[datensicherheit.de, 28.06.2021] Dateiübertragungen – d.h. „Upload“ und „Download“ – sind für Unternehmen und die Produktivität ihrer Mitarbeiter offensichtlich von entscheidender Bedeutung: „Beispielsweise sind Datei-Uploads für Spesenmanagement-Plattformen, Content-Management-Systeme (CMS), Instant-Messaging- und Collaboration-Anwendungen und -Dienste unerlässlich. Mitarbeiter übertragen häufig Dateien an Teamkollegen, Kunden und Partner, und in der Regel geht man davon aus, dass der gesamte Übertragungsprozess sicher ist.“ Seit die „COVID-19-Pandemie“ jedoch dazu geführt habe, dass Mitarbeiter auf „Remote“-Arbeitsplätze auswichen, sei es von entscheidender Bedeutung, die Angriffsvektoren für böswillige Akteure zu reduzieren – „indem präzise Maßnahmen ergriffen werden, um die Sicherheit eines Unternehmens bei der Dateiübertragung zu gewährleisten“. Um die Transparenz und damit die Sicherheit im Netzwerkverkehr zu erhöhen, hat Palo Alto Networks nach eigenen Angaben die „Next-Generation Firewall ,App-ID‘“ neu im Programm.

Richtige Sicherheitsstrategie für Dateiübertragung im Netzwerkverkehr finden

Cyber-Bedrohungen mit Malware würden mit der Übermittlung von spezifischem Schadcode an die Opfer beginnen. „In der Regel geben Unternehmen viel Geld für Sicherheitslösungen aus, die externe Bedrohungen abwehren sollen. Allerdings sollten sie sich auch nicht Insider-Bedrohungen ausliefern.“ Personen, mit denen man am Arbeitsplatz ständig kommuniziert, bringe man oft ein höheres Maß an Vertrauen entgegen.
„Wie kann die richtige Sicherheitsstrategie bei der Dateiübertragung und das Zulassen von Anwendungen sowohl externe als auch Insider-Bedrohungen vermindern? Welchen Risiken und Bedrohungen der Dateiübertragungssicherheit sind Unternehmen täglich ausgesetzt?“
Palo Alto Networks‘ „Next-Generation Firewall ,App-ID‘“ solle Unternehmen bei der Erkennung von Bedrohungen durch Datenübertragungen im Netzwerk helfen und Unternehmen vor externen Hacks und internen Lecks schützen.

Risikofaktoren für Netzwerkverkehr beim Dateitransfer

„Sind Dateitransfers im Unternehmensnetzwerk zugelassen, können die Risiken Angriffe auf die Infrastruktur, die Benutzer, die Daten und die Verfügbarkeit der Dienste umfassen.“ Eine Schwachstelle beim Datei-Upload könne entscheidende Auswirkungen haben, „da Code auf dem Server oder dem Client ausgeführt werden kann“. Die hochgeladene Datei könne missbraucht werden, um andere anfällige Komponenten einer Anwendung auszunutzen oder Schwachstellen in fehlerhaften Bibliotheken auszulösen, „während die Datei auf demselben Rechner vorhanden ist“.
Ein weiteres erhebliches Risiko bestehe in der gemeinsamen Nutzung von Dateien auf Speicher-Servern, die häufig für Missbrauch ausgenutzt würden. Unternehmen könnten schädliche Dateien „hosten“, „die illegale Software, Malware oder Inhalte für Erwachsene enthalten“. „Firefox Send“ sei einer dieser Filesharing-Webdienste gewesen: „Er wurde nach nicht einmal einem Jahr eingestellt, da die Plattform von Bedrohungsakteuren zur Verbreitung von Malware und Spear-Phishing-Angriffen genutzt wurde.“
Auf der anderen Seite stiegen die Kosten böswilliger Insider-Angriffe von Jahr zu Jahr. Vorschriften wie HIPAA, DSGVO und der PCI-Datensicherheitsstandard verpflichteten Unternehmen zu strengen Datenschutz- und -sicherheits-Maßnahmen.

