Daten: Es gibt viele, sie sind wertvoll – und sie bedeuten Ärger. Der Breach Level Index hat festgehalten, dass 2014 über eine Milliarde Datensätze verletzt wurden, eine Zunahme von 78% gegenüber 2013. Das Jahr 2015 bewegt sich auf einem ähnlichen Niveau. In den ersten beiden Quartalen gingen je fast 340 Millionen Datensätze verloren.
Datenverlust wirkt sich auf uns alle aus, auf individueller Ebene oder innerhalb von Organisation. Alle Arten von Unternehmen sind betroffen, unabhängig von der Grösse. In einer Studie des Center for Media Data über Data Breaches in Europe wurde herausgearbeitet, dass 51 Prozent aller Datenpannen Unternehmen betrafen, von denen wiederum wiesen 41% von Hackern kompromittierte Datensätze auf. Der Rest fiel auf Insider-Datenpannen oder Missmanagement. Die in Europa am stärksten betroffene Nation ist Grossbritannien. Dort berichteten 93% der grossen Organisationen über Verletzungen der Datensicherheit in 2013.
Formen von Cyberkriminalität
Verlust und Diebstahl von Daten stellen gemäss PricewaterhouseCoopers (PwC) die am meisten verbreitete Form von Cyberkriminalität dar. In ihrem Report über den Global State of Information Security 2016 führen sie die Top vier Sicherheitsvorfälle auf:
- Computerdatensätze kompromittiert
- Mitarbeiterdatensätze kompromittiert
- Verlust oder Beschädigung interner Datensätze
- Verlust von geistigem Eigentum
2015 fiel bis jetzt durch das hohe Niveau an Datenverlust und Datendiebstahl auf. Alle Marktbereiche werden zum Ziel und es gibt viele Beispiele aus dem Gesundheitswesen, der Finanzbranche und von staatlichen Organisationen.
Einer der grössten Fälle mit den weitreichendsten Konsequenzen ereignete sich beim US-amerikanischen Autoversicherer Anthem. Betroffen waren Ende 2014 fast 80 Millionen Kundendatensätze. Auch in Europa gab es mehrere grosse Vorfälle, zum Beispiel beim Reiseunternehmen Think W3, das fast 1.2 Millionen Datensätze von Kunden durch einen SQL-Injection-Angriff verlor. Jüngeren Datums ist der Fall von Carphone Warehouse und dem Partner Experian, die die persönlichen Informationen von 2.4 Millionen Kunden verloren. In Deutschland war der Server des Bundestags das Ziel. Dabei wurden persönliche Angaben zu rund 18 Millionen Bürgern Deutschlands gestohlen. Der Angriff wird einer vom Ausland initiierten Trojaner-Malware zugeschrieben.
Datenverlust: Was geschieht wie und warum?
Das Problem ist, dass es nicht bloss eine Taktik oder Methode gibt, die dem Verlust von Daten Rechnung trägt. Datenverlust kann viele Formen annehmen. Organisationen verlieren verschiedene Arten von Daten:
- Cyperspionage/Diebstahl von geistigem Eigentum (IP, intellectual property). PwC schätzt in seinem Global State of Information Security 2015 , dass der Verlust von Geschäftsgeheimnissen (IP) jährlich bis zu $ 2.2 Billionen betragen könnte. Im gleichnamigen Report für 2016 wurde festgehalten, dass IP-Diebstahl 2015 um 56% zunahm.
- Finanzzahlen von Unternehmen. Das betrifft Unternehmen aller Grössen. Es gibt eine Reihe von Methoden, die eingesetzt werden, um sich Zugang zu Bankkonten von Firmen zu verschaffen. Ein Beispiel findet sich in einer kürzlichen FBI Warnung vor Bankbetrug mittels kompromittierter Geschäftsemailkonten.
- Personenbezogene Daten (PII)/Identitätsdiebstahl. Dies entwickelt sich immer mehr zu einem grossen Thema, gerade mit Blick auf einige der bisher grössten Verletzungen der Datensicherheit in den letzten 12 Monaten. Zu einem zunehmenden Problem wird es, weil PII bei Web-Services für die Identifikation und Identitätsbestätigung verwendet werden. Das bedeutet, dass wenn persönliche Informationen einer Person zum Verkauf auf den Schwarzmarkt der Cyberkriminellen gelangen, diese für andere Attacken verwendet werden können. Dies zeigt auch das Beispiel des Coups bei der IRS, der US-amerikanischen Steuerbehörde.
