Die Panama-Papers: Werden solche „Datenlecks“ zur neuen Normalität?

Ein kleines Gedankenspiel: Stellen Sie sich vor, das Ausrauben von Banken wäre derart einfach, dass die Schlagzeilen sich lediglich damit befassen, wie viele Steuern die Diebe eigentlich hinterziehen; von Yaki Faitelson *)

Yaki Faitelson

Yaki Faitelson


Cyberkriminalität ist inzwischen allgegenwärtig und zur neuen Normalität geworden. Mittelbar hat das auch die Berichterstattung zu den Panama Papers beeinflusst. Bezeichnenderweise ging diese kaum darauf ein, dass es der Kanzlei Mossack Fonseca offensichtlich nicht gelungen ist, die wichtigsten, vertrauliche Vermögenswerte, Dateien und E-Mails zu schützen, die ihre Kunden und deren Transaktionen identifizieren. Eine neue Woche, ein weiterer schwerwiegender Verstoß.

Aus einer aktuellen Untersuchung von PricewaterhouseCoopers geht hervor, dass Cyberkriminalität auf dem besten Weg ist, den ersten Platz bei Wirtschaftskriminalität gegen US-Unternehmen einzunehmen und dabei die "jahrhundertealte Veruntreuung" und den quasi banalen Diebstahl zu überflügeln. Die PwC-Studie hat auch ergeben, dass lediglich 40 Prozent der amerikanischen Vorstände mehr als einmal pro Jahr abfragen, ob und wie ihr Unternehmen auf die Veränderungen im Cyberspace vorbereitet ist.  Für mich weist das auf ein Versäumnis von Regierung und Geschäftsführungen gleichermaßen hin.

Was in den letzten Wochen in Sachen Panama Papers passiert ist, halte ich allerdings für grundsätzlich relevant. Und zwar für sämtliche Unternehmen unabhängig von ihrer Größe. Dateien und E-Mails sind sozusagen die digitalen Protokolle aller unserer Aktivitäten. Diese sogenannten unstrukturierten Daten sind in aller Regel die Art von Vermögenswerten von denen ein Unternehmen die meisten hat, über die es aber im Umkehrschluss am wenigsten weiß.

Wir haben uns die Mühe gemacht Risikobewertungen zu analysieren, die wir erst vor kurzem bei etlichen Unternehmen durchgeführt haben. Ergebnis: mehr als 25 Prozent aller geteilten Ordner in einem durchschnittlichen Unternehmen waren in keiner Weise zugriffsbeschränkt. Die Daten folglich sämtlichen Mitarbeitern frei zugänglich. Wir wissen aber inzwischen, dass nahezu alle Datenschutzverstöße über kompromittierte Konten von Insidern erfolgen. Dabei spielt es keine Rolle ob es sich um einen externen Angreifer handelt, einen eigenen Mitarbeiter mit wenig ehrenhaften Absichten oder ob der betreffende Mitarbeiter nur versehentlich eine E-Mail mit einem verseuchten Malware-Anhang geöffnet hat.

E-Mail-Server sind in dieser Hinsicht eine wahre Fundgrube: Mit die wichtigsten und unternehmerisch wertvollsten Informationen sind hier gespeichert. Wenn Sie ein Unternehmen ausspionieren wollen, ist das Postfach des CEOs oder Geschäftsführers ein ausgezeichneter Ansatzpunkt, um einen Überblick zu bekommen. Gerade in Verbindung mit unserer Kommunikation über E-Mail besteht eine der größten Sicherheitsherausforderungen darin, dass Postfächer mit wichtigen Informationen nur unzureichend geschützt sind. Das liegt vor allem daran, dass Geschäftsführer (und nicht selten Partner von Anwaltskanzleien...) beispielsweise mit Assistenten und anderen Personen zusammenarbeiten, die ebenfalls auf diese Postfächer zugreifen dürfen. Nicht selten gibt es einen oder mehrere Administratoren, denen das sogar langfristig gestattet wird. Was und wie in den Postfächern an Aktivitäten vor sich geht wird nur sehr selten protokolliert und analysiert. Das erschwert es einen Missbrauch von Daten rechtzeitig zu erkennen oder den Diebstahl zu erschweren.

Das omnipräsente Microsoft Exchange hält "öffentliche Ordner" bereit, in denen sich große Mengen sensibler Informationen ansammeln. Unternehmen schenken diesen Ordnern wenig Beachtung. Wenn das Konto eines Assistenten über einen Phishing-Angriff oder einen Passwortdiebstahl kompromittiert wird, oder der Assistent selbst unlautere Absichten hegt, lassen sich die Postfachinhalte der Geschäftsführung problemlos und unerkannt abziehen.

