Experten-Kommentar von Thomas Ehrlich, Country Manager DACH von Varonis

[datensicherheit.de, 24.07.2018] Geistiges Eigentum und Informationen über die Produktionsabläufe sind die wertvollsten Assets der meisten Unternehmen, gerade in Industrien mit großem Wettbewerb und hochentwickelter Technologie wie der Automobilbranche. Wie die New York Times berichtet, waren nun vorübergehend knapp 47.000 solcher Dateien im Umfang von 157 Gigabyte online zugänglich, darunter Informationen von Volkswagen, Fiat, Tesla, Toyota, General Motors und Chrysler. Verantwortlich hierfür scheint der kanadische Automatisierungsspezialist Level One Robotics and Controls zu sein.

Foto: Varonis Systems

Thomas Ehrlich, Country Manager DACH von Varonis

Backup-Server ohne Passwortschutz als Ursache

Aufgespürt wurden die Daten vom Sicherheitsforscher Chris Vickery, der bereits zuvor schon zahlreiche Datenpannen entdeckt hatte. Fündig wurde er in diesem Fall wohl auf einem ungeschützten Backup-Server – ohne Passwortschutz oder Zugriffsbeschränkungen! Auf diese Weise konnte jeder, der sich mit dem Server verbunden hatte, die gespeicherten Daten problemlos herunterladen. Ob dies tatsächlich geschehen ist, ist derzeit noch unklar. Das grundlegende Problem hierbei: Wenn Sicherheitsforscher wie Chris Vickery sensible Daten aufspüren können, können das auch Cyberkriminelle und staatlich geförderte Hacker.

Herausforderung: Zusammenarbeit mit Partnern

Sicherlich kennen die Unternehmen den Wert ihrer Daten und investieren enorme Summen in den Schutz ihrer IT. Aber diese Datenschutzverletzung zeigt einmal mehr die Schwierigkeiten der Datensicherheit im eigenen Unternehmen und bei der Zusammenarbeit mit Partnern. Man kann nur das beschützen und sichern, was man sieht, und wenn die Daten in anderen Händen sind, wird es schwierig bis unmöglich einzugreifen. Gerade die umfangreichen Lieferketten und Partnerschaften im Automobilbau sind eine enorme Herausforderung. Trotzdem muss sichergestellt sein, dass jeder Partner, jeder der in Berührung mit sensiblen und vertraulichen Daten kommt, entsprechende Maßnahmen treffen und einhalten muss. Offensichtlich war dies bei Level One nicht der Fall. Deshalb sind  restriktive Zugriffsrechte und ein entsprechendes, durchgängiges Monitoring mit intelligenter Nutzerverhaltensanalyse notwendig, um schnell bei auffälligem Verhalten entsprechende Maßnahmen einzuleiten und seine Daten zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2018
Wenn über Drittanbieter-Tools die eigene Datensicherheit ausgehebelt wird

datensicherheit.de, 23.06.2018
Unzufriedenheit als Tatmotiv: Tesla-Leak und mutmaßliche Sabotage

datensicherheit.de, 08.04.2018
In vielen Unternehmen potenziell gefährliche Zugriffsmöglichkeiten auf Daten

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden