Sicherheitsverletzungen haben in den letzten Monaten immer wieder für Schlagzeilen gesorgt. Zwar haben es Hacker nach wie vor auf Kreditkartendaten abgesehen, doch der Trend geht zu umfangreicheren Datensätzen und zur Ausnutzung verschiedener wichtiger Vermögenswerte innerhalb eines Unternehmens. Infolgedessen müssen Unternehmen neue Systeme zur Identifizierung und Verfolgung wichtiger Informationsbestände entwickeln.
Die größte Sicherheitslücke in der Finanzbranche ereignete sich kürzlich bei JP Morgan Chase, wo schätzungsweise 76 Millionen Kundendaten und weitere 8 Millionen Unternehmensdaten von mehreren internen Servern gestohlen wurden. Bei Morgan Stanley wurde ein Mitarbeiter der Vermögensverwaltungsgruppe des Unternehmens entlassen, nachdem Informationen von bis zu 10 % der wohlhabendsten Kunden von Morgan Stanley nach außen gedrungen waren. Noch heikler war der bisher größte Verstoß im Gesundheitswesen: Bei Anthem wurden über 80 Millionen Datensätze mit personenbezogenen Daten, einschließlich Sozialversicherungsnummern, offengelegt. Weniger bekannt, aber potenziell kostspieliger in Bezug auf Schäden und Rechtsstreitigkeiten ist der angebliche Diebstahl von Geschäftsgeheimnissen durch den ehemaligen CEO von Chesapeake Energy (NYSE: CHK).
Was haben diese Sicherheitsverletzungen gemeinsam, und was macht sie so schlimm?
Bei Morgan Stanley und Chesapeake Energy handelte es sich in beiden Fällen um Insider-Bedrohungen, bei denen autorisierte Mitarbeiter auf Vermögenswerte des Unternehmens zugriffen und diese stahlen, während es sich bei JPMC und Anthem um gezielte Cyberangriffe handelte, bei denen Hacker in interne Datenbanken eindrangen und Kundendaten mit personenbezogenen Informationen stahlen. In allen vier Fällen waren wichtige Vermögenswerte innerhalb des Unternehmensnetzwerks nicht ausreichend gesichert, weil sie vernachlässigt wurden oder man einfach nicht wusste, wie wichtig die Aufsicht über spezielle Vermögenswerte ist. Die Sicherheitsverletzung bei Anthem ist besonders besorgniserregend, weil der Zugang zu sehr sensiblen personenbezogenen Daten weder streng kontrolliert noch verschlüsselt wurde, während die Daten "im Ruhezustand" waren.
Hacker und Insider haben es auf wichtige Vermögenswerte abgesehen
Die Trends sind eindeutig: Heutzutage denken Hacker und Insider in Kategorien von "Schlüsselwerten". Kreditkartennummern waren das Hauptziel für Diebstähle und Sicherheitsverletzungen, aber die verbesserte Betrugserkennung durch Kreditkartenunternehmen und die Umstellung auf chipbasierte Kreditkarten haben ihren Schwarzmarktwert verringert. In der Zwischenzeit ist der Wert von allgemeineren Datensätzen (persönliche Daten, Gesundheitsinformationen und geistiges Eigentum) gestiegen. Infolgedessen werden personenbezogene Daten für das Zehnfache des Preises gestohlener Kreditkartennummern verkauft.
Noch wichtiger ist, dass Berge von scheinbar wertlosen Dateneinträgen zu wertvollen Informationen werden können, wenn sie mit anderen Daten wie Privatadressen und Twitter-Handles korreliert werden. Das Sammeln großer Datenmengen und die Anwendung von Data-Mining- und Data-Science-Techniken hat es Bösewichten ermöglicht, aus großen Mengen unstrukturierter Daten einen Wert zu ziehen. Nach Angaben der DARPA können etwa 80 % der Amerikaner mit drei Daten identifiziert werden.
Oft ist der Wert von Schlüsselressourcen nicht auf den ersten Blick erkennbar, weil entweder der Informationsgehalt einer Ressource unbekannt ist (z. B. sensible Dateien auf einem bestimmten Server) oder der Inhalt bekannt ist, aber sein Wert unbekannt ist (z. B. E-Mail-Adressen, Twitter-Handles und andere öffentlich zugängliche Daten).
In beiden Fällen ist es schwierig, die Situation in den Griff zu bekommen: Ersteres ist oft auf menschliches Versagen oder schwer zu kontrollierende Systemmängel zurückzuführen, während im zweiten Fall die InfoSec-Teams der Unternehmen die Fähigkeiten, Kreativität und Motivation der Hacker einschätzen müssen. In beiden Fällen ist eine vollständige Einschränkung des Datenzugriffs oder eine Abschaltung der Netzressourcen keine praktische Lösung.
Identifizieren Sie die wichtigsten Vermögenswerte, um eine Situation zu überblicken
Das Problem besteht in der zuverlässigen und rechtzeitigen Identifizierung und Verfolgung wichtiger Vermögenswerte. Wenn Sie wissen, wo sich Ihre wichtigen Vermögenswerte (z. B. wertvolle Informationen) befinden, können Sie geeignete Schutzmaßnahmen ergreifen und viel präziser auf Bedrohungen reagieren. Ein Eindringen in Ihr Unternehmensnetzwerk oder ein Insider, der unbefugt auf Maschinen im Netzwerk zugreift, kann sofort bewertet und sogar verhindert werden, wenn Sie wissen, wie nah die Bedrohung an Ihren wichtigen Werten ist. Wie können Sie also die Anlagen, die Sie in Ihrem Netzwerk überwachen sollten, identifizieren, verfolgen und aktualisieren?
Es gibt kein allgemeingültiges Rezept dafür, wie man diese Liste der wichtigsten Ressourcen erstellt und auf dem neuesten Stand hält. Ein guter Anfang ist es, sowohl manuelle als auch automatische Mittel einzusetzen, um zu ermitteln, was in Ihrem Netz wichtig ist. Bei der manuellen Identifizierung werden die Informationen im Netz nach dem Wert ihres Inhalts aufgespürt, während bei der automatischen Identifizierung die Bestände nach Häufigkeit und Dauer der Nutzung aufgedeckt werden (unter der Annahme, dass Häufigkeit oder Dauer mit dem Wert gleichzusetzen sind).
Bei der manuellen Identifizierung stellt sich zunächst die Frage, welche Informationen Ihnen wichtig sind und welche Informationen, wenn sie gestohlen würden, für jemanden außerhalb Ihres Unternehmens wertvoll wären. Wie bereits erwähnt, geht es dabei nicht nur um Kreditkartennummern und Kundendaten, sondern auch um Verkaufszahlen, Unternehmenspräsentationen und sogar Aktivitätsprotokolle. Je gründlicher die manuelle Überprüfung ist, desto besser ist die endgültige Liste der wichtigsten Vermögenswerte.
Sobald die Liste erstellt ist, besteht der nächste Schritt darin, die Speicherorte der identifizierten Informationen zu ermitteln und sie in den Mittelpunkt einer Untersuchung der Bedrohung zu stellen. Befinden sich die Informationen nur auf bestimmten Servern mit Fernzugriff? Oder könnten sie auf weniger gesicherte Dateiserver oder Laptops kopiert werden? Auf diese Weise sollte eine Karte der Standorte potenzieller Schlüsselressourcen erstellt werden.
Eine ähnliche, aber ergänzende Analyse kann automatisch durch Beobachtung der Netzaktivitäten durchgeführt werden. Es ist zu prüfen, auf welche Daten im Netz am häufigsten zugegriffen wird. Die Häufigkeit des Datenzugriffs liefert einige eher triviale Informationen (z. B. Wiki-Seiten), offenbart aber sehr oft Informationen, die an verschiedenen Orten gespeichert sind und bei der manuellen Überprüfung übersehen wurden. Außerdem kann die automatische Verfolgung und Identifizierung ständig durchgeführt werden, so dass neue, kritische Informationsquellen im Netz sofort angezeigt werden, sobald sie entstehen.
Das offensichtlich letzte und kritischste Teil des Puzzles ist die effiziente Überwachung der Aktivitäten im Zusammenhang mit den identifizierten Schlüsselobjekten. Alle böswilligen Aktivitäten oder Schäden werden wahrscheinlich in der Nähe dieser Anlagen stattfinden, was den Raum, in dem gesucht werden kann, einschränkt.
Damit die tatsächliche Überwachung sicher und präventiv ist, muss man jedoch nicht nur nach vordefinierten Zugriffsmustern (z. B. große Downloads) suchen, sondern auch nach Anomalien. Nur durch Anomalien kann sichergestellt werden, dass künftige böswillige Aktivitäten im Zusammenhang mit den wichtigsten Ressourcen aufgedeckt werden können.
Obwohl das Risiko der Insider-Bedrohung klar ist, bleibt sie einer der am meisten unterschätzten und unterbehandelten Aspekte der Cybersicherheit. Dieser Bericht behandelt Maßnahmen, die jedes Unternehmen ergreifen kann, um den richtigen Weg zur Abwehr von Insider-Bedrohungen einzuschlagen.
Dieser Artikel wurde ursprünglich als Teil des IDG Contributor Network veröffentlicht.