Geleakte Sicherheitsgutachten
Datenschutz gilt auch für Sicherheitsexperten
Heikle Fundstücke: 1,5 Mrd. sensible Dokumente
Wollen Unternehmen ihre IT-Sicherheit durch Penetrationstests und Threat-Intelligence prüfen und DSGVO-konform ausrichten, führt oft kein Weg an externen Beratern, Sicherheitsanalysten und IT-Anbietern vorbei. Doch welchen Nutzen bringen die Sicherheitsdienste, wenn vertrauliche Berichte kurze Zeit später öffentlich im Netz zugänglich sind?
Den eigenen Wohnungs- oder Haustürschlüssel gibt man normalerweise nur ungern aus der Hand. Völlig undenkbar ist jedoch die Vorstellung, dass ein wohlmeinender Nachbar, Handwerker oder Besucher erst eine Kopie des Schlüssels anfertigt und diesen dann auf der Straße, im Supermarkt um die Ecke oder im Hausflur ohne böse Absicht liegen lässt. Übertragen auf die IT-Sicherheit entspricht dieses Szenario jedoch leider häufiger der Realität als man denkt.
Allein in den ersten drei Monaten in 2018 fanden Sicherheitsexperten von Digital Shadows über 1,5 Milliarden sensible Unternehmens- und Kundendokumenten im Netz – darunter Daten, die im Rahmen von internen Sicherheitsprüfungen erstellt wurden. 5.794 Sicherheitsaudits, 1.830 Datensätze zu getesteten Netzwerkinfrastrukturen sowie 694 Penetrationstests waren über offene Amazon Simple Storage Service (S3), rsync, SMB bzw. FTPserver, falsch konfigurierte Websites und Network Attached Storage (NAS)-Laufwerke öffentlich zugänglich. Technisches Know-how, eine Authentifizierung oder bestimmte Hacker-Methoden, um an die Daten zu gelangen, waren dafür nicht erforderlich.
Ein Großteil der exponierten Unternehmensdaten lässt sich auf Versäumnisse von Vertragspartnern und Dritte zurückführen. Das macht diese Datenleaks besonders heikel: Nicht nur sollten es die beauftragten IT-Profis besser wissen, auch erhalten externe Auftragnehmer in der Regel privilegierten Zugang zu hoch sensiblen Bereichen eines Unternehmens und arbeiten damit unter anderem mit streng vertraulichen Informationen – einschließlich Daten über Kunden, Mitarbeiter und Dritte.
Auskundschaften leicht gemacht
Der Umfang der Datenmenge ist insbesondere im Hinblick auf DSGVO und den damit verbundenen regulatorischen Auflagen ein Grund zur Besorgnis. Erste Auswirkungen der EU-Verordnung sind knapp zwei Monate nach Inkrafttreten der EU-Verordnung bereits zu spüren. Nach einer Umfrage des BVDW haben Anfang Juli haben bereits fünf Prozent der Unternehmen eine Abmahnungen erhalten, die sich auf DSGVO stützt. Die Unsicherheit, was erlaubt ist, und welche Daten wie wo geschützt werden müssen, ist groß. Wer sich hier zusätzlich über geleakte Gutachten und Pentests von Sicherheitsexperten im Open Web den Kopf zerbrechen muss, steht vor einem massiven Problem.
Für Cyberkriminelle sind die öffentlich zugänglichen Dokumente zudem ein willkommenes Geschenk. Hacker verbringen Monate damit, Erkundigungen über ein Unternehmen einzuholen und so mehr über Sicherheitsstatus, das Layout der IT-Infrastruktur, eingesetzte Technologien und potenzielle Schwachstellen in Erfahrung zu bringen. Können sie stattdessen problemlos auf entsprechende Dokumente im Netz zugreifen, sparen sie sich wertvolle Zeit und Ressourcen. In manchen Fällen gewinnen Kriminelle auf diese Weise sogar exklusive Informationen, die ihnen bei aller Eigenrecherche wohl verborgen geblieben wären.
Die Analysten von Digital Shadows fanden zum Beispiel sicherheitskritische Dokumente eines Anbieters von elektronischen Identifikationsdiensten, die vor allem im Banksektor zum Einsatz kommen. Die Risikobewertungen, Quellcode-Tests und Schwachstellen-Scans enthüllten weitere Details über unsichere Server, wobei Serverstandorte und Hosting-IPs sowie fehlende Software-Patches, Port-Informationen, CVE-Nummern und Schwachstellenbeschreibungen im Detail aufgelistet wurden (siehe Abb. 1). Dank solcher ausführlicher Daten wissen Cyberkriminelle genau, welche Technologien und Dienste ein vielversprechendes und leichtes Ziel abgeben. Sie können die Daten beispielsweise modifizieren oder bösartigen Code einschleusen. Auch Man-in-the-Middle-Angriffe sind denkbar, bei denen ein Angreifer in einem Rechnernetz die vollständige Kontrolle über den Datenverkehr übernimmt und sich zwischen zwei oder mehrere Netzwerkteilnehmer positioniert, um Informationen abzufangen oder zu manipulieren.