Herausforderung an Netzwerkverkehr: Die meisten Daten außerhalb des Unternehmens

Das Hauptproblem bei Datenübertragungen sei, dass sich die meisten Daten heute außerhalb des Unternehmens befänden (z.B. in der Cloud). „In Fällen, in denen Unternehmen keine angemessenen Schutzgrenzen, Richtlinien und Kontrollen für die Bewegung von Daten in die und aus der Cloud einrichten, kann es zu übermäßigen, nicht genehmigten Übertragungen kommen.“
Infolgedessen könnten böswillige oder unvorsichtige Insider durch nicht genehmigte Dateiübertragungen ein ernsthaftes Risiko darstellen. „Wenn es keinen Überblick über diese Dateiübertragungen gibt, können Insider-Bedrohungen zu Datenverlusten oder Sicherheitsverletzungen führen.“ Um das Risiko von Datendiebstahl und Datenverlust zu verringern, sollten Unternehmen relevante und begrenzte Übertragungen zulassen und „Data Loss Prevention“ einsetzen, um unnötige Datenübertragungen zu kontrollieren.
Die meisten Unternehmen seien mit Dateiübertragungen innerhalb ihrer Organisation beschäftigt, und die Transparenz dieser Dateiübertragungen sei der Schlüssel zur Vermeidung von Datenverletzungen. Palo Alto Networks‘ „Next-Generation Firewall ,App-ID‘“ z.B. biete eine detaillierte Auflistung der Anwendungen, welche in den Netzwerken der Unternehmen ausgeführt werden dürften. Es helfe Unternehmen, das Verhalten von Anwendungen einfach zu überwachen und zu kontrollieren, um Unternehmen vor Eindringlingen und Insider-Bedrohungen zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 15.03.2021
Home-Office: IT-Security grundlegend zu überdenken / Für IT-Security-Verantwortliche fühlt sich abrupter Wechsel in vollständigen Remote-Betrieb wie Umzug in den Wilden Westen an

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office / Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet

datensicherheit.de, 16.06.2014
Data Loss Prevention: Unternehmensdaten von innen schützen / Datenverlust kann erheblich Konsequenzen nach sich ziehen / Von unserem Gastautor Andrew Ladouceur, Clearswift

Zero Trust Network Access als Lösungsansatz zur Verminderung der Anfälligkeit von Unternehmens für Angriffe

Von unserem Gastautor Nicolas Casimir, EMEA CISO bei Zscaler

[datensicherheit.de, 18.03.2021] Der Jahresbeginn mit dem Schlag der internationalen Strafverfolgungsbehörden gegen die Betreiber der Emotet-Infrastruktur täuscht über den fortlaufenden Erfolg von Cyberkriminellen mit Lösegelderpressungen hinweg. 2020 war ein produktives und durchaus profitables Jahr für die Malware-Akteure weltweit. Schätzungen zufolge kosteten die Angriffe Unternehmen im Jahr 2020 weltweit über 20 Milliarden US-Dollar. Darüber hinaus nutzten die Angreifer die Gelegenheit, Millionen von Mitarbeitern ins Visier zu nehmen, die aus Sicherheitsperspektive meist unvorbereitet ins Home-Office verlagert wurden.

Unternehmen waren wenig vorbereitet auf das Home-Office

Die meisten Unternehmen waren nicht darauf vorbereitet, plötzlich große Teile ihrer Belegschaft aus der Ferne arbeiten zu lassen. Ihre vorhandene VPN-Infrastruktur kam schnell an die Grenzen und das Remote Desktop Protokoll öffnete auch Angreifern Wege ins Unternehmensnetz. Und da Ransomware nicht nur lukrativ, sondern auch einfach von den Angreifern einzusetzen ist, nutzten diese ihre Chance. Für Erpressungstrojaner sind heutzutage umfangreiche Malware-Baukästen im Dark Web erhältlich, die nur geringe Investitionen und minimale Programmier-Kenntnisse erfordern.

