Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Freitag, März 16, 2018 12:35 - noch keine Kommentare
Fünf Warnsignale für Datenmanipulationen
Unternehmen können große finanzielle Schäden und Wettbewerbsnachteile entstehen
Von unserem Gastautor Gerald Lung, Country Manager DACH bei Netwrix
[datensicherheit.de, 16.03.2018] Die Manipulation von sensiblen Daten, wie Daten-Exfiltration, -Löschung, und -Verschlüsselung sind ein ernstes Problem für Unternehmen. Böswillige Angreifer können unautorisierte Änderungen in kritischen Datenbanken vornehmen, die zu großen Schäden und Wettbewerbsnachteilen führen können. Der Hintergrund für solche Datenmanipulationen könnte ebenso ein verärgerter Mitarbeiter sein, wie auch Wirtschaftsspionage oder gut organisierte Kampagnen von Cyberkriminellen, um Daten mit nationaler Bedeutung für politische und finanzielle Ziele zu verändern.
Gerald Lung, Country Manager DACH bei Netwrix
Oftmals werden die Folgen erst langfristig deutlich, aber deshalb sind sie nicht weniger schwerwiegend. Um sich das zu verdeutlichen, kann man sich neben Unternehmen auch Gesundheitseinrichtungen und Sicherheitsbehörden vorstellen, für die unerlaubt geänderte Daten eine Katastrophe sein können: Was ist, wenn Geschäftsgeheimnisse betroffen sind, oder sich ein Arzt auf böswillig manipulierte Aufzeichnungen stützt und seinen Patienten unwissentlich die falschen Medikamente oder Heilmittel verschreibt.
Frühzeitige Erkennung entscheidend
Unternehmen sollten lernen, die fünf Anzeichen für mögliche Manipulationsversuche frühzeitig zu erkennen. Obwohl keines dieser Zeichen für sich genommen ein Beweis für böswillige Absichten ist, sollten die Verantwortlichen für die Informationssicherheit diese als gute Gründe betrachten, die Vorgänge in ihrem IT-System kritisch zu bewerten und gegebenenfalls eine gründliche Sicherheitsuntersuchung durchführen.
- Fehlgeschlagene Leseversuche
Fehlgeschlagene Leseversuche treten auf, wenn Benutzer versuchen, Dateien zu öffnen auf die sie keinen Zugriff haben. Ein bestimmter fehlgeschlagener Leseversuch kann zufällig sein, beispielsweise, weil jemand einen Projektnamen oder ein Kennwort vergessen oder sich dabei verschrieben hat. Allerdings könnte auch jemand ohne die notwendigen Berechtigungen gezielt versuchen, auf Finanz- oder andere sensible Daten zuzugreifen. Wenn sich die fehlgeschlagenen Leseversuche eines einzelnen Benutzers von mehreren Endpunkten oder mehrerer Nutzer von einem Gerät häufen, dann könnte dies ein Hinweis auf einen Brute-Force-Angriff sein. Wenn Sicherheitsverantwortliche ungewöhnliche Aktivitäten finden, lässt sich oft schnell ermitteln, ob Benutzerkonten kompromittiert wurden. - Ungewöhnlich viele Datenzugriffe
Ebenfalls verdächtig ist, wenn eine Person auf eine übermäßige Anzahl von Dateien und Ordnern innerhalb von kurzer Zeit zugreift, sie liest oder ändert. Hier sollte eine Untersuchung eingeleitet werden, um die Aktivitäten näher zu bestimmen: Was wurde warum gemacht? Welche Aktivitäten fanden in letzter Zeit statt, die damit möglicherweise im Zusammenhang stehen? In solchen Fällen ist die Wahrscheinlichkeit hoch, dass die Untersuchungen auf Daten-Exfiltration, Ransomware oder unerwünschte Insider aufdecken. - Verhaltensanomalien bei den Datenzugriffen
Unter Verhaltensanomalien sind Benutzer gemeint, die versuchen, auf sensible Daten zuzugreifen, auf die sie noch nie zuvor zugegriffen haben, sowie inaktive Benutzer, die plötzlich innerhalb kurzer Zeit aktiv werden. Beides kann ein Hinweis auf einen Angreifer sein. Um solche Fälle zu erkennen, müssen die Unternehmen einen Überblick darüber behalten, welche Accounts auf welche Daten zugreifen dürfen und welche Accounts ihre Berechtigung auch nutzen.
