Von Pharma und Biotech über Technologie bis hin zu Konsumgütern: Das geistige Eigentum von Unternehmen ist oftmals das zentrale Element, von dem ihr geschäftlicher Erfolg abhängt. Gleichzeitig ist es jedoch auch eines ihrer verwundbarsten Assets und hohen Risiken ausgesetzt – sei es durch externe Angreifer oder böswillige bzw. leichtfertige Insider. Je nach Art und Umfang kann ein Datenvorfall gravierende Folgen haben: Im günstigsten Fall kostet er dem Unternehmen lediglich Zeit und Geld, um den Schaden zu beheben, im schlimmsten Fall steht die wirtschaftliche Existenz auf dem Spiel, wenn wertvolles geistiges Eigentum in die falschen Hände gerät.
Insbesondere durch die prominenten und folgenreichen Ransomware-Angriffe der letzten Monate ist das Thema Datensicherheit endgültig in den Führungsebenen angekommen. Vorstände und Geschäftsführer erkennen zunehmend die Risiken ungesicherter Daten und erwarten von ihren Sicherheitsteams, dass sie vor Cyberangriffen geschützt sind. Trotz teilweise hoher Investitionen in Sicherheitsmaßnahmen gibt es jedoch einige Punkte, auf denen viele Unternehmen nach wie vor Nachholbedarf haben.
Datenzugriff begrenzen
Unternehmen neigen dazu, ihren Mitarbeitern und Partnern deutlich mehr Informationen als nötig zur Verfügung zu stellen. Dies geschieht vermeintlich im Sinne einer möglichst störungsfreien Zusammenarbeit, insbesondere dann, wenn angesichts der Entwicklung neuer Produkte oder wichtiger Projekte die Mitarbeiter unter (Zeit-)Druck stehen. So zeigte der Data Risk Report für den Gesundheitssektor, dass in Krankenhäusern, Biotech- und Pharmaunternehmen jeder Mitarbeiter durchschnittlich Zugriff auf knapp 11 Millionen Dateien hat, was knapp 20 Prozent des gesamten Datenbestands entspricht. Im Durchschnitt sind 12 Prozent der sensiblen Daten für jeden Mitarbeiter zugänglich. Bei diesen sensiblen und wertvollen Daten handelt es sich beispielsweise um wissenschaftliche Forschungsergebnisse oder geistiges Eigentum. Der Schlüssel zur Begrenzung des Cyber-Risikos liegt entsprechend darin, sicherzustellen, dass nur diejenigen hierauf Zugriff haben, die ihn auch tatsächlich benötigen.
Nicht nur auf externe Bedrohungen achten
Es gibt unzählige Wege, die Angreifer nutzen können, um sensible Daten zu stehlen. Entscheidend für die Datensicherheit von Unternehmen ist es, auf jeden dieser Fälle vorbereitet zu sein und dabei sowohl die internen als auch die externen Bedrohungen im Blick zu haben. In der Praxis sehen wir jedoch häufig, dass Unternehmen oftmals die Insider-Bedrohungen übersehen. Jeder Mitarbeiter, der legitimen Zugang zu wertvollen Daten hat, könnte diese potenziell kopieren und verkaufen. In der Folge könnte ein Konkurrent Zugang zu dem neuesten Produkt oder Verfahren eines Unternehmens erhalten und dieses schneller auf den Markt bringen, was zu erheblichen Umsatzeinbußen führen würde. Bekannt sind die Fälle zweier Apple-Mitarbeiter, die geheime Dokumente entwendet haben sollen, um diese ihren neuen Arbeitgebern weiterzugeben. Aber auch Unzufriedenheit und Rache können Motive sein, wie bei einem ehemaligen Mitarbeiter von Tesla, der mehrere Gigabyte interner Daten an Dritte weitergegeben und damit einen enormen Schaden beim US-amerikanischen Automobilhersteller verursacht haben soll.