Nicolas Casimir, EMEA CISO bei Zscaler, Foto: Zscaler

Ransomware floriert

Auch wenn Emotet ausgeschaltet scheint, werden zahlreiche andere Gruppierungen den freigewordenen Platz schnell einnehmen, wie beispielsweise die Macher der Ryuk- oder der Locky-Ransomware. Die Gefahr einer Ransomware-Infektion bleibt daher bestehen und Unternehmen sollten sich nicht in falscher Sicherheit wähnen. Bei erfolgreichen Angriffen müssen betroffene Unternehmen mit Datenverlusten, Systemunterbrechungen oder sogar mit einem kompletten Betriebsstillstand rechnen. Die Wiederherstellung der Kontrolle über die Systeme, Netzwerke oder Daten ist zeitaufwändig. Hinzu kommt, dass jedes betroffene Unternehmen finanzielle, betriebliche, rufschädigende und möglicherweise auch regulatorische Konsequenzen zu tragen hat. Der Schaden durch einen Ransomware-Angriff geht demnach weit über die eigentlichen Auswirkungen auf das Netzwerk hinaus.

Cyberkriminelle gehen aktuell dazu über, die sogenannte Double Extortion als wirkungsvolle Strategie anzuwenden. Bei dieser Art der Doppelerpressung werden Systeme und Daten nicht nur verschlüsselt, sondern vorab auch sensible Daten abgeführt, um mit deren Veröffentlichung im Internet drohen zu können. In einer solchen Situation müssen Unternehmen in der Lage sein festzustellen, welche Daten entwendet wurden. Hier wird die Bedeutung einer Backupstrategie deutlich. Denn ohne Sicherheitskopie der Datenbestände ist ein Unternehmen nur schwerlich in der Lage, die Brisanz eventuell entwendeter Daten einzuschätzen, geschweige denn die Systeme wiederherzustellen. Im Idealfall hat das Unternehmen zuvor bereits weitreichendere Vorkehrungen getroffen und verhindert durch Data Loss Prevention den Datendiebstahl.

Führt man sich die Folgen eines potenziellen Angriffs vor Augen, erscheint es einfacher, eine Ransomware-Attacke zu verhindern als im Nachhinein Schadensbegrenzung zu betreiben. Dennoch vertraut manches Unternehmen dafür leichtsinnigerweise nach wie vor noch auf den Ratschlag der Benutzerschulung, um Anwender vom entscheidenden Klick auf verseuchte Links oder Attachments abzuhalten.

Security Awareness und Disaster Recovery

Es stimmt zwar, dass Unternehmen von Vorfällen verschont blieben, wenn ihre Mitarbeiter nicht mehr auf verdächtige Links klicken oder Anhänge herunterladen würden. Security-Awareness Trainings allein reichen allerdings nicht aus. Im Geschäftsleben ist es zudem nicht praktikabel, den Inhalt und die Kopfzeilen jeder E-Mail zu überprüfen und jeden Schriftverkehr zu hinterfragen, der im Laufe des Tages im E-Mail-Postfach eingeht. In den Augen eines Geschäftsführers mag die Wahrscheinlichkeit eines Ransomware-Angriffs, der durch den falschen Klick eines Benutzers ausgelöst wird, gering erscheinen im Vergleich zum alltäglichen Produktivitätsverlust der Mitarbeiter.

Disaster-Recovery-Pläne und eine Backup-Strategie sollten also zu jeder Sicherheitsstrategie hinzugefügt werden. Denn Sicherheitsvorfälle oder Systemausfall, auch wenn diese unbeabsichtigt ausgelöst werden, lassen sich nie gänzlich verhindern. Beide Maßnahmen werden aber eine Infektion mit Ransomware nicht per se verhindern können, sondern lediglich deren Folgen abschwächen.

