Der neue Datenrisiko-Report von Varonis Systems zeigt ein alarmierendes Ausmaß an Exposition interner und sensibler Dateien innerhalb von Unternehmen: Durchschnittlich sind 20 Prozent der Ordner – und damit oftmals personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – für alle Mitarbeiter zugänglich.
Mit der Varonis-Datensicherheits-Plattform (DSP) führte der IT-Security-Spezialist über 1.000 Risikobewertungen für bestehende und potenzielle Kunden in einem Teil ihres Dateisystems durch. Hierdurch wurden Risiken in Bezug auf Unternehmensdaten aufgedeckt und identifiziert, wo die sensiblen und juristisch relevanten Daten gespeichert und welche Bereiche besonderen Risiken ausgesetzt sind. Darauf basierend erfolgen individuelle Empfehlungen für die Verbesserung der Datensicherheit.
Die wesentlichen Erkenntnisse des Reports umfassen unter anderem:
- 236,5 Millionen Ordner mit insgesamt 2,8 Milliarden Dateien in einer Gesamtgröße von 3,79 Petabytes wurden analysiert.
- Hiervon waren 48.054.198 Ordner für „Global Access Groups“ bzw. Gruppen, die über einen allgemeinen Zugriff auf sämtliche Dateien verfügen, zugänglich.
- In 47 Prozent der Unternehmen hatte die Mehrzahl der Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien, in 22 Prozent der Unternehmen konnte die Mehrzahl der Mitarbeiter sogar auf über 12.000 sensible Dateien zugreifen.
- 71 Prozent der Ordner enthielten lange nicht genutzte Dateien (stale data) mit einem Volumen von fast 2 PByte.
- 24,4 Millionen Ordner verfügten über eindeutige Berechtigungen, was die Komplexität deutlich erhöht und die Umsetzung eines Privilegienmodells auf Basis der minimalen Rechtevergabe erschwert. Hierdurch wird zudem die Einhaltung gesetzlicher Vorgaben wie der #DSGVO behindert.
Umfangreiche Zugriffsrechte, ungeschützte sensible Dateien und lange nicht genutzte Dateien erhöhen das Risiko von Datenschutzverletzungen, Insiderbedrohungen und Ransomware-Attacken. Erst kürzlich gaben in einer Studie des #Ponemon Instituts 62 Prozent aller Mitarbeiter an, dass sie Zugang zu Dateien haben, die sie offensichtlich nicht sehen sollten. Ähnliche Ergebnisse zeigte ein Report von Forrester: 59 Prozent der befragten Unternehmen regeln den Zugang zu Dateien nicht nach dem „Need-to-Know“-Prinzip, um sensible Dateien zu schützen.
Die Risikobewertungen brachten zudem folgende Einzelfälle zutage:
- 35 Prozent der 86,4 Millionen Ordner einer Versicherung waren für alle Mitarbeiter zugänglich.
- Auf 80 Prozent von 245.575 sensiblen Dateien einer Bank konnte von allen Mitarbeitern zugegriffen werden.
- Eine andere Bank regelte den Zugang zu 11,6 Millionen Ordnern über eindeutige Berechtigungen, was die Bemühungen, die Zugriffsrechte zu reduzieren, deutlich erschwert.
„Bei Datenschutzverletzungen und #Ransomware-Angriffen sind Dateien ein beliebtes Angriffsziel, da sie einen hohen Unternehmenswert darstellen und im Allgemeinen anfällig für den Missbrauch durch Insider oder auch Außenseiter sind, welche die Perimeter überwunden haben. Während sich die meisten Unternehmen auf die Abwehr spezieller Angriffswege konzentrieren, bleiben die Daten – das eigentliche Ziel viele dieser Angriffe – oft zugänglich und unbeobachtet“, sagt Thomas Ehrlich, Country Manager DACH von Varonis. „Unternehmen nutzen unsere kostenlosen#Risikobewertungen, da sie den Wert ihrer Dateien und das Risiko, dass diese gestohlen oder missbraucht werden, kennen. Wir schätzen ihre Bemühungen, diesen ersten Schritt in Richtung Risikominimierung zu gehen.“
„Wir haben Dateien mit personenbezogenen Informationen an Orten gefunden, wo sie nicht sein sollten“, sagt etwa der Chief Security Officer einer Behörde bei einer Kundenbefragung von Techvalidate im Auftrag von Varonis. Im Rahmen dieser Umfrage gaben 68 Prozent an, dass sie die Risikobewertung durchgeführt haben, um bestehende Sicherheitsbedenken zu verifizieren, 95 Prozent sagten, dass ihnen die Bewertung bei der Identifizierung gefährdeter, sensibler und vertraulicher Daten geholfen hat und sie nun in der Lage sind, dieses Problem anzugehen und die Wahrscheinlichkeit einer Datenschutzverletzung zu reduzieren. Für 82 Prozent der Befragten wurde durch ihre Ergebnisse die Reduzierung allgemeiner Zugriffsrechte die Top-Priorität.
Der Datenrisiko-Report von Varonis zeigt die Ergebnisse von 80 zufällig ausgewählten Risikobewertungen für bestehende oder potenzielle Kunden im Zeitraum Januar bis Dezember 2016. Diese Unternehmen stammen aus 12 Ländern und 33 Branchen und beschäftigen zwischen 50 bis über 10.000 Mitarbeiter.
Den kompletten Datenrisiko-Report von V#aronis: www.varonis.com/data-risk-report-2017
#Netzpalaver
