Interview mit Varonis – Transparenz ist die beste Verteidigung

Michael Scheffler, Country Manager DACH bei Varonis Systems

Transparenz ist die beste Verteidigung, davon ist Michael Scheffler, Country Manager DACH des Datensicherheitsspezialisten Varonis, insbesondere in puncto Ransomware überzeugt. Im Interview mit Netzpalaver erläutert er die entscheidende Bedeutung der Datentransparenz für den Schutz von Unternehmen vor einer immer komplexeren Bedrohungslandschaft.

 

Netzpalaver: Wie haben sich die Techniken und Arbeitsweisen von Cyberkriminellen in den letzten Jahren weiterentwickelt?

Michael Scheffler: Wir stellen fest, dass Cyberkriminelle häufig Taktiken übernehmen, die von Nationalstaaten entwickelt und eingesetzt werden, um Schwachstellen in Unternehmen zu entdecken und Angriffe durchzuführen. Gerade in den letzten Monaten hat Ransomware massiv zugenommen. Nach wie vor denken viele noch immer an den WannaCry-Ransomware-Angriff im Jahr 2017, aber die Ransomware hat sich seitdem enorm weiterentwickelt. Mit dem Aufkommen von Ransomware-as-a-Service muss man nicht einmal mehr selbst ein erfahrener Hacker sein, sondern kann einfach von Anderen entwickelte Tools verwenden, um Ransomware-Angriffe durchzuführen. Zudem bieten Kryptowährungen den Kriminellen die Möglichkeit, hohe Geldsummen zu fordern und dabei relativ anonym zu bleiben.

Aber auch die Taktik hat sich verändert. Früher folgten Ransomware-Angriffe meist dem Gießkannen-Prinzip. Heute dringen Angreifer gezielt und sehr subtil in Unternehmen ein, um an wertvolle, sensible Informationen zu gelangen. Sie gehen unauffällig vor, indem sie – oftmals durch Phishing gewonnene – Anmeldedaten autorisierter Benutzer verwenden, um nach wichtigen Informationen zu suchen oder um innerhalb des Netzwerks mehr Rechte zu erhalten, bevor sie diese stehlen, verschlüsseln und ein Lösegeld fordern. Die Forderungen werden dabei immer größer und gehen mittlerweile bis in den Millionen-Euro-Bereich. Cybercrime-Gruppen sind wie die Köpfe der mythischen Hydra: Wenn eine von den Behörden ausgeschaltet wird, was selten genug passiert, formieren sie sich durch die Zusammenarbeit mit anderen Kriminellen sehr schnell um, organisieren sich neu und beginnen erneut mit Angriffen.

 

Netzpalaver: Welchen Risiken sind Unternehmen ausgesetzt, wenn sie keine Transparenz über ihre Daten haben?

Michael Scheffler: Das größte Risiko sind übermäßig exponierte Daten. Sie stellen für fast jedes Unternehmen eine große Herausforderung dar. Im Durchschnitt hat ein Mitarbeiter Zugriff auf etwa 17 Millionen Dateien. Das klingt enorm, und das ist es auch. Wenn nun ein x-beliebiges Konto kompromittiert wird, haben die Cyberkriminellen Zugriff auf alle diese Dateien. Nicht umsonst sprechen wir in diesem Zusammenhang von einem Explosionsradius, denn die Auswirkungen sind ähnlich verheerend.

Die schiere Menge an Daten bedeutet, dass die Angriffsfläche von Unternehmen viel größer ist, als sie sein sollte, und darauf sind Unternehmen nicht vorbereitet. Fehlende Transparenz und damit fehlendes Wissen darüber, wo sich die wichtigsten und sensibelsten Daten befinden, wer Zugriff darauf hat und wer sie verändert, kopiert, gelöscht oder gestohlen hat, macht die Bewältigung eines Angriffs noch schwieriger.

 

Netzpalaver: Wie groß ist die Herausforderung speziell für Unternehmensdaten, Onpremises  und in der Cloud?

Michael Scheffler: : Es ist eine enorme Herausforderung. Die Daten werden an vielen verschiedenen Orten gespeichert und wachsen täglich weiter an. Dies führt zu einer steigenden Komplexität, wodurch wiederum Daten oftmals zu vielen Zugriffsrechten ausgesetzt werden und damit das Risiko weiter steigt. Die meisten Unternehmen sind blind, wenn es um ihre sensibelsten Daten geht. Wenn man nicht weiß, ob ein Nutzer sensible, DSGVO-relevante Daten auf seinen eigenen Computer kopiert oder vertrauliche Dateien mit persönlichen Informationen geöffnet hat, auf die er keinen Zugriff haben sollte, wird die Identifizierung eines Angriffs sehr schwierig, wenn nicht unmöglich. Wenn man nicht überwacht, wer auf Daten zugreifen kann und was diese Personen mit den Daten machen, wird man unweigerlich klare Anzeichen für einen Cyberangriff übersehen. Ohne detailliertes Wissen über den eigenen Datenbestand ist es unmöglich, verdächtige oder ungewöhnliche Aktivitäten frühzeitig bzw. überhaupt zu erkennen. Und genau dies ist der Schlüssel. Wenn man seinen Explosionsradius kennt, kann man ihn verringern und gezielte Schritte einleiten – und so die Auswirkungen eines Angriffs minimieren.

