuvor, zum anderen wissen wir sehr wenig über diese Daten. Gartner geht sogar so weit, die unstrukturierten Daten (und diese machen rund 80 Prozent des Datenbestandes aus) als "dark data" zu bezeichnen. Mehr und mehr erkennen auch CISOs diese Daten als ihre größte Schwachstelle.

Was macht Dateien und E-Mails so anfällig?

Seit vielen Jahren sammelt das Verizon-Team auch Informationen darüber, wie lange es dauert, bis ein Unternehmen einen Verstoß entdeckt. Im Durchschnitt dauert dies Wochen oder gar Monate! Cyberkriminelle können in dieser Zeit die Unternehmenssysteme betreten, schlecht gesicherte Dateien finden und diese dann unbemerkt entfernen. Woran liegt das?

Stellen wir uns eine Bank vor, in der das Geld nicht im Tresor verwahrt wird, sondern im gesamten Gebäude verteilt deponiert wurde, also in dieser Schublade ein Geldbündel, auf jenem Fensterbrett ein weiteres und so weiter. Niemand achtet darauf, wer welche Geldbündel an sich nimmt oder welche Schublade öffnen kann. In diesem Szenario können Bankräuber einfach ins Gebäude spazieren und sich die Taschen füllen, zumal es auch keine Videoüberwachung und Alarmanlagen gibt. Entsprechend unbehelligt und unbemerkt können sie die Bank um einiges reicher wieder verlassen.

So sehr man auch sucht, so eine Bank wird man nirgends auf der Welt finden. Der Nutzen von Tresoren hat sich schon längst auch bei Banken herumgesprochen. Banken verwahren ihr Geld in Tresoren auf, schließen diese Tresore sorgfältig und überwachen sie. Dass dies sinnvoll ist, wird niemand bestreiten. Und doch verfahren die meisten Unternehmen mit ihren Dateien wie unsere Beispiel-Bank. Der Datenrisiko Report 2018 zeigt, dass durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind und in 41 Prozent der Unternehmen sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien - mit personenbezogenen Daten, Kreditkarten- oder auch medizinischen Informationen - haben.

Mitarbeiter verfügen also oftmals von Haus aus über Zugang zu sensiblen Daten, und in der Regel über mehr Zugriffsrechte, als sie für ihre Arbeit tatsächlich benötigen. Das bedeutet gleichzeitig, dass auch Hacker über diese zu weit gefassten Zugriffsrechte verfügen, wenn sie über entsprechende (gestohlene) Anmeldeinformationen verfügen.

Der Schutz des Perimeter reicht nicht mehr

Der Perimeterschutz schien eine geraume Zeit gut und ausreichend zu funktionieren. Diese Zeiten sind jedoch vorbei. Der Schritt hinter den Perimeter ist in aller Regel kein großes Hindernis mehr, sei es durch die routinemäßige Wiederverwendung von (erbeuteten) Anmeldedaten oder Low-Tech-Phishing-Techniken. Da die Daten nicht (mehr) ausschließlich in einem besonders geschützten Hochsicherheitsbereich liegen, ist dieser Outside-In-Ansatz einfach nicht mehr praktikabel.

Natürlich gehen einige Angreifer auch gewiefter vor, indem sie beispielsweise Zero-Day-Schwachstellen nutzen. Aber ganz egal, auf welchem Weg die Hacker versuchen, in die Unternehmens-Infrastrukturen einzudringen: Die Sicherheitsverantwortlichen sollten immer davon ausgehen, dass es Angreifer ins System schaffen. Und sich dann die Frage stellen, was sie ihnen in diesem Fall entgegensetzen können.

Zeit zum Umdenken

Also drehen wir den Ansatz einfach mal um und konzentrieren uns nicht auf die Außensicherung, sondern auf das, was geschützt werden soll. Und das sind in aller Regel die Daten. Bei diesem Inside-Out-Ansatz ist es erstens wichtig, den Schaden zu reduzieren, den ein kompromittiertes Konto verursachen kann. Wenn Sie bislang Ihre Ordner noch nicht nach zu weit gefassten Zugriffsrechten gescannt haben, sollten Sie sich auf eine unangenehme Überraschung gefasst machen. Wenn man davon ausgeht, dass jedes Mitarbeiterkonto gefährdet ist, wird es deutlich, weshalb es so wichtig ist, unnötigen Zugriff auf Dateien zu identifizieren und zu reduzieren.

Zweitens müssen die Daten beobachtet werden. So wie ein Kreditkartenunternehmen Betrug durch die Analyse von Transaktionsmustern erkennen kann, gibt es vergleichbare, auf KI und maschinellem Lernen basierende Lösungen, die Datei- und E-Mail-Systeme beobachten, um Missbrauchsmuster zu erkennen und Verstöße mit sensiblen Daten zu erkennen. Diese intelligente Analyse des Nutzerverhaltens (User Behavior Analytics/UBA) erkennt abnormales Verhalten und benachrichtigt die IT-Sicherheitsteams, wenn sich Hacker in den Netzwerken befinden oder wenn Mitarbeiterzugriffsmuster auf Missbrauch hinweisen. UBA kann Hacker nicht immer stoppen, bevor sie Schaden anrichten können, aber es kann die Menge der kompromittierten Daten deutlich begrenzen.

Datenminimierung und Datensparsamkeit

Und drittens sollten Sie sich mit dem Privacy-by-Design-Ansatz auseinandersetzen. Geprägt wurde der Begriff vor allem von Ann Cavoukian, der ehemaligen Informations- und Datenschutzbeauftragten von Ontario, Kanada. Privacy-by-Design spielt im Bereich der Datensicherheit eine immer größere Rolle und stellt auch eines der Grundprinzipien der DSGVO dar. Hierbei ist Minimierung ein Schlüsselbegriff: Es sollte nicht nur - wie erwähnt - der Personenkreis, der auf Daten zugreifen kann, minimiert werden, sondern bereits die ursprüngliche Datenspeicherung. Unternehmen sollen also nur die Daten erfassen und speichern, die tatsächlich notwendig sind.

Die dahintersteckende Logik ist ganz einfach: Je weniger Daten vorgehalten werden, desto geringer ist auch das Risiko, dass Hacker monetarisierbare Werte erbeuten. Schließlich ist auch die Aufbewahrungsdauer zu minimieren: Daten, die keinen Geschäftswert mehr haben, sollten archiviert oder gelöscht werden, denn für die falschen Personen können sie durchaus noch Wert haben.

Stellen wir uns einmal vor, die Hacker hinter dem Equifax-Breach oder dem Angriff auf den Demokratischen Wahlkongress wären früher aufgespürt worden, WannaCry hätte nur einige wenige Dateien verschlüsselt und NotPetya kaum Daten gelöscht, bevor die Malware entdeckt worden wäre - wäre das keine schöne Vorstellung? Vielleicht nicht so schön wie die der Bank, in der das Geld nur so herumliegt, aber immerhin.