Um die Datensicherheit zu gewährleisten, muss man jede ihrer drei Dimensionen adressieren: Wichtigkeit, Zugänglichkeit und Nutzung der Daten. Im ersten Teil dieser dreiteiligen Artikelserie hat der Autor gezeigt, wie sich sensitive Daten identifizieren und entsprechend klassifizieren lassen. Wenn man nun weiß, welche Daten besonders geschützt werden müssen, muss sichergestellt werden, dass nur diejenigen auf sie zugreifen können, die sie auch für ihre Arbeit benötigen. Zero-Trust und Least-Privilege zielen hierauf ab, werden aber in der Praxis nicht adäquat umgesetzt – wie die Zahlen aus dem letzten SaaS-Datenrisiko-Report von Varonis zeigen: Demnach sind in einem durchschnittlichen Unternehmen alleine in Microsoft-365 knapp 98.000 Dateien für jeden Mitarbeitenden zugänglich, darunter rund 1.000 sensitive. Zudem sind 157.000 sensitive Datensätze durch SaaS-Freigabefunktionen für jeden im Internet zugänglich. Zugriffsrechte werden so zum Schlüsselelement der Datensicherheit.
Haben nur die richtigen Personen Zugang zu den Daten?
Worin liegt eigentlich das Problem der weitgefassten Zugriffsrechte? Ganz einfach: Wird ein x-beliebiges Konto eines Unternehmens kompromittiert, haben die Angreifer Zugriff auf alle Dateien, auf die das Konto zugreifen kann. Cyberkriminelle können also schon mit einem einzigen gephishten Konto beispielsweise problemlos 98,000 Microsoft-365-Dateien entwenden und/oder verschlüsseln. Dass dies etwa im Falle eines Ransomware-Angriffs erhebliche Auswirkungen auf den Betriebsablauf hat, liegt auf der Hand. Es geht also darum, den Explosionsradius, also den möglichen Schaden eines Angriffs, zu verkleinern.
Dabei ist den wenigste Unternehmen bewusst, über wie viele Ordner, Dateien und Datensätze sie verfügen. Ein einziges Terabyte an Daten enthält in der Regel Zehntausende dieser Objekte mit eindeutigen Berechtigungen, die festlegen, welche Benutzer und Gruppen darauf zugreifen können. Durch die Cloud nimmt die Komplexität weiter zu: Pro Terabyte sind hier durchschnittlich über 600.000 Dateien gespeichert, wobei knapp 4.000 Ordner extern geteilt werden. Darüber hinaus verfügen Unternehmen über hunderte Microsoft-Teams und tausende Microsoft-Teams-Kanäle.
Collaboration macht Management der Zugriffsrechte komplizierter
Durch die zunehmende Nutzung von SaaS entstehen riesige Blind-Spots. In aller Regel können die Sicherheitsverantwortlichen nicht genau nachvollziehen, wer Zugriff auf welche Dateien hat und welche sensitiven Daten mit Personen außerhalb des Teams oder gar außerhalb des Unternehmens geteilt wurden. Blicken wir exemplarisch auf Microsoft-Teams, um die Sicherheitsherausforderungen der Cloud-Zusammenarbeit zu verstehen. Die Komplexität entsteht bereits beim Anlegen eines neuen Teams. Hier werden im Hintergrund automatisch eine Website in SharePoint online erstellt, lokale Sharepoint-Gruppen angelegt und mit entsprechenden Berechtigungen für die Website versehen sowie Azure AD-Gruppen eingerichtet und innerhalb der lokalen SharePoint-Gruppen eingefügt.
Cloud-Collaboration lebt vom einfachen Teilen von Informationen. Die Tools ermutigen entsprechend die Mitarbeitenden, die normalerweise auch nicht hinreichend in Bezug auf Datensicherheit, -schutz und Compliance geschult sind, von den unterschiedlichsten Möglichkeiten hierfür Gebrauch zu machen. In Teams können beispielsweise Kanäle (Channels) eingerichtet werden, zu denen weitere Personen eingeladen werden. Dateien können aber auch über Links oder per Chat geteilt werden. Werden Dokumente in den Kanälen geteilt, besteht die Gefahr, dass auch Personen Zugang zu sensitiven Informationen erhalten, die diesen gar nicht für ihre Arbeit benötigen. Wird eine Datei per Link geteilt, so weiß nur der Ersteller des Links von dieser Offenlegung. All dies führt zu einer großen internen und externen Datenexposition und macht deutlich, dass die Analyse und das Management des Zugriffs nicht manuell erfolgen können.
Durch intelligente, automatisierte Lösungen werden sämtliche Zugriffsrechte in allen Datenspeichern (sowohl in der Cloud als auch lokal) erfasst und korreliert. Auf dieser Basis kann dann überprüft werden, welchen Zugang die Mitarbeitenden tatsächlich benötigen. So müssen HR-Manager nicht auf Marketingpläne zugreifen können oder Vertriebsmitarbeitende auf die Buchführung. Hier kommt die Verhaltensanalyse ins Spiel: Sie erkennt, wer auf welche Daten zugreift bzw. aufgrund von Gruppenzugehörigkeiten zugreifen können sollte – und sperrt die restlichen, ohne dass es dadurch zu Produktivitätseinschränkungen kommt. Auf diese Weise bildet sie die Grundlage, um den ausufernden Zugriffsrechten Herr zu werden.
Die Verhaltensanalyse ist allerdings nicht nur der Schlüssel zur zielgerichteten Freigabe von Daten. Sie erkennt auch auffälliges Nutzerverhalten, etwa das reihenweise Exfiltrieren und Verschlüsseln von Dateien. Wie dies gelingt und worauf es dabei ankommt erläutert Varonis im dritten Teil.
Von Michael Scheffler, Country Manager DACH von #Varonis Systems
Teil 1: Datensicherheit – Klassifizierung ist die Grundlage
