Data Breaches in Unternehmen: Schnell erkennen, richtig handeln

Data Breaches sind für Unternehmen ein ernst zu nehmendes Risiko –  und das nicht erst seit der DSGVO.

Kaum eine Woche vergeht, in der die Medien nicht über den Verlust von vertraulichen oder sensiblen Daten berichten.

Der Schaden ist dabei oft nur schwer zu bemessen, weil neben dem materiellen Schaden der Daten selbst, oft auch ein immaterieller Schaden in Folge von Reputations- und Vertrauensverlust bei den Kunden erfolgt. Laut einer von IBM Security beauftragten Studie beläuft sich der durchschnittliche (!) Schaden eines Data Breach auf 3,62 Millionen US Dollar.

Zeit als kritischer Faktor

Maßgeblich für die Schadenshöhe ist die Zeit von der erstmaligen Infizierung eines Unternehmens, bis hin zur Erkennung und der endgültigen Bereinigung des Vorfalls. Je geringer dieser Zeitraum, desto geringer ist auch der entstehende Schaden.

Genau hier besteht jedoch für viele Unternehmen noch der größte Nachholbedarf. Im Durchschnitt beträgt die Zeit bis zur erstmaligen Erkennung eines Sicherheitsvorfalles im Unternehmensnetzwerk noch immer über 100 Tage. Dieser Durchschnitt ist allerdings nur begrenzt als Referenz zu sehen, da die Schwankungsbreite der Erkennung von 7 oder weniger Tagen bis hin zu über 2000 Tage beträgt. (Quelle: FireEye M-Trends 2018 Report).

Positiv zu betrachten ist, dass immer mehr Unternehmen Data Breaches intern erkennen, ohne von externen Akteuren oder Behörden auf diese hingewiesen zu werden. Am besten schneiden hierbei Unternehmen aus Nord-Amerika ab (64%), während im EMEA- (56%) und APAC-Raum (57%) noch Nachholbedarf besteht. Zurückzuführen ist dieser Trend auf Investitionen in Sicherheitstechnologien wie Security Analytics, SIEM (Security Information and Event Management), unternehmensweite Verschlüsselung und Threat Intelligence Sharing Plattformen.

Verhinderung durch Analyse der Cyber Kill Chain

Durch den immer verbreiteteren Einsatz von disruptiver Technologie (wie „Internet of Things“, AIBlockchain, usw.), Cloud-basierten Anwendungen und mobilen Geräten und Applikationen steigt auch die Komplexität. Damit haben vor allem die IT- und Sicherheitsabteilungen zu kämpfen. Gleichzeitig werden aber auch die Angriffe und dahinterstehende Gruppen immer ausgereifter und professioneller.

Vom US-amerikanischen Rüstungsunternehmen Lockheed Martin wurde deshalb im Jahre 2011 das Modell der „Cyber Kill Chain“ entwickelt, um solche Cyberangriffe zu beschreiben. Die typische Vorgehensweise von Angreifern wird hier in verschiedene Phasen unterteilt, in denen ein immer tieferes Vordringen des Angreifers beschrieben wird. Wird dieser in einer der Phasen vor dem Erreichen des eigentlichen Ziels gestoppt spricht man hier von einem erfolgreich abgewehrten Angriff.

Interne Prozesse müssen angepasst werden

Um Data Breaches und Angriffe auf das Unternehmensnetzwerk rechtzeitig zu erkennen und zu verhindern, bedarf es allerdings nicht nur technischer Maßnahmen,  auch die organisatorischen und internen Prozesse müssen angepasst werden.