Das Risiko steckt in der Supply Chain
Die gefundenen Daten zeigen deutlich, dass Unternehmen in hohem Maße mit Sicherheitsproblemen kämpfen, die außerhalb ihres direkten Umfelds und damit außerhalb ihrer Sichtweite liegen. Neben Mitarbeitern, die öffentliche Geräte für ihre Arbeit nutzen, gehören dazu auch Auftragnehmer, Partner, Zulieferer und Dritte, die Dateien beispielsweise auf falsch konfigurierten NAS-Laufwerken, sichern. Dass die Verantwortlichen dabei die Daten öffentlich zugänglich machen, geschieht meist unbeabsichtigt und wird in vielen Fällen nicht einmal bemerkt.
Wenn es um den Schutz von internen Daten geht, sollten Unternehmen daher die Supply Chain sowie unternehmensnahe „Firmeninsider“ genau im Blick behalten. Dabei geht es nicht nur um die Arbeitsweise von externen Partnern außerhalb des eigenen Unternehmensnetzwerks. Ein wunder Punkt ist oft auch die Verwaltung von Zugriffsrechten. Netzwerkdienste temporär für Dritte zu öffnen, um Daten zu teilen oder Aufgaben wie Fehlerbehebung, Software-Support, Reporting durchzuführen, ist durchaus üblich. Riskant wird es jedoch, wenn der Zugang nach Beendigung der Zusammenarbeit nicht wieder gesperrt wird. Das Berechtigungsmanagement in großen Unternehmen ist komplex – insbesondere wenn es sowohl bei Mitarbeitern als auch bei Dritten unterschiedliche Regelungen gibt, wer für welche Dienste in welchem Zeitraum (z. B. Amazon S3 Bucket) autorisiert ist.
Digitales Risikomanagement
Es gibt eine ganze Reihe von praktischen Möglichkeiten, um eine sicheres Arbeiten mit Daten bei der Zusammenarbeit mit Dritten zu gewährleisten. Diese reichen von „einfachem“ Passwortmanagement über IP-Whitelisting bis hin zu einer sicheren Mehrfaktor-Zugangskontrolle (siehe Tabelle unten). Generell ist jedoch ein umfassendes digitales Risikomanagement gefragt, das über die unternehmenseigenen Netzwerke und Systeme hinausgeht und potentielle Bedrohungen im Auge behält. Vier Schritte sind dabei wesentlich:
Kritische Assets Identifizieren
Unternehmen müssen die digitalen Assets, Dokumente und Firmengeheimnisse kennen, die für ihr Geschäft die höchste Priorität besitzen. Liegt eine solche Aufstellung erst einmal vor, lassen sich auch geeignete Schutzmaßnahmen planen.
Kontinuierliches Monitoring
Scanning- und Monitoring-Tools können nicht nur das Open, sondern auch das Deep und Dark Web nach Daten und Bedrohungen durchkämmen. Öffentlich gewordene Dokumente können so frühzeitig aufgespürt werden, um im Idealfall weiteren Datenschutzverletzungen zuvorzukommen.
Detailanalyse
Im Rahmen einer Threat Intelligence Analyse und mit Hilfe von Sicherheitsberatern, können die gewonnenen Erkenntnisse weiter auf ihre Gefährlichkeit und Dringlichkeit hin überprüft werden. So können Unternehmen die für sie tatsächlich relevanten Risiken weiter priorisieren.
Remediation-Maßnahmen
Die Ergebnisse der Analyse dienen als Ausgangsbasis, um Gegenmaßnahmen zu überprüfen, zu bewerten und durchzuführen – und zwar idealerweise bevor die Daten von Dritten missbraucht werden.
Ein proaktives digitales Risikomanagement verschafft Unternehmen im Ernstfall einen deutlichen Zeitvorsprung, um die Folgen auf ein Minimum zu reduzieren. Langfristig liegt die Lösung jedoch in einem allgemein verantwortungsvolleren Umgang mit Daten. Damit sind auch die Unternehmen in die Verantwortung genommen. Schulung und Sensibilisierung von Mitarbeitern, Auftragnehmern und Beratern zu den Risiken des Kopierens und Archivierens von Arbeitsdateien können die Lage zumindest entschärfen. Zudem können Organisationen Backup-Lösungen einrichten, um Mitarbeitern wie Dritten eine Alternative zu öffentlichen Diensten im Web anzubieten.
Autor: Stefan Bange, Country Manager Deutschland, Digital Shadows
