Fachartikel

Was tun gegen Insider-Bedrohungen?

Nicht immer kommt nur Gutes aus den eigenen Reihen. Unternehmen, die sich zu sehr auf die Abwehr von externen Cyberangriffen konzentrieren, laufen Gefahr, die Bedrohungen von Innen zu unterschätzen – die Zahl der Datenschutzverletzungen durch interne Akteure steigt. Ein Grund dafür ist das Alles-oder-nichts-Prinzip, nach dem in vielen Systemen der Datenzugriff geregelt ist. Zudem benötigen für einen modernen Geschäftsbetrieb immer häufiger Außenstehende Zugriff auf Unternehmensdaten. Der Fachartikel beschreibt, wie sich die Risiken reduzieren lassen.
Durch Insider bedingte Sicherheitsprobleme bleiben in Unternehmen oft lange Zeit unerkannt.
Wenn es um Sicherheit geht, konzentrieren sich die meisten Unternehmen aus gutem Grund zuallererst auf Maßnahmen zur Sicherung von Endpunkten, Anwendungen, Perimetern und Netzwerken. Schließlich wird dort, wo das unberechtigte Eindringen ins unternehmenseigene Netzwerk verhindert wird, auch ein wichtiger Beitrag zum Schutz der Infrastruktur geleistet. Manche Unternehmen verzeichnen täglich mehrere Hundert solcher Angriffsversuche. Wer sich jedoch ausschließlich auf die Netzwerksicherheit konzentriert, schafft eine harte Schale mit einem weichen Kern. Ist diese harte Schale erst einmal geknackt, dann ist die Bahn frei für unberechtigte Datenzugriffe, denn keine Netzwerkabwehr ist unüberwindbar und Angreifer befinden sich dann wahrscheinlich bereits innerhalb des Netzwerks.

Nach Knacken des Perimeters direkt im Netzwerk
Genauso sind einige der größten Datenlecks entstanden: Insidern ist unberechtigterweise der "Generalschlüssel" in die Hände gefallen. Die Anzahl an Sicherheitsvorfällen, bei denen interne Akteure eine Rolle spielen, steigt. Die Zahlen variieren, aber im Allgemeinen lässt sich sagen, dass interne Akteure an einem Viertel aller Datenschutzverletzungen beteiligt sind. Im Gesundheitswesen sind Insider sogar für 68 Prozent aller Datenlecks verantwortlich.

Leider sind viele Systeme für derartige Angriffe anfällig, weil sie den Datenzugriff ausschließlich nach dem Alles-oder-nichts-Prinzip ermöglichen und keine granularen Sicherheitskontrollen bieten. Das Problem der Insider-Bedrohungen wird zusätzlich dadurch erschwert, dass in modernen Unternehmen Mitarbeiter, Auftragnehmer, Subunternehmer, Handelspartner, Berater, Wirtschaftsprüfer und andere Beteiligte Zugriff auf Daten benötigen. Oft genug ist es deshalb schwierig zu unterscheiden, wer nun intern und wer extern ist.
Risiko minimieren durch richtlinienbasierte Zugriffskontrollen
Manchmal sind es gerade die vermeintlich harmlosen Daten-Management-Entscheidungen, die zu den größten Insider-Bedrohungen führen. So besitzen zum Beispiel viele Organisationen Data Lakes, die allgemein zugänglich sind und wahre Fundgruben darstellen. Data Lakes stellen jedoch oft Risiken für die Sicherheit und die Compliance in Unternehmen dar, da diese Systeme nicht über geeignete Kontrollen verfügen und damit potenziell gegen bestimmte Regeln und Vorschriften bezüglich der Kundendaten verstoßen wird.

Es steht zweifelsohne fest, dass Unternehmen heute eine verbesserte Datensicherheit brauchen. Die Lösung kann jedoch nicht darin bestehen, das gesamte System vollständig abzuriegeln. Denn das Ziel der Datensicherheit muss stets mit einem praktikablen Maß an Datennutzbarkeit vereinbar bleiben. Das heißt, dass Unternehmen über geeignete Sicherheitskontrollen verfügen müssen, um zu gewährleisten, dass freigegebene Daten zugänglich sind und sich von Akteuren mit entsprechenden Zugangsberechtigungen innerhalb und außerhalb des Unternehmens nutzen lassen. Außerdem muss eine Aufgabentrennung gegeben sein, damit die Administratoren, die die Berechtigungen erteilen, nicht selbst Zugriff auf die Daten haben.

Rollen-und richtlinienbasierte Zugriffskontrollen sind unerlässlich, um Daten und die damit verbundenen Zugriffsrechte zu verwalten, zu bewahren und zu überprüfen. Wenn diese Kontrollen nicht verwaltet werden, entsteht unnötige Komplexität und zusätzliches Risiko.

Mehr Sicherheit durch robuste, verschlüsselte Datenbanken
Ein guter Ausgangspunkt für Präventionsmaßnahmen ist die Quelle des Problems, nämlich die Daten selbst. In diesem Zusammenhang ist das Datenbankmanagement und die dafür notwendige Technologie von größter Bedeutung. Eine der sichersten Methoden für die Sicherung und Verwaltung von strukturierten und unstrukturierten Daten ist eine robuste, operationale NoSQL-Datenbank mit detaillierten Zugangskontrollen, um trotz Datenfreigabe eine optimale Datensicherheit zu gewährleisten.

Eine zusätzliche Funktion, die direkt auf das Problem der Insider-Bedrohungen eingeht, ist die erweiterte Verschlüsselung. Denn ohne eine solche Verschlüsselung können Systemadministratoren, Cloudanbieter oder Hacker auf Dateien zugreifen und diese verändern – und das trotz Dateisystemverschlüsselung. Dies gilt auch für Dateien in einer Datenbank.

Die erweiterte Verschlüsselung ermöglicht es, Daten, Konfigurationseinstellungen und Protokolle auf Datenträgern und somit auch im nichtbenutzen Zustand zu verschlüsseln. Für diese Funktion sind keine Modifikationen an Anwendungen erforderlich, die mit NoSQL entwickelt wurden. Zudem ermöglicht die optionale Nutzung eines externen Key Management Systems die Trennung von Aufgaben und die Integration in die vorhandene Sicherheitsinfrastruktur.

Fazit
Der Umgang mit Risiken durch Insider-Bedrohungen ist einer der schwierigsten Aspekte jedes Sicherheitsprogramms. Umso wichtiger ist es für Unternehmen, dafür effektive Technologien zu verwenden. Es ist nicht immer möglich zu wissen, wo die Quelle der Bedrohung liegt. Was sich aber immer anbietet, ist eine verantwortungsvolle Führung und Kontrolle darüber, wer Zugriff auf welche Daten hat und wann und wie diese Daten geteilt werden können. Mit geeigneten Tools für das Datenmanagement können sich Unternehmen gegen Bedrohungen von außen und innen wappnen und so für Sicherheit sorgen. Ein intelligentes Datenmanagement kann viele Sicherheitsrisiken verringern und es Organisationen ermöglichen, sich auf die effektivere Nutzung ihrer Daten zu konzentrieren.
10.07.2019/ln/Dr. Stefan Grotehans, Senior Director Solutions Engineering DACH bei MarkLogic Deutschland

Nachrichten

Einfallstor RDP [22.07.2019]

Sophos hat seine knapp viermonatige Studie "RDP Exposed: The Threat That’s Already at your Door" abgeschlossen und die Langzeitergebnisse veröffentlicht. Sie zeigt, wie Cyberkriminelle unerbittlich versuchen, Unternehmen via Remote Desktop Protocol anzugreifen. Dies sind die wichtigsten Ergebnisse zusammengefasst. [mehr]

Spionage-Apps in Google Play [18.07.2019]

Die Sicherheitsforscher von Avast haben sieben Apps im Google Play Store entdeckt, die wohl dazu gedacht sind, Mitarbeiter, Partner oder Kinder auszuspionieren. Dem Serverstandort nach zu urteilen stammen die Anwendungen von einem russischen Entwickler. [mehr]

Mit der Brechstange [17.07.2019]

Tipps & Tools

Hyper-Threading Ein- und Abschalten [9.06.2019]

Simultaneous Multithreading (SMT) oder Hyper- Threading sind Technologien, die entwickelt wurden, um die CPU-Leistungsfähigkeit durch Parallelisierung von Berechnungen zu verbessern. Dieser Tipp zeigt Ihnen, wie Sie Hyper-Threading aktivieren und deaktivieren und weist auf Besonderheiten hin, die auf unterstützter Hardware zu beachten sind. [mehr]

Ubuntu-VM in Citrix erstellen [19.05.2019]

In Citrix-Umgebungen lassen sich unter Umständen nicht alle Applikationen als sogenannte 'Published Apps' bereitstellen, da es Abhängigkeiten zwischen Anwendungen gibt oder diese teils miteinander interagieren müssen, wofür ein kompletter Desktop benötigt wird. Möglicher Ausweg kann dann sein, für bestimmte Nutzer dedizierte Linux-VMs auf Basis von Ubuntu 16.04 zur Verfügung zu stellen, die per Machine Creation Services aus einem gemeinsamen Image erzeugt werden. Die Vorgehensweise dabei ist jedoch nicht ganz einfach. [mehr]

Buchbesprechung

Anzeigen