Als Sicherheitsmaßnahme sollten alle inaktiven Konten auf kritische Details wie Status und letzte Anmeldung kontrolliert werden, um nicht benötigte Konten zu bereinigen und Missbrauch vorzubeugen. Das bedeutet einerseits, dass verwaiste Accounts gelöscht werden. Andererseits sollten Rechte kritisch geprüft und gegebenenfalls eingeschränkt werden. Als Orientierung dient am besten das Prinzip des geringsten Privilegs, das heißt, jeder Nutzer sollte für seinen Account nur so viele Rechte erhalten, wie er wirklich benötigt, um seine Aufgaben zu erfüllen. - Tätigkeit außerhalb der Arbeitszeit
Nutzeraktivitäten außerhalb der Arbeitszeiten sind mittlerweile üblich, aber sie bleiben dennoch ein Indikator für böswillige Insider. Die Verantwortlichen aus dem IT-Sicherheitsteam sollten in diesem Fall das Gespräch mit dem Mitarbeiter und seinem Vorgesetzten suchen, um herauszufinden, ob die getroffenen Maßnahmen gerechtfertigt sind – zum Beispiel bei Dienstreisen oder Überstunden. Andernfalls können diese Benutzeraktivitäten außerhalb der Geschäftszeiten eine Bedrohung für die Datenintegrität darstellen, die weitere Untersuchungen erfordert, weil sich dahinter gestohlene Zugangsdaten oder böswillige Absichten verbergen können. - Zugriffe auf archivierte Daten
Datenarchive sind ein verlockendes Ziel für Cyberkriminelle, weil sie in der Regel äußerst sensible Daten enthalten, darunter persönliche Daten von Mitarbeitern, geistiges Eigentum und Finanzberichte. Eine hohe Anzahl von Lesezugriffen oder Änderungen an archivierten Daten ist ein stichhaltiger Grund für eine Sicherheitsüberprüfung, weil sie ein Warnzeichen für einen laufenden Angriff oder böswillige Insideraktivitäten sein kann. Um das Risiko für Datendiebstahl und -Manipulation zu minimieren, sollten die Benutzerberechtigungen regelmäßig geprüft werden, und gerade die Zugriffsrechte auf das Archiv nur restriktiv gewährt werden.
Fazit
Unternehmen sind stark gefährdet, wenn sie keinen Überblick über die Vorgänge in ihren IT-Umgebungen haben. Die Folgen können verheerend sein, wenn geistiges Eigentum oder geschäftskritische Daten manipuliert werden oder in falsche Hände gelangen, und deshalb kritische Entscheidung auf Basis falscher Informationen getroffen werden. Unternehmen müssen in der Lage sein, verdächtiges Verhalten schnell zu erkennen und das Verhalten bestehender Accounts zu prüfen, um der Herausforderung durch Datenmanipulation zu begegnen und ihre Daten vor unberechtigtem Zugriff zu schützen. Die Sichtbarkeit der Ereignisse in der gesamten IT-Infrastruktur hilft Unternehmen dabei, nicht autorisierte Benutzeraktivitäten in ihren kritischen Systemen zu erkennen und das Risiko von Sicherheitsverletzungen zu minimieren.
Über die Netwrix Corporation
Netwrix Corporation bietet eine Sichtbarkeitsplattform zur Analyse des Nutzerverhaltens und zur Risikominimierung, die die Kontrolle über Änderungen, Konfigurationen und den Zugriff in hybriden IT-Umgebungen ermöglicht, um Daten unabhängig vom Standort zu schützen.
Weitere Informationen zum Thema:
datensicherheit.de, 17.11.2016
IT-Sicherheit: Prognosen für 2017
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren