Die überwiegende Anzahl aller Cyberangriffe haben ein gemeinsames Ziel: die Daten ihrer Opfer. Ganz gleich, ob es sich um Cyber-Spionage oder Insiderbedrohungen handelt, immer geht es um den Diebstahl sensitiver Informationen. Auch bei der Ransomware stellen längst nicht mehr die Verschlüsselung und die Störung der Betriebsabläufe das größte Problem dar, sondern die vorausgehende Exfiltration von Daten. Denn während sich Systeme und Infrastrukturen wieder neu aufbauen lassen, bleiben die Daten in fremden, kriminellen Händen und können nicht „unkompromittiert“ werden.
Gerade durch den „Erfolg“ der Ransomware stellt sich die Frage, was Datensicherheit offensichtlich so kompliziert macht. Denn im Grunde ist es recht einfach: Sicherheitsverantwortliche müssen nur wissen, wo die wichtigen Daten gespeichert sind, sicherstellen, dass nur die richtigen Personen Zugang zu den Daten haben, und gewährleisten, dass die Daten korrekt verwendet werden. Diese drei Dimensionen der Datensicherheit – Wichtigkeit, Zugriff und Nutzung von Daten – greifen ineinander und gewährleisten nur im Zusammenspiel Sicherheit. Ist nur bekannt, welche Daten wichtig sind, bietet dies noch keinen Überblick darüber, welche Daten exponiert ist, ohne die entsprechenden Zugriffsrechte zu kennen. Um zu erkennen, wer Zugriff benötigt und wie man eventuelle Offenlegungen sicher beheben kann, muss die Nutzung überwacht werden.
Wissen, die wichtigen Daten gespeichert sind?
Die Grundlage aller Sicherheitsinitiativen bildet die Klassifizierung. Aufgrund der enormen Datenmengen, über die jedes Unternehmen verfügt, müssen die Schutzmaßnahmen priorisiert werden, zumal nicht alle Daten gleich wichtig sind. Fallen Einladungen zum Sommerfest oder der Kantinenplan der nächsten Woche in die falschen Hände, ist von keinem großen Schaden auszugehen. Anders verhält es sich natürlich mit Gehaltsabrechnungen, Produktionsplänen oder geistigem Eigentum. Bei einem Diebstahl dieser Informationen drohen hohe Bußgelder und enorme wirtschaftliche Schäden, welche sogar die Existenz des Unternehmens gefährden können.
Im Rahmen von hunderten Risikobewertungen haben wir festgestellt, dass ein durchschnittliches Unternehmen pro Terabyte über gut 600.000 Dateien verfügt, von denen 6.100 sensitiv sind. Weitere 4.300 Dateien werden nicht mehr benötigt oder genutzt, enthalten aber ebenfalls sensitive Inhalte. Für das Unternehmen haben sie in aller Regel keinen Wert, für Angreifer hingegen durchaus. Allein die Menge der Dateien, die zudem ständig wächst, macht deutlich, dass man mit manuellen Maßnahmen nicht weit kommt.
Klassifizierung ist mehr als labeln
Viele Unternehmen verlassen sich auf ihre Mitarbeitenden, wenn es darum geht, Dateien einzustufen. Meist geschieht dies jedoch ohne eine gründliche Einweisung bzw. Schulung und stellt zudem eine gewisse Störung der Arbeitsroutine dar. Im Zweifelsfall werden sie also die Standard-Option wählen bzw. belassen. Entsprechend sind manuelle Prozesse nicht nur sehr zeitaufwändig, sondern vor allem fehleranfällig, sodass an einer Automatisierung kein Weg vorbeiführt. Dies entlastet nicht nur die Mitarbeitenden, sondern sorgt beim Einsatz intelligenter Lösungen auch für hochpräzise Ergebnisse.
Dabei muss die Klassifizierung über die Anwendung regulärer Ausdrücke (RegEx) hinausgehen. Wenn man alleine die unterschiedlichen DSGVO-relevanten Informationen betrachtet, erkennt man schnell eine Unmenge an EU-weit höchst heterogenen Daten. Nummernschilder, Personalausweis- oder Steuernummern der 28 Mitgliedsstaaten unterscheiden sich in ihrem Aufbau teilweise deutlich. Setzt man hierbei lediglich auf reguläre Ausdrücke, kann es zu Kollisionen und fehlerhaften Zuordnungen kommen. Um falsch-positive Ergebnisse zu reduzieren, müssen sie deshalb um Proximity-Matching, negative Schlüsselwörter und algorithmische Verifizierung ergänzt werden.
Datenklassifizierung wird von vielen Sicherheitsverantwortlichen als simple und teilweise lästige Aufgabe empfunden. Sie ist jedoch weder das eine, noch muss sie das andere sein, wenn man auf Automation setzt. Vor allem ist sie ein fortlaufender Prozess, der die Grundlage für alle weiteren Maßnahmen bildet. Jetzt, da man weiß, welche Daten besonders schützenswert sind, sollte sich der Blick auf jene richten, die auf diese zugreifen können. Entsprechend befassen wir uns im zweiten Teil dieser dreiteiligen Artikelserie mit den Zugriffsrechten.
Von Michael Scheffler, Country Manager DACH bei #Varonis Systems
