IT-Notfallplan
Was Uber, Marriott und Co. falsch gemacht haben
Thomas Ehrlich ist Regional Director DACH bei Netskope. Davor verantwortete er als Country Manager DACH und Osteuropa das Wachstum und die Positionierung des Security-Anbieters Varonis in dieser Region.
Target
Eine Lektion in Sachen Erkennungszeit ist die Datenschutzverletzung beim US-amerikanischen Einzelhändler Target. Der Angriff wurde nach 16 Tagen erkannt. Obwohl das Unternehmen schnell reagierte, war es nicht schnell genug, um den Schaden deutlich zu begrenzen. Die gut zwei Wochen reichten den Angreifern aus, um Zahlungs- und Kontaktinformationen von 110 Millionen Menschen zu kompromittieren.
Insgesamt kostete der Angriff Target über 200 Millionen US-Dollar, wobei allein 20 Millionen an Schadensersatzforderungen bezahlt wurden. Zudem verzeichnete das Unternehmen deutliche Umsatzeinbußen und Kursverluste, Hunderte Mitarbeiter wurden in der Folge entlassen.
Möglicherweise hätte der Angriff durch eine intelligente Analyse des Nutzerverhaltens (UBA) vermieden werden können. Hierdurch werden abnormale Account-Aktivitäten erkannt und können automatisiert unterbunden werden. Zudem lässt sich durch automatisierte Sicherheitsaufgaben die Effizienz des Sicherheitsteams wesentlich steigern. Damit ist es in der Lage, gezielt nach Bedrohungen und Sicherheitslücken zu suchen und diese zu beheben, bevor Angreifer sie ausnutzen können.
Vor allem aber hätte Target den Datenzugriff von Drittanbietern und Partnern einschränken müssen. Diese hatten weitreichende Zugriffsrechte, sodass die Angreifer nur gestohlene Zugangsdaten von einem einzigen Partner benötigten, um auf zahlreiche vertrauliche Daten zugreifen zu können. Eine Reduzierung der Zugriffsrechte nach dem Need-to-know-Prinzip verringert deutlich das Risiko und den Umfang der potenziell gefährdeten Daten.
Schließlich hätte Target die Finanzdaten verschlüsseln und gesondert speichern sollen. Je mehr Barrieren die Angreifer überwinden müssen, desto länger sind sie in den Systemen. Die Sicherheitsteams haben damit länger Zeit, sie zu entdecken und den Angriff abzuwehren.
Zeit ist ein Schlüsselfaktor
Wie bei jedem Notfall ist auch bei Cyberangriffen und Datenpannen Zeit ein wesentlicher Faktor. Je schneller Angriffe und Sicherheitslücken erkannt werden, desto früher lassen sich Gegenmaßnahmen einleiten und desto geringer ist der Schaden. Im Ernstfall sollte keine Zeit damit verschwendet werden, sich Maßnahmen zu überlegen, vielmehr sollte man auf einen bereits vorliegenden Incident-Response-Plan zurückgreifen.