Lösungsansatz Zero-Trust

Im Gegensatz zu traditionellen Sicherheitsansätzen, Backup- und DR-Strategien kann Zero Trust Network Access (ZTNA) die Anfälligkeit eines Unternehmens für Angriffe reduzieren. Zero Trust Network Access kann als Service bereitgestellt werden, der eine identitäts- und kontextbasierte, logische Zugriffsgrenze um Anwendungen herum schafft. Anwendungen werden vor Eindringlingen abgeschirmt und der Zugriff durch Mitarbeiter wird über einen Trusted Broker beschränkt. Dieser Broker verifiziert die Identität, den Kontext und die Zugriffs-Policies eines jeden Mitarbeiters, bevor er den Zugriff zulässt. Eine laterale Bewegung durch das Netzwerk wird damit unterbunden und zusätzlich die Anwendungsressourcen vor den Augen unbefugter Dritter verborgen. Somit lässt sich die Angriffsfläche von Unternehmen deutlich reduzieren.

Darüber hinaus kann ZTNA sicherstellen, dass die Mitarbeiter beim Zugriff auf das Internet und die Unternehmensanwendungen immer das gleiche Schutzniveau haben, unabhängig davon, wo sie sich befinden oder welches Gerät sie verwenden. Der Datenverkehr wird auf seinem gesamten Weg von einem Benutzer zu einer Anwendung gesichert. In einem Zero Trust-Modell kennt das Unternehmen die Identität jedes autorisierten Benutzers, sein Gerät und die Anwendungen, die er benötigt. Die Genehmigung für den Zugriff wird auf der Grundlage dieser Faktoren erteilt. Das Konzept macht die Infrastruktur für Angreifer unsichtbar und was nicht sichtbar ist, kann auch nicht von Cyberkriminellen angegriffen werden.

Fazit

IT-Teams sollten regelmäßig überprüfen, ob ihre Sicherheitsmaßnahmen den neuen Angriffstaktiken standhalten. Die reine Investition in die Schulung von Security Awareness und Investitionen in Backup und Disaster Recovery werden Unternehmen nicht vor Ransomware schützen können. Eine mehrschichtige Sicherheitsstrategie bedeutet, dass das Unternehmen zusätzlich in vorbeugende Sicherheitsinfrastruktur investiert. Präventive Technologien wie Zero Trust spielen für die Abwehr von modernen Bedrohungen eine zunehmend wichtige Rolle.

Weitere Informationen zum Thema:

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office

Best Practices zum Schutz vor Datendiebstahl

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 30.06.2020] Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch größere Gefahr vergessen – die Bedrohung durch Insider. Insider-Bedrohungen sind laut Verizon inzwischen für 34 Prozent aller Datenverstöße verantwortlich und können von unachtsamen Angestellten bis hin zu verärgerten Dienstleistern reichen. Das vielleicht stärkste Risiko geht jedoch von einer bestimmten Untergruppe aus – den ausscheidenden Mitarbeitern.

Sicherheitsrisiken durch ausscheidende Mitarbeiter

Für Unternehmen aller Größenordnungen haben ausscheidende Mitarbeiter schon immer ein Problem dargestellt. Denn sie verfügen nicht nur über den notwendigen Zugriff und das Wissen, wo sich sensible Daten befinden, sondern haben in der Regel auch ein Motiv. In einigen Fällen kann es einfach der Wunsch sein, Kopien der eigenen Arbeit für zukünftige Referenzen mitzunehmen. In anderen Fällen allerdings sollen sensible Daten an ein Konkurrenzunternehmen verkauft oder Insider-Wissen den Medien zugespielt werden. Hohe finanzielle Verluste und Reputationsschäden können die Folge sein. Aufgrund der unbekannten Variablen sind Unternehmen im Nachteil, wenn sie sich dieser Art von Bedrohung stellen müssen. Deshalb ist es wichtig, auf verdächtige Aktivitäten und Verhaltensweisen zu achten, die auf eine potenzielle Insider-Bedrohung hinweisen.

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian. Bild: Digital Guardian

Transparenz der Datenbewegungen zum Schutz vor Datendiebstahl

Um sich vor Datendiebstahl durch Insider zu schützen, ist in erster Linie eine Datensichtbarkeit an den Endpunkten erforderlich, aber auch dort, wo Daten das Unternehmen verlassen oder intern übertragen werden. Zumindest sollten Organisationen in der Lage sein, alle Arten von Dateibewegungen und Datenaustritten zu verfolgen und einen Audit-Trail darüber zu erstellen, was jeder Mitarbeiter vor seinem Ausscheiden aus dem Unternehmen gemacht hat. Auf diese Weise kann das Verhalten eines Mitarbeiters zwischen dem Zeitpunkt seiner Kündigung und seinem Ausscheiden genau überwacht und ihm, falls erforderlich, sogar beim Abschlussgespräch zur Klärung vorgelegt werden.