- Datensätze. Datensätze unterscheiden sich von PII und enthalten firmeneigene Daten oder Elemente wie medizinische Scans etc. Gestohlene Datensätze können auf den Schwarzmarkt gebracht werden, wo hunderte von Dollars pro Datensatz geboten werden. Zum Beispiel liegt der durchschnittliche Preis für eine Krankenakte bei $363.
Wie stehlen Cyberkriminelle die Daten?
Die nachfolgende Aufzählung ist nicht vollständig, aber sie zeigt Schwachstellen innerhalb von Organisationen auf und schildert die Taktiken, wie diese ausgenutzt werden:
- Advanced Persistent Threat (APT). Typisch für diese „fortgeschrittene, andauernde Bedrohung“ ist die lang anhaltende und langsame Exfiltration von Daten. In der Regel wird diese Methode genutzt, um betriebseigene Information bzw. intellektuelles Eigentum abzuzügeln. Ein Angriff dieser Art fand zum Beispiel 2009 auf Google statt. Er verbreitete sich auch auf andere Unternehmen wie Adobe und Rackspace. Es wird angenommen, dass chinesische Hacker (wahrscheinlich mit Regierungsunterstützung) hinter diesem Angriff steckten, der bekannt wurde unter dem Namen „Operation Aurora“. Ziel des Angriffs war das geistige Eigentum Googles (und das anderer Unternehmen). Diese APT war ein typischer Angriff, bei der sich Malware einer Softwareschwachstelle bedient. Dies wird Zero-Day-Exploit genannt und steht für eine Softwareschwachstelle, die dem Hersteller nicht bekannt ist entsprechend angreifbar bleibt. Die Malware sandte in der Folge Daten zurück an eine Art von Hackern betriebene Kommandozentrale. APTs können lange Zeit unentdeckt bleiben, was ihnen ermöglicht, fortlaufend gestohlene Daten an die Kommandozentrale zu schicken. Seit dem Angriff auf Google sind APTs noch ausgeklügelter geworden. Ihr Aufbau ist darauf ausgelegt, traditionelle Firewalls zu umgehen.
- Phishing und Spear Phishing. Phising gehört zu den beliebtesten Methoden, um Malware in einen Computer zu pflanzen. Der Report State of the Phish schätzt, das 2013 bis 2014 95% aller Cyberspionageangriffe und 80% aller Malwareinfektionen von einem Phishing- oder Spear-Phishing-E-Mail ausgingen. Nach einer Infektion werden Malware-Websites bzw. gefälschte Websites eingesetzt, um Daten zu exfiltrieren, inklusive Anmeldedaten für Unternehmensressourcen wie Datenbanken.
- Insider Threat. Dieser Bedrohungstyp hat viele Dimensionen, bösartige wie auch nicht-bösartige. Der einfache Verlust von Daten aufgrund von Unachtsamkeit ist ein beständiges Problem für Unternehmen. Zum Beispiel nur schon reines Fehlversenden von E-Mails verursacht laut einem Verizon Report bis zu 44% der Fälle von unbeabsichtigter Datenpreisgabe.
- Malware. Wie bereits erwähnt ebnet Phishing den Weg in eine IT-Umgebung. Doch nach dem Eindringen ist es der Malware-Code, der sein dunkles Werk verrichtet. Eine besonders finstere Malware-Variante ist Ransomware. Dabei werden Daten verschlüsselt und zwar nicht nur auf der Festplatte, sondern potentiell auch im Netzwerk und sogar im Cloudspeicher. Danach erpresst der Cyberkriminelle den Datenbesitzer, indem er eine Bildschirmanzeige mit Geldforderungen für eine Entschlüsselung erscheinen lässt. Natürlich gilt das Wort eines Cyberkriminellen nicht viel. Ransomware hat sich in letzter Zeit explosiv verbreitet. McAfee beziffert die Zunahme mit 165%. Die Schäden allein für diese Art von Malware beliefen sich 2014 auf $18 Millionen.
