Datensicherheit und die Gefahr von innen

Die eigenen Mitarbeiter verursachen nicht nur die hartnäckigsten und kostspieligsten Datenverluste, sondern leider auch die häufigsten. Doch in Zeiten mobiler Nutzer und Cloud-Anwendungen braucht es eine neue Klasse technischer Werkzeuge, um Datenverlust zu verhindern.

So traurig es auch sein mag: Die Gefahr von Datenverlust durch die eigenen Mitarbeiter lässt sich überhaupt nicht kleinreden. Laut einer Erhebung von IBM gehen stolze 60 Prozent aller Datenpannen gehen aufs Konto von Insidern. Noch beunruhigender: Nur bei einem von vier Fällen handelt es sich um einen unbeabsichtigten Vorfall, bei den anderen drei war Absicht dahinter. 

Was die Disziplin, Aufmerksamkeit und gute Absicht der Mitarbeiter nicht leisten kann, muss die Technik auffangen.

Die Folgeschäden von Datendiebstahl können beträchtlich sein. Nicht nur die Tatsache, dass Daten in falsche Hände geraten, ist problematisch. Jede Datenpanne hat das Potenzial, dass Behörden darin eine Verletzung der Sorgfaltspflicht erkennen und Bußgelder verhängen, vom Imageschaden und den resultierenden Umsatzeinbußen gar nicht zu sprechen. Laut IBM bewegt sich die Schadensumme in den USA bei 3 bis 4 Millionen Dollar pro Vorfall.

Wer hält sich schon an Richtlinien?

Wie lässt sich diese Gefahr abwenden? Die Sicherung der Daten vor internen Gefahren ist eine Wissenschaft für sich, und sie ist nicht gerade einfach. „Eine der Herausforderungen besteht darin, interne Vorfälle früh genug zu erkennen“, sagt Michael Grützmacher, Spezialist für Datensicherheit bei IBM Security. „Im Schnitt vergehen 197 Tage, bis eine Panne entdeckt wird. Eine Herausforderung ist außerdem, dass Richtlinien von den Mitarbeitern nicht eingehalten werden und sich oft nicht durchsetzen lassen.“ Gerade letzteres ist für Unternehmen besonders problematisch, denn sie stehen letztendlich gegenüber Behörden und Geschäftspartnern in der Haftung, wenn Mitarbeiter Schäden verursachen. 

Was die Disziplin, Aufmerksamkeit und gute Absicht der einzelnen Mitarbeiter*innen nicht einhalten kann, muss deshalb mit technischen Mitteln aufgefangen werden. Dafür ist ein Bündel von Tools notwendig, das in der Summe meist aus folgenden Komponenten besteht:
→ Verwaltung der Nutzer und ihrer jeweiligen Rechte,
→ Klassifizierung der Daten, um die Speicherorte sensibler Informationen zu identifizieren,
→ Ein Regelwerk für den Datenzugriff (wer darf auf welche Daten zugreifen und unter welchen Bedingungen),
→ Überprüfung der Rechtmäßigkeit der Datenzugriffe,
→ Überwachung der Datenzugriffe, um suspektes Verhalten zu erkennen,
→ Alarm- und Präventionsmechanismen, wenn tatsächlich Gefahr erkannt wird.

Wissen, wo sensible Daten lagern

Wie diese Komponenten bzw. Aufgaben auf die einzelnen Tools verteilt sind und welches Gewicht ihnen jeweils bemessen wird, ist bei den einzelnen Herstellern unterschiedlich. Bei IBM beispielsweise regelt ein Tool namens IGI (Identity Governance & Intelligence) die Verwaltung der Nutzer und ihrer Berechtigungen sowie die Einhaltung gesetzlicher Vorgaben, während Guardium den Zugriff auf die Daten überwacht und den Zugriff verhindert, wenn etwas nicht mit rechten Dingen zugeht. Doch erst das Zusammenspiel dieser Tools sorgt dafür, dass Regeln eingehalten werden, die zuvor in einem entsprechenden Regelwerk (IBM nennt es Playbook) festgehalten wurden, oder generell suspektes Verhalten bemerkt wird. 

Auf die Gefahr von innen spezialisiert hat sich auch der US-Hersteller Varonis. Ein wesentliches Element seiner Suite für Datensicherheit ist die Klassifizierung von Unternehmensdaten, die am Anfang jeder Implementation steht. Zweck der Übung ist herauszufinden, wo sich überall sensible Inhalte befinden und wer darauf zugreifen kann. Die Data Classification Engine scannt zu diesem Zweck das gesamte Netzwerk und spürt sensible Daten auf. Laut Account Manager Alexander Steuke sind seine Kunden nach der ersten Klassifizierung oft überrascht darüber, wo überall Passwörter, persönliche Informationen, Gesundheitsdaten und andere Daten ungeschützt lagern, wer alles darauf Zugriff hat und über welche Kanäle sie hin- und hergeschickt werden. 

Wer macht was, wann und warum? 