Unbedingt erforderlich ist es, ein Berechtigungskonzept und -management zu besitzen, in dem geregelt ist, welche Benutzer Zugriff auf welche Services, Dokumente und Informationen haben. Dabei gilt das „Least Privilege“ Prinzip, d.h. nur der Zugriff auf jene Systeme ist notwendig, die für die Ausübung der jeweiligen Tätigkeit auch wirklich benötigt wird. Essentiell ist dabei, neben der minimalen Vergabe von Rechten, auch regelmäßige Überprüfungen durchzuführen und vergebene Rechte wieder zu entziehen, wenn z.B. Mitarbeiter die Abteilung wechseln. Nicht selten passiert es in Unternehmen, dass Mitarbeiter, vor allem Praktikanten, die in mehreren Abteilungen gearbeitet haben, mehr Rechte akkumulieren als ihre direkten Vorgesetzten.

Eine weitere sehr effektive Maßnahme zur frühzeitigen Erkennung von Infektionen und Data Breaches, ist es das Verhalten von privilegierten Accounts und Benutzer zu überwachen. Durch die erhöhten Rechte dieser Accounts sind diese das beliebteste Angriffsziel von Angreifern, um sich weiter im Netzwerk auszubreiten und einzunisten. Werden allerdings Aktivitäten wie Anmeldeversuche und Modifikationen der Benutzergruppen überwacht, können diese Angriffe meist noch erkannt und eingedämmt werden, bevor ein Angreifer bleibenden Schaden verursacht.

Technologische Maßnahmen ergreifen

Neben den organisatorischen Maßnahmen gibt es auch eine Reihe technischer Maßnahmen wie Data Breaches erkannt oder verhindert werden können. Oft braucht es dafür nicht einmal zusätzliche Schutzmechanismen, die bestehenden Informationen der Betriebssysteme und Schutzmechanismen müssen nur richtig interpretiert und ausgewertet werden. In beinahe jedem Unternehmen gibt es mittlerweile Anti-Viren- und Anti-Spam-Systeme, die inzwischen als Sicherheits-Mindeststandard angesehen werden. Durch die laufende Aktualisierung solcher Systeme und das Auswerten der beinhaltenden Informationen lassen sich viele Angriffe bereits an den Unternehmensgrenzen verhindern.

Trotzdem ist es für die Anti-Viren- und Anti-Spam-Herstellernaber längst nicht mehr möglich, alle Angriffe abzuwehren, weil die Angriffsmethoden immer besser und immer dynamischer werden. Gelingt es einem Angreifer, einen Arbeitsplatz zu infizieren, so versucht er, gleich tiefer ins Netzwerk vorzudringen. Dabei sollen Systeme mit mehr Privilegien und sensibleren Informationen infiziert werden. Diese Aktivität ist für den Angreifer eine der riskantesten Phasen der „Cyber Kill Chain“. Diese Versuche spiegeln sich in zahlreichen unerlaubten Zugriffs- und Anmeldeversuchen auf einer Vielzahl von Systemen und Arbeitsplätzen. Werden die von Microsoft Windows und Netzwerkequipment produzierten Ereignisse zentral in einem SIEM/SOC gesammelt und ausgewertet, lassen sich die sogenannten „Lateral Movement“-Aktivitäten sehr leicht erkennen und man kann Gegenmaßnahmen setzen.

Durch die Auswertung von Firewall- und Netzwerk-Ereignissen lässt sich die Kommunikation des Angreifers mit den infizierten Systemen eines Unternehmens oder im schlimmsten Fall die Daten-Exfiltration erkennen und unterbinden bzw. begrenzen.

Schützen auch Sie Ihre Daten im Unternehmen!

Unser Partner VACE verfügt über umfassende Erfahrung mit dem Aufbau und Betrieb von SIEM und SOC Lösungen und kann Unternehmensdaten bestens schützen, Sicherheitsvorfälle frühzeitig erkennen und Data Breaches verhinden. Der Betrieb und die Vorfalls-Behebung kann im Bedarfsfall durch den Kunden selbst oder als Managed-Service angeboten werden. Durch die Überwachung einer Vielzahl an Kunden und Industrien können Bedrohungen und neue Angriffe früher erkannt werden und gezieltere Schutzmaßnahmen eingeleitet werden.

Jetzt kontaktieren!
Artikel-Empfehlung