 

Netzpalaver: Wie hilft Varonis Unternehmen dabei, die Datentransparenz zu erhöhen und ihre Cyberabwehr zu verbessern?

Michael Scheffler: Wir haben mit vielen Unternehmen zusammengearbeitet, die bereits von Ransomware betroffen waren, und kennen den Aufwand und die Kosten für die Wiederherstellung nur zu gut. Resiliente Unternehmen verringern proaktiv ihren Explosionsradius, indem sie die Zugriffsrechte auf diejenigen begrenzen, die sie tatsächlich benötigen. Sie archivieren und löschen Informationen, die sie nicht mehr nutzen oder brauchen. Häufig identifizieren wir mehr als 80 Prozent alte Daten, also solche, auf die seit langer Zeit keine Zugriffe erfolgt sind. Bei einer Verschlüsselungsattacke müssen diese ggfs. wieder entschlüsselt werden ohne dass jemand diese Daten benötigt. Im Idealfall werden Altdaten ausgelagert und so vor Angriffen komplett geschützt. Vorbeugung ist der Schlüssel zur Verringerung der Angriffsfläche, und damit beginnen wir bei allen unseren Kunden. Man muss sein Ökosystem kennen und dann so viele Präventionsmaßnahmen wie möglich ergreifen, um die Angriffsfläche zu verringern.

Wir adressieren zudem auch Insider-Bedrohungen, ganz gleich, ob es sich dabei um kompromittierte Konten oder um gezielte Aktionen von Mitarbeitern handelt. Es ist wirklich schwierig festzustellen, wann ein loyaler Mitarbeiter, der Zugang zu sensiblen Daten hat, plötzlich anfängt, sich verdächtig zu verhalten. Einer unserer Kunden entdeckte einen Mitarbeiter, der geheime Preisinformationen stahl, die er an einen Konkurrenten weitergeben wollte. Das Unternehmen konnte ihn daran hindern, weil es Einblick in die Vorgänge um seine sensibelsten Daten hatte.

 

Netzpalaver: Was müssen Unternehmen abgesehen von der Technologie noch tun, um sicherzustellen, dass ihre Mitarbeiter einen angemessenen Zugang zu Daten haben?

Michael Scheffler: : Wesentlich ist hier der sogenannte Joiners-, Leavers- and Movers- (JLM)-Prozess, also Mitarbeiter die in das Unternehmen eintreten, es verlassen oder die Abteilung wechseln. Wenn neue Mitarbeiter in ein Unternehmen aufgenommen werden, sollte in dieser Phase entschieden werden, welchen Zugang sie erhalten. Dies sollte in Absprache mit dem Manager des neuen Mitarbeiters geschehen, der letztlich weiß, mit welchen Daten sein Team arbeiten soll. Entscheidend ist, dass die Datenverantwortlichen in diese Prozesse einbezogen werden, wann immer sich eine Veränderung vollzieht. Leider stellen wir immer wieder fest, dass etwa 50 Prozent der Benutzerkonten in einem Unternehmen entweder veraltet oder inaktiv sind. Wenn diese Konten dann für böswillige Zwecke verwendet werden, ist es unwahrscheinlich, dass jemand dies bemerkt. Vereinfacht ausgedrückt geht es darum, seinen Laden sauber zu halten.

 

Netzpalaver: Wie wird sich die Cyberrisikolandschaft Ihrer Meinung nach weiter verändern?

Michael Scheffler: Einerseits werden sich die Techniken und Taktiken der Cyberkriminellen immer weiterentwickeln. Andererseits sehen wir, nicht zuletzt durch die Pandemie beschleunigt, deutlich veränderte Unternehmensinfrastrukturen.  Remote- und Hybridarbeit ersetzen die traditionellen Onpremises-Netzwerke durch Netzwerke ohne Perimeter, in denen jeder Laptop oder jedes Mobiltelefon zu einem Einfallstor zu kritischen und sensiblen Daten wird.  All dies macht es nur noch wichtiger, einen Überblick über die Unternehmensdaten zu erhalten. Zudem macht es Sinn sich mi Lösungen zu befassen die nicht den klassischen Useransatz nutzen. Es wird immer wichtiger, die Zugriffe auf Daten zu erfassen und sich nicht darauf zu verlassen, dass eine Userberechtigung passen wird. Ein Benutzer, der trotz Berechtigung nie auf sensible Daten zugegriffen hat und plötzlich anfängt dies zu machen, ist ein echtes Risiko, da alle klassischen auf der Userberechtigung basierenden Ansätze hier zu versagen drohen.

#Varonis