Warnzeichen für Insider-Bedrohungen durch ausscheidende Mitarbeiter

Zu den häufigsten Warnzeichen, die einen ausscheidenden Mitarbeiter als Insider-Bedrohung entlarven können, zählen Spitzen im Datenbewegungsvolumen, das heißt große Datenmengen, die auf USB-Geräte oder Cloud-Speicherorte wie Dropbox oder Google Drive gelangen. Wenn ein Unternehmen über eine Data Loss Prevention (DLP)-Lösung verfügt, ist es möglich, Dateien nach dem Grad ihrer Sensibilität zu kennzeichnen, sodass leichter zu erkennen ist, wie vertraulich die exfiltrierten Daten sind. Werden beispielsweise vertrauliche Dateien an E-Mails angehängt und entgegen den Unternehmensrichtlinien an eine private Domain wie Gmail oder Hotmail gesendet, würde die DLP-Lösung dies melden. Ein Sicherheitsanalytiker kann daraufhin den Vorfall untersuchen, um die Absicht der Person festzustellen, die die Datei versendet hat, und prüfen, wie sensibel ihr Inhalt war.

Maschinelles Lernen zur Verhaltensanalyse

In jüngerer Zeit haben Sicherheitsanbieter begonnen, maschinelles Lernen in ihren Lösungen einzusetzen, um Analysten zu entlasten, die in der Vergangenheit jeden Alarm manuell untersuchen mussten. Machine Learning bietet zudem die Fähigkeit, im Laufe der Zeit ein Standardverhaltensprofil für eine Person oder Maschine zu erzeugen. Einmal erstellt, wird alles, was außerhalb des Normalverhaltens liegt, automatisch für die weitere Analyse markiert, sodass die Sicherheitsteams verdächtige Aktivitäten viel schneller ausmachen können.

Natürlich ist die Bewegung großer Datenmengen nicht immer Grund zur Beunruhigung. Oftmals kann dies einfach das Ergebnis von Datensicherungen in Unternehmen sein. Andererseits können viele sensible Geschäftsgeheimnisse in nur einer einzigen Datei gestohlen werden. Deshalb ist es wichtig, genau zu wissen, welche Personen oder Applikationen auf sensible Informationen zugreifen, und sicherzustellen, dass die Daten angemessen geschützt sind.

Glücklicherweise haben sich die Vorgehensweisen ausscheidender Mitarbeiter in den letzten 15 Jahren nicht dramatisch geändert. Zwar mag es gelegentlich einen Mitarbeiter geben, der über das technische Know-how verfügt, gestohlene Daten in einer Bilddatei zu verstecken und mithilfe von Steganografie hinauszuschmuggeln, doch solche Fälle sind extrem selten. Mit den richtigen Sicherheitsvorkehrungen zur Überwachung auf verdächtiges Verhalten können Unternehmen Insider-Bedrohungen durch ausscheidende Mitarbeiter erheblich minimieren.

Weitere Informationen zum Thema:

datensicherheit.de, 18.05.2020
Cloud: Bewährte Methoden zur Eindämmung von Insider-Bedrohungen

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

Technologien zum Dateienaustausch sind mit Risiken verbunden

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 21.04.2020] Cloud-Storage- und File-Sharing-Anwendungen bringen Unternehmen aufgrund ihrer Skalierbarkeit und komfortablen Nutzung viele Vorteile. Wird File-Sharing jedoch nicht ordnungsgemäß verwaltet, kann dies schwerwiegende Auswirkungen auf die Datensicherheit haben. Jedes Mal, wenn Mitarbeiter Technologien zum Dateienaustausch verwenden, ist dies mit Risiken wie Malware-Infektionen, Verlust oder Offenlegung sensibler Informationen verbunden. Ohne geeignete Sicherheitsmaßnahmen können die Nachteile durch File-Sharing deutlich überwiegen, wenn kritische Unternehmensdaten wie Kunden-, Finanzinformationen, Geschäftsgeheimnisse und geistiges Eigentum zusätzlichen Bedrohungen ausgesetzt sind.

Bild: Digital Guardian

Christoph Kumpa, Director DACH & EE bei Digital Guardian

Maßnahmen für die File-Sharing-Sicherheit

Um Datensicherheitsrisiken zu minimieren, sollten Unternehmen einige Security-Maßnahmen bei der Nutzung von File-Sharing ergreifen. Hierzu gehören:

1. Aufklärung über Schatten-IT
   Der erste Schritt für eine effektive File-Sharing-Security besteht darin, alle Mitarbeiter über die Risiken aufzuklären, insbesondere im Hinblick auf Schatten-IT – heißt, die Nutzung von IT-Lösungen, die nicht offiziell von der IT-Abteilung implementiert und genehmigt wurden. File-Sharing per Schatten-IT beinhaltet die Nutzung privater E-Mail-Konten, kostenloser Cloud-Storage-Dienste und anderer File-Sharing-Systeme für Privatanwender. Diese entsprechen möglicherweise nicht den Sicherheitsstandards des Unternehmens und liegen in vielen Fällen außerhalb der bestehenden Sicherheitskontrollen.
2. File-Sharing-Richtlinien implementieren
   Neben der Aufklärung der Mitarbeiter über die Risiken durch Schatten-IT, schafft die Umsetzung einer formalen File-Sharing-Richtlinie Klarheit. Die IT- und Security-Teams sollten die Nutzung und Sicherheit von Filesharing-Systemen bewerten. So können sie entscheiden, ob sie eine Verwendung zulassen oder nicht, sowie Sicherheitsmaßnahmen ergreifen, falls ein System zugelassen wird. Zudem sollten Unternehmen die Entwicklung und Implementierung einer allgemeinen Richtlinie für die Nutzung von Dateien erwägen, die speziell für die Verwendung aller File-Sharing-Methoden gilt – einschließlich der Cloud-basierten und der, die zwischen Dateisynchronisierungs- und Datenfreigabe-Anwendungen eingesetzt werden.
3. Anwendungs- und Datentransparenz sowie Datenkontrolle
   Wichtig ist, dass die IT-Abteilung einen vollständigen Überblick über alle File-Sharing-Anwendungen hat, die von den Mitarbeitern für die gemeinsame Nutzung von Daten verwendet werden. Zudem sollte das IT-Team in der Lage sein, den Benutzerzugriff auf sensible Unternehmensdaten zu verwalten und zu kontrollieren. Auch müssen Mitarbeiter speziell über die Risiken von Datenverlust oder Diebstahl durch File Sharing aufgeklärt sowie über die Einhaltung der geltenden Vorschriften informiert werden. Zusätzlich helfen regelmäßig Audits, um die File-Sharing-Praktiken des Unternehmens zu analysieren und Sicherheitsrisiken zu identifizieren.
4. Datensicherheitslösungen für die File-Sharing-Security
   Die letzte Verteidigungslinie der File-Sharing-Security ist eine Datensicherheitslösung, die vor Datenverlust und Diebstahl durch File Sharing schützt. Data-Loss-Prevention-Technologien (DLP) bieten Sicherheit für File-Sharing-Anwendungen und Cloud-Storage durch eine Kombination aus Zugriffs- und Anwendungskontrolle, Endgerätesteuerung, Netzwerksicherheits-Appliances und anderen proaktiven Maßnahmen, die den Austausch sensibler Unternehmensdaten für nicht autorisierte Anwendungen, Endgeräte und Benutzer wirksam verhindern. Zu den Vorteilen der Einführung einer Datensicherheitslösung für die Sicherheit von File Sharing gehören:
   • Kontinuierliche Überwachung und Transparenz für alle Dateninteraktionen mit Web- