Wie "In-the-dark"-Geschäftsmodelle funktionieren
Gemalto zum Verkauf von 200 Millionen Passwörtern gehackter Yahoo-Accounts
Yahoo bietet bereits zahlreiche wirksame Sicherheits-Tools an
Ein Kommentar von David Lin, Varonis
Es besteht keinerlei Zweifel daran, dass Datenlecks dieser Größenordnung uns als Angriff auf vertrauliche Daten auch in Zukunft erhalten bleiben. Auf den ersten Blick sieht es so aus, als hätten Kontodaten, Passwörter und Benutzereinstellungen kurzfristig eher wenig Wert. Das sieht über einen längeren Zeitraum betrachtet allerdings ganz anders aus. Dann nämlich, wenn Hacker Daten aus unterschiedlichen Quellen zusammenführen und so ein immer klareres Bild der Opferidentitäten entsteht. Umso mehr als die Art und Weise wie solche Daten aggregiert werden immer raffinierter wird.
Das aktuelle Yahoo-Datenleck ist ein gutes Beispiel dafür, wie eine einzige Datenschutzverletzung wieder und wieder Unternehmen und ihre Kunden in Schwierigkeiten bringen kann. Sinnfällig lässt sich zudem daran ablesen wie "In-the-dark"-Geschäftsmodelle typischerweise funktionieren. Nach einem Datenleck sind wir inzwischen an die reflexhaft anmutenden Statements von Unternehmen gewöhnt, dass die betroffenen Systeme isoliert werden konnten. Seriöse IT-Sicherheitsexperten wissen allerdings nur zu gut, wie immens schwierig es ist, das eigentliche Ziel und das ganze Ausmaß einer Datenschutzverletzung wirklich einschätzen und eingrenzen zu können. Üblicherweise reichen Monitoring-Tools und Logging-Daten dazu nämlich nicht aus.
Unsere Beobachtungen zeigen, dass es an den Basics hapert, wenn es darum geht Daten zu schützen und das gilt gleichermaßen für einzelne Benutzer wie für große Unternehmen. Weder die schiere Zahl von Datenschutzverletzungen wird abnehmen, noch der Umfang der davon betroffenen Daten. Das betrifft sowohl interne wie externe Schwachstellen.
Schließlich erheben Unternehmen immer noch mehr Daten von Kunden und Geschäftspartnern, was per se nicht gerade dazu beiträgt die Risiken einer Datenschutzverletzung zu senken. Kein Unternehmen der Welt kann sich 100 %ig gegen solche Vorkommnisse abschotten, wenn es produktiv bleiben will. Und ganz unabhängig davon wie viel Geld und Anstrengungen man in umfassende Sicherheitsmaßnahmen investiert: Eine narrensichere Lösung wird es nicht geben. Nicht, so lange das schwächste Glied in der Kette, die Personen sind, die auf Daten und Informationen zugreifen müssen, um ihren Job zu machen. Spear-Phishing-Angriffe, die sich gezielt auf gültige Anmeldedaten richten, kommen inzwischen nicht nur deutlich häufiger vor, sie sind auch deutlich intelligenter geworden. Administratoren und IT-Sicherheitsexperten sollten sich darauf einstellen, dass, wenn sie noch nicht Opfer einer Datenschutzverletzung geworden sind, es irgendwann in der Zukunft ganz sicher werden.
Geht man von der Prämisse aus, dass der äußere Schutzwall früher oder später nicht mehr ausreichen wird, ändert sich die Perspektive, unter der man Datensicherheit und Datenschutz betrachtet, grundsätzlich. Anstatt sehr viel Zeit und Energie in den Aufbau nach Außen gerichteter Schutzmechanismen zu stecken, sollten Unternehmen sich auf das konzentrieren, was wirklich schützenswert ist, nämlich ihre Daten. Dazu gehört es, Insider-Aktivitäten zu überwachen und zu kontrollieren.
Um ein altes Bild zu benutzen: Wenn man eine zuverlässige Schließanlage installiert hat, heißt das ja nicht, dass zusätzliche Kameras und Sensoren eine schlechte Idee sind. Das Zugriffsverhalten auf Daten zu überwachen und zu analysieren, bietet etliche Indikatoren, die es Unternehmen ermöglichen Hackeraktivitäten zu erkennen. Was dann in der Folge dazu beitragen kann, den potenziellen Schaden in Grenzen zu halten. Den Kopf in den Sand zu stecken á la "mich wird es schon nicht treffen" ist längst keine Option mehr.
Firmen müssen für den Fall der Fälle einen Plan in der Schublade haben, was genau passieren muss, wenn sie auf einen Datenschutzvorfall aufmerksam geworden sind (oder gemacht wurden). Mindestens sollten Unternehmen nach einem Datenschutzvorfall ermitteln, was genau gestohlen oder gelöscht worden ist und in welchem Umfang. Ebenso müssen sie dabei berücksichtigen, was der Vorfall für Kunden, Partner und Aktionäre bedeutet. Verschiedene Kategorien von Daten und Informationen unterliegen einem anderen Grad von Schutzwürdigkeit. Unternehmen müssen also noch etwas wissen. Nämlich, welche Arten von Daten sie eigentlich speichern, wo und wie und welchen Restriktionen diese Daten unterliegen. (Varonis: ra)
eingetragen: 18.08.16
Home & Newsletterlauf: 07.09.16
Varonis Systems: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.