Ein subtileres und potenziell gleichermaßen schädliches Szenario besteht darin, dass böswillige Insider oder externe Angreifer Daten manipulieren, um den Produktionsprozess zu sabotieren. Diese Angriffe sind in der Regel weitaus schwieriger zu erkennen und können entsprechend verheerend sein. In jüngster Zeit sind auch verstärkt Angriffe von staatlich unterstützten Angreifern zu verzeichnen, etwa um feindliche Infrastrukturen zu stören oder um Know-how zu erlangen. So nutzt beispielsweise Silent Librarian, ein mutmaßlich staatlich geförderter iranischer Bedrohungsakteur, Spear-Phishing-Techniken zum Angriff vor allem auf Universitäten, um so akademische Forschungsergebnisse zu erbeuten.
Auch zahlreiche Ransomware-Angriffe beschränken sich mittlerweile nicht mehr nur darauf, Daten zu verschlüsseln und so die betroffenen Unternehmen zur Zahlung von Lösegeldern zu motivieren. Stattdessen werden zuvor auch möglichst wertvolle Daten exfiltriert und mit deren Veröffentlichung gedroht, was sowohl den Druck auf die Opfer als auch den potenziellen Schaden erhöht.
Auffälliges Verhalten erkennen
Wie können Unternehmen nun angesichts dieser Vielzahl an potenziellen Attacken erkennen, dass sie angegriffen werden? Vor allem sollten sie auf die folgenden vier Anzeichen achten:
- Zugriffsversuche: Um in die Unternehmenssysteme einzudringen, starten Cyberkriminelle oftmals Brute-Force-Angriffe oder versuchen über gestohlene oder erschlichene Passwörter Zugang zu erlangen. Unternehmen sollten ihre Passwörter zeitlich begrenzen und dafür Sorge tragen, dass die Mitarbeiter nicht dasselbe Kennwort für mehrere Konten verwenden. Sonst sind bei der Kompromittierung eines Kontos auch alle anderen potenziell gefährdet.
- Unbekannte Geräte: Gerade im Zeitalter des mobilen Arbeitens kann es legitime Gründe dafür geben, dass ein Mitarbeiter von einem bislang noch nicht verwendeten Gerät auf das Unternehmensnetzwerk zugreift. Dennoch sollte dies eine Warnung auslösen und weiter untersucht werden. Hierbei sollten auch Geolokationsdaten einbezogen werden: Meldet sich ein Nutzer plötzlich aus einem ganz anderen Land an, sollte auch dies umgehend genauer betrachtet und gegebenenfalls entsprechende Maßnahmen eingeleitet werden.
- Zeit: Unbefugter Zugriff auf Dateien findet oftmals außerhalb der üblichen Bürozeiten statt. Sei es etwa im Fall von externen Angriffen aufgrund von Zeitverschiebungen oder im Falle von Insider-Aktivitäten, um möglichst ungestört zu sein. Wenn sich also die Anmeldezeiten eines Benutzers plötzlich ändern, sollte man herausfinden, woran dies liegt.
- Nutzerverhalten: Nachdem sich Cyberkriminelle Zugang verschafft haben, kundschaften sie in aller Regel zunächst die Opfersysteme aus und machen sich auf die Suche nach wertvollen Daten. Öffnet ein Nutzer plötzlich sensible Dateien, auf die er bislang noch nicht zugegriffen hat und die womöglich auch gar nichts mit seinem Aufgabengebiet zu tun haben, ist das ein deutliches Warnzeichen.
Man kann nur das schützen, das man kennt. Deshalb müssen Unternehmen ein tiefes Verständnis für ihre Daten entwickeln und erkennen, welche davon in den falschen Händen den größten Schaden anrichten können. Diese besonders wertvollen Daten müssen besonders geschützt und der Zugriff auf sie auf das minimale Maß reduziert werden (Least-Privilege-Ansatz). Alle Unternehmen sollten zudem stets davon ausgehen, dass sie bereits im Visier von Cyberkriminellen sind. Ganz einfach deshalb, weil sie es tatsächlich sind. Die Abwehrmaßnahmen müssen auch dann wirksam sein, wenn sich Angreifer bereits Zugriff verschafft haben. Entsprechend sollten die Dateiaktivitäten der Mitarbeiter überwacht werden, um unbefugte Zugriffe schnell zu erkennen und automatisiert zu stoppen. Denn nur so besteht die Chance, den Datendieb zu fangen, bevor er mit seiner wertvollen Beute entkommt.
Von Michael Scheffler, Country Manager DACH von Varonis Systems
#Varonis