Als die Panama Papers enthüllt wurden, hat Mossack Fonseca in einer Aussage auf eine "unbefugte undichte Stelle" verwiesen. Es wurde weithin angenommen, es habe sich um einen externen Angriff gehandelt. Ungeachtet dessen wie zweideutig dieser Begriff ist und wie unwahrscheinlich es tatsächlich ist, dass 2,6 Terabyte an Daten unbemerkt über das Internet herausgeschleust werden. Derartige Datenmengen von einem E-Mail-Server zu extrahieren und über das Internet heraus zu schleusen ist in etwa so als wolle man einen See mit einem Strohhalm leeren. Wahrscheinlicher müsste es doch gewesen sein, dass der Zugriff eines Insiders eine wesentliche Rolle gespielt hat und genau das nicht verhindert werden konnte.

Für die US-Version des "Global Economic Crime Survey 2016" befragte PwC mehr als 6.000 Personen in 328 verschiedenen Organisationen, von denen die meisten Führungskräfte in börsennotierten Unternehmen aller Branchen waren. 45 Prozent gaben dabei an, in den letzten zwei Jahren von Cyberkriminalität betroffen gewesen zu sein; nur knapp unter den 55 Prozent, die Opfer von Veruntreuung wurden (die zunehmend offensichtlichere Überschneidung zwischen diesen beiden häufigsten Antworten wurde nicht erfasst).

Die finanziellen Folgen sind bei der Auswertung von Cyberkriminalität häufig nur schwer zu beziffern. PwC hat allerdings mit einer vergleichsweise hohen Anzahl von Geschäftsführern sprechen können, daher gab es deutlich mehr konkrete Daten als bei anderen Erhebungen. PwC stellte fest, dass "eine Handvoll der Befragten (in etwa 50 Unternehmen) angab, Verluste von mehr als 5 Millionen USD erlitten zu haben und wiederum ungefähr ein Drittel von ihnen gab an, dass es zu Verlusten in Verbindung von Cyberkriminalität von mehr als 100 Millionen USD gekommen sei." Eine Studie von IBM und dem Ponemon Institut aus dem Jahr 2015 bezifferte die durchschnittlichen Kosten eines Datenschutzverstoßes mittlerweile mit 6,5 Millionen USD.

Ganz offensichtlich messen wir unseren Daten einen besonders hohen Wert zu.  Entweder als monetarisierbare personenbezogene Daten (PII) oder als für ein Unternehmen existenziell wichtiges geistiges Eigentum. Es stellt sich also nicht ganz unberechtigt die Frage, warum wir diese Daten und die E-Mails, die solche Informationen enthalten nicht besser als bisher schützen. Offensichtlich unterschätzen wir immer noch beides: wie wertvoll diese Daten tatsächlich und wie verwundbar sie gleichzeitig sind. Daten geraten in Vergessenheit, werden aber beispielsweise nur selten gelöscht. Der dramatische Anstieg bei Ransomware zeigt deutlich wie anfällig unstrukturierte Daten sind. Ransomware gibt sich zu erkennen, wenn bereits Dateien verschlüsselt worden sind und verlangt vom Benutzer eine Lösegeldsumme. Zahlbar in der Regel in der Krypto-Währung Bitcoin. Firmen haben immer noch große Schwierigkeiten Ransomware zu erkennen bevor bereits große Dateimengen beschädigt wurden. Andere Bedrohungen sind häufig sogar noch viel später oder gar nicht zu erkennen. Die Wiederherstellungskosten sind dann meist noch deutlich höher.

Firmen überwachen ihre Netzwerke hinsichtlich ungewöhnlicher Aktivitäten oder scannen sie auf bekannte Viren. Um die aktuelle Generation besonders hinterhältiger Malware zu erkennen, fehlt ihnen aber oft die passende Ausrüstung. Dazu kommt, dass es mittlerweile bereits Hacking-Angriffe gibt, die ganz ohne Malware auskommen. Kurz gesagt: Was den Schutz unstrukturierter Informationen anbelangt, haben die meisten Unternehmen einen nicht zu unterschätzenden blinden Fleck. Und zwar einen, der sie einiges kosten kann. Wollen Firmen das ändern, müssen sie zunächst das Risiko bewerten und einschätzen, den Datenschutz auf dieser Basis verbessern und vor allem die Filesysteme im Detail überwachen.

Wahrscheinlich werden wir Hacker nicht dauerhaft davon abhalten in Systeme und Netzwerke einzudringen. Aber wir haben die Möglichkeit sie schneller aufzuspüren, den Schaden einzugrenzen und letztendlich die Kosten von Datenschutzverstößen zu reduzieren. Dann schaffen wir es vielleicht in eine neue Normalität, bei der wir nicht mehr von dramatischen Datendiebstählen am helllichten Tag überrascht werden.

*) Autor Yaki Faitelson, Chairman und CEO von Varonis Systems