Die Zahl der exponierten Daten im Open-, Deep- und Dark-Web ist weltweit weiter gestiegen – allein im letzten Jahr um 50 Prozent. Das zeigt der neue Bericht von Digital Shadows zum Umfang der exponierten Daten, die weltweit öffentlich zugänglich sind. Insgesamt spürte das Photon-Research-Team von Digital Shadows 2,3 Milliarden vertrauliche Dokumente auf. Dazu zählen persönliche Bankunterlagen, Kontoauszüge, Patientenakten, Pässe, Kundendaten sowie kritische Geschäftsinformationen und Zugangsdaten zu Unternehmenssystemen.
Hauptursache für die exponierten Dateien sind falsch konfigurierte Cloud-Speicherdienste. Nahezu 50% der Dateien (1.071 Mrd.) wurden über das Server-Message-Block-Protokoll bereitgestellt – eine Technologie zum Teilen von Dateien, die erstmals 1983 entwickelt wurde. Andere falsch konfigurierte Technologien wie FTP-Dienste (20%), rsync (16%), Amazon-S3-Buckets (8%) und Network-Attached-Storage-Geräte (3%) wurden als zusätzliche Gefahrenquellen genannt.
Europa ist mit rund 1 Mrd. Dokumente (1.053.665.953) am stärksten betroffen, wobei Frankreich mit 151 Mio. die Länderliste anführt. In Deutschland gingen die Zahlen im Vergleich zum Vorjahr auf 121 Mio. (2018: 122 Mio.) um ca. 1% zurück. Der Rückgang lässt sich möglicherweise auf die Implementierung neuer Sicherheitsmaßnahmen im Zuge von DSGVO zurückführen. Eine weitere Ursache könnte die weite Verbreitung von Amazon-S3 in Deutschland sein sowie das von Amazon neu eingeführte Feature Amazon-S3-Block-Public-Access, das umfassende Sicherheitskontrollen für die Dienste vorsieht. Seit der Einführung der neuen Funktion im November 2018 hat sich die Lage bei Amazon-S3 im Vergleich zu anderen Cloud-File-Storages deutlich verbessert. Im Oktober 2018 entdeckte Digital Shadows noch 16 Mio. exponierte Dateien auf Amazon-S3. Sechs Monate später im Mai 2019 konnten die Threat-Intelligence-Experten nur noch 1.895 Dateien identifizieren.
Die Risiken von exponierten Daten für Unternehmen sind erheblich. Neben rechtlichen Folgen und Bußgeldern im Rahmen von DSGVO, können die Daten auch von Cyberkriminellen missbraucht werden, um personalisierte Angriffe auf Kunden, Mitarbeiter und Partner zu starten.
„Zusammengenommen sind in den Ländern der EU über eine Milliarde sensibler Dateien offen zugänglich. Das sind fast 50% der exponierten Daten weltweit und rund 262 Millionen mehr Dokumente als noch im letzten Jahr“, erklärt Harrison Van Riper, Analyst des Photon Research Teams. „Für viele dieser Datenleaks gibt es einfach keine Entschuldigung mehr. Microsoft zum Beispiel unterstützt SMBv1 seit 2014 nicht mehr und trotzdem wird das Protokoll von vielen Unternehmen weiter genutzt. Es ist höchste Zeit, dass Unternehmen die Konfiguration solcher Dienste überprüfen und ihre Dokumente sichern.“
Unternehmen sollten folgende Vorsichtsmaßnahmen treffen:
- Verwendung von Amazon-S3-Block-Public-Access, um die öffentliche Sichtbarkeit von Buckets, die für den privaten Gebrauch bestimmt sind, zu begrenzen. Aktivierung der Protokollierung durch AWS, um unerwünschte Zugänge oder potenzielle Angriffspunkte zu überwachen.
- Deaktivierung von SMBv1 oder Aktualisierung falls nötig auf SMBv2 oder v3. Mit Hilfe von IP-Whitelists erhalten nur berechtigte Systeme Zugriff.
- Wird rsync nur intern verwendet, sollte Port 837 deaktiviert werden, um externe Verbindungen zu unterbinden. Die Verschlüsselung der gesamten Kommunikation zum und vom rsync-Speicher verringert darüber hinaus die potenziellen Angriffspunkte.
- FTP ist über 30 Jahre alt! Updaten auf Secure-FTP (SFTP), das dem Protokoll eine SSH-Verschlüsselung hinzufügt.
- Wie bei FTP-Servern sollten Network-Attached-Storage (NAS)-Laufwerke intern hinter einer Firewall platziert werden. Die Implementierung von Zugriffskontrolllisten verhindert zudem unerwünschte Zugriffe.
Der vollständigen Report von Digital Shadows „Too Much Information: The Sequel“ findet sich hier.
#Netzpalaver #DigitalShadow
