Es ist nur eine Frage der Zeit, dass ein Unternehmen zum Opfer eines Cyberangriffs wird. Entscheidend ist dann zum einen, dass der Explosionsradius, also der Schaden, den ein kompromittiertes Konto anrichten kann, möglichst klein ist. Hier spielen, wie wir im letzten Artikel gezeigt haben, die Zugriffsrechte eine entscheidende Rolle. Zum anderen müssen Angriffe möglichst schnell und präzise erkannt werden, um sie automatisiert zu stoppen. Hierbei fällt der intelligenten Analyse des Nutzerverhaltens eine Schlüsselrolle zu.
Um abnormales Verhalten identifizieren zu können, muss man zunächst erkennen, was das „normale Verhalten“ eines jeden Nutzers ist. Auf welche Daten wird in welchem Umfang zugegriffen? Von welchen Geräten erfolgt dies und zu welchen Zeiten? Auf dieser Grundlage wird eine Baseline erstellt, anhand derer man Abweichungen feststellen kann. Intelligente Systeme werden dabei im Laufe der Zeit immer besser und präziser im Erkennen tatsächlich auffälligen Verhaltens. Denn nicht jede (minimale) Abweichung ist verdächtig: Überstunden können eine Erklärung für eine unübliche Zugriffszeit sein, eine neue Geolokation kann ihren Grund in einem Umzug oder der Arbeit während des Urlaubs haben. Um präzise Warnungen ausgeben zu können, müssen verschiedene Informationen verknüpft und in einen Kontext gestellt werden. Nur so kann man unübliches von verdächtigem Verhalten unterscheiden. Hierbei ist die Klassifizierung der Daten von größter Bedeutung. Wird vermehrt auf alte Marketing-Broschüren zugegriffen, stellt dies augenscheinlich keine große Gefahr dar. Werden jedoch von einem Controller plötzlich sensitive HR-Dateien geöffnet, sollte dies ein Warnsignal sein.
Ist gewährleistet, dass die Daten korrekt verwendet werden?
Es kommt also darauf an, dass Mitarbeitende im Rahmen ihrer Tätigkeiten nur auf die Daten zugreifen, die sie auch tatsächlich benötigen und das nur in der üblichen Art und Weise. Und vor allem muss verhindert werden, dass Angreifer (seien es Insider oder externe Cyberkriminelle) Daten entwenden, manipulieren oder verschlüsseln. Der Angriffsvektor ist dabei völlig gleichgültig. Egal auf welchem Weg es Angreifer in das System geschafft haben, die intelligente Analyse des Nutzerverhaltens erkennt sie an ihrem Verhalten. Kein Cyberkrimineller ist in der Lage, das normale Verhalten jedes Benutzers und jedes Geräts genau nachzuahmen, wenn er sich durch ein Netzwerk bewegt, auf Konten zugreift und Daten berührt. Ungewöhnliches Authentifizierungs- und Zugriffsverhalten bietet entsprechend einen guten Hinweis auf eine Kompromittierung.
Entscheidend ist dabei immer der Kontext: Je mehr Informationen zusammengeführt und in Beziehung zueinander gesetzt werden, desto präziser die Warnungen und die gebotenen Schritte, etwa die automatisierte Sperrung von Konten. Zugriffsrechte, Klassifizierung und Nutzerverhalten greifen dabei ineinander. Besonders bei Ransomware ist eine schnelle Reaktion unerlässlich: Bei einer ungewöhnlichen Crypto-Aktivität müssen die Security-Systeme diese Aktion automatisiert stoppen. Basierend auf dem eigenen, „normalen“ Verschlüsselungsverhalten sollte hieraus eine entsprechende Aktion abgeleitet werden.
Sicherheitsverantwortliche müssen zu jedem Zeitpunkt drei Fragen beantworten können: Wissen wir, wo unsere wichtigen Daten gespeichert sind? Haben nur die richtigen Personen Zugang zu den Daten? Und ist gewährleistet, dass die Daten korrekt verwendet werden? Können sie alle drei mit „Ja“ beantworten, sind die Daten sicher. Ist die Antwort auf nur eine der Fragen ein „Nein“, haben sie ein Problem. Nur durch die Integration der drei Dimensionen der Datensicherheit – Wichtigkeit, Zugriff und Nutzung von Daten – kann ein ganzheitliches Verständnis und eine deutliche Risikoreduzierung erreicht werden, die mit nur einer dieser Dimensionen nicht umzusetzen ist. Dabei darf es auch keine Rolle spielen, ob die Dateien lokal oder in der Cloud gespeichert werden, oder ob die Nutzer reine Microsoft 365-Umgebungen oder auch SaaS-Dienste und Cloud-Datenspeicher AWS, Box, GitHub, Google Drive, Jira, Okta, Salesforce, Slack oder Zoom nutzen.
Nur mit einem datenzentrierten Sicherheitsansatz, der lokale und Cloud-Speicher einbezieht sowie die Daten und das Nutzerverhalten erkennt und versteht, lassen sich Daten effektiv schützen, ganz gleich, woher und auf welche Art der Angriff erfolgt.
Von Michael Scheffler, Country Manager DACH von #Varonis
Datensicherheit – Zugriffsrechte unter Kontrolle bekommen und halten