Wie der Verlust von Firmendaten Ihr Geschäft beeinträchtigt
Beim Datenverlust geht es nicht nur um die direkten finanziellen Auswirkungen. Betroffen sind auch die Marke und der Ruf des Unternehmens. So hat das Ponemon Institut festgestellt, dass die massivsten Kosten in Verbindung mit APT die Marke und den Ruf betreffen.
Bussen für die Nichteinhaltung von Bestimmungen beim Diebstahl von Kundendatensätzen und bei PII nehmen zu und tangieren auch zunehmend Geschäftsführer. Zum Beispiel wurde das britische Justizministerium mit £180‘000 gebüsst. Grund war der Verlust von fast 19‘000 Gefängnisdossiers als eine nicht verschlüsselte, nicht passwortgeschützte mobile Festplatte verloren ging. Bei der Verletzung der Datensicherheit beim US-amerikanischen Unternehmen Target gingen rund 40 Millionen Kundenkartenangaben und 70 Millionen PII verloren. In der Folge sah sich das Unternehmen mit Sammelklagen konfrontiert. Und Datenschutzgesetze, die in den meisten Ländern bestehen, werden auf Geschäftsführer angewendet, was zu hohen Bussen führt. Beispielsweise gibt es eine spezifische Klausel in einer Verordnung („Act for Unfair or Deceptive Acts or Practices“) der Federal Trade Commission, der US-Bundeshandelskommission, die ihr erlaubt, Geschäftsführer zu belangen, die nicht für genügend Schutz gesorgt haben, um den Verlust von Kundendaten zu verhindern.
So schützen Sie Ihre Unternehmensdaten
Doch es ist nicht alles verloren. Es gibt Mechanismen und Werkzeuge, die helfen, nicht nur Risiken zu minimieren, die von der Cyberkriminalität ausgehen, sondern auch von unbeabsichtigten Datenverlusten durch Mitarbeitende. Dabei ist es wichtig, in einem ersten Schritt die Datenflüsse in Ihrem Unternehmen zu verstehen, sowohl die internen wie auch jene in die Aussenwelt, besonders die ins Internet. Das Mapping Ihrer Datenflüsse ist ein grundlegendes Element Ihrer Sicherheitsstrategie und ermöglicht Ihnen, einen Schlachtplan für den Datenschutz zu entwickeln.
Als nächstes kommt die Bewusstseinsbildung bzw. Aufklärung. Das kann verschiedene Formen annehmen, so zum Beispiel Mitarbeitertrainings, um Phishing-Versuche zu erkennen. Generell muss das Bewusstsein in allen Teilen der Organisation vorhanden sein, vom Management bis zur Basis, damit echte Abwehrmassnahmen entstehen können.
Der Einsatz der richtigen Werkzeuge ist unerlässlich in einer übergeordneten Sicherheitsstrategie für den Datenschutz. Die für Ihr Unternehmen passenden Werkzeuge können auf der Basis des Risikoprofils und (wie erwähnt) der Datenflüsse ermittelt und installiert werden. Herkömmliche Sicherheitswerkzeuge wie Anti-Virus-Tools haben nach wie vor ihre Berechtigung. Jedoch spielen heute moderne Tools wie Smart Web Application Protection eine wichtige Rolle in modernen Organisationen, deren Daten ausserhalb des Unternehmensperimeters fliessen.
Passende Authentisierungsverfahren für den Schutz von Anwendungen und Datenzugriffen sind weitere Bereiche, die Aufmerksamkeit verdienen, denn viele Verletzungen der Datensicherheit beginnen mit dem Verlust oder dem Diebstahl von Anmeldedaten. Manchmal werden diese Anmeldedaten bei Drittparteien gestohlen. Es ist darum wichtig, über einen korrekten Credentialing Prozess zu verfügen, und zwar über das gesamte erweiterte Unternehmen hinweg, inklusive des mobilen Arbeitens (BYOD). Sichere Credential Management Optionen, die den Zugang zu Web-Applikationen, Web-Services und Daten des Unternehmens kontrollieren, sind für eine umfassende Sicherheitsstrategie zum Schutz von Daten wesentlich.
Die Daten, die Marke sowie der Ruf Ihres Unternehmens wie auch das Image der Führungskräfte lassen sich schützen – mit dem richtigen Vorgehen und den richtigen Werkzeugen im Einsatz.
Michael Liebi ist Gründer und nun als Board Member bei United Security Providers tätig.