Firmen sind überrascht, wer alles Zugriff auf sensible Daten hat und wie er/sie damit umgeht.

Die EU-Datenschutzgrundverordnung (DSGVO) hat endgültig dafür gesorgt, dass Datenklassifizierung ganz oben auf die Agenda der Unternehmen gerückt ist. Diese ist jedoch bei der Varonis-Plattform erst der Anfang. Durch die Auswertung verschiedener Arten von Metadaten wie Benutzer- und Gruppenberechtigungen und deren Aktivitäten mit diesen Daten ist das System in der Lage zu identifizieren, wer grundsätzlich Zugang zu bestimmte Daten hat, wer wann darauf zugegriffen hat und in welchem Kontext das geschah. Identifiziert wird auch, wer aufgrund seiner Rolle keinen Zugriff auf bestimmte Daten haben sollte und wo diese genau unzulässig exponiert sind. Die Einsichten dienen dazu, die Nutzerstrukturen und -berechtigungen aufzuräumen und das endgültige Regelwerk zusammenzustellen.  

Ist das System implementiert, hält es permanent fest, wer wann welche Datei erstellt, modifiziert, gelöscht, kopiert, verschoben oder einfach nur aufgerufen hat. Auf dieser Grundlage werden nach bestimmten Kriterien Alarme erzeugt und Handlungsempfehlungen für den Admin ausgesprochen. Das System orientiert sich dabei einerseits am Regelwerk, in dem der Normalbetrieb abgebildet ist, andererseits dienen zusätzliche Informationen über mögliche Angriffsmuster dazu, verdächtiges Verhalten einfacher zu erkennen. 

Die Cloud macht alles noch komplizierter

Die Nutzung von Cloud-basierten Anwendungen und Speicherorten hat der Datensicherheit eine zusätzliche Dimension verliehen, denn dadurch hat das Firmennetz seine festen Grenzen verloren und braucht deshalb eine grundsätzlich andere Sicherheitsarchitektur. Letztere braucht allerdings auch andere Sicherheitsmechanismen und Tools. 

Der intelligente Türsteher schaut auch drinnen nach dem Rechten.

Auf die Absicherung von Cloud-Infrastrukturen haben sich Unternehmen wie Zscaler spezialisiert. Zscaler löst diese Aufgabe mitunter durch das Vorschalten des Zscaler Internet Access (ZIA), eines eigenen Cloud-Dienstes, der die Rolle eines intelligenten Türstehers spielt und die Nutzung der Cloud-Anwendungen überwacht. Zu den vielen ZIA-Komponenten gehört beispielsweise Cloud DLP (für Data Loss Prevention), die den gesamten (auch den verschlüsselten) Datenverkehr zu den Cloud-Apps überwacht. 

Zu den Bestandteilen der Cloud DLP gehört auch ein Mechanismus namens Exact Data Match (EDM), der sensiblen Daten eine Art Fingerabdruck vergibt und in der Zscaler-Cloud gespeichert wird. Damit lassen sich verlorene Daten wieder aufspüren und die sogenannte Exfiltration, der automatische Transfer sensibler Daten durch Schadsoftware, frühzeitig erkennen und verhindern.

Cloud-basierte Sicherheit wird Mainstream

Wachsender Beliebtheit erfreuen sich in den letzten Jahren auch Cloud Access Security Broker (CASB). Dabei handelt es sich um lokal installierte oder als Cloud-Service erhältliche Software, die ähnlich wie Zscaler Internet Access zwischen Nutzern und Cloud-Anwendungen geschaltet wird und deren Aktivität überwacht. Administratoren werden dadurch bei potenziell gefährlichen Aktionen benachrichtigt, außerdem wird die Einhaltung von Sicherheitsrichtlinien überwacht und die automatische Installation von Schadsoftware verhindert. Zu den führenden CASB-Anbietern gehören Security-Schwergewichte wie Symantec, McAfee und Microsoft, aber auch Spezialisten wie Netskope, Bitglass oder Proofpoint. 

Security-Schwergewichte schießen sich langsam auf die Cloud ein.

Auch die Betreiber von Cloud-Anwendungen sind darum bemüht, für mehr Datensicherheit zu sorgen. Box beispielsweise, ein Anbieter von Cloud-Speicher, der gerne von großen Unternehmen genutzt wird, hat soeben die Verfügbarkeit von Box Shield angekündigt. Das Security-Tool nutzt maschinelles Lernen und kontextuelle Informationen über seine Kunden, um Anomalien bei der Datennutzung zu erkennen. Zudem hat es eine Reihe von Sicherheitskontrollen rund um die Inhalte platziert, die potenzielle Datenlecks identifizieren sollen. Wenn ein Mitarbeiter beispielsweise versehentlich externe Benutzer in einen vertraulichen Ordner einlädt, kann Shield dies direkt verhindern. Box Shield lässt sich erfreulicherweise auch in CASB-Lösungen integrieren.

Das könnte Sie auch interessieren

Was meinen Sie dazu?

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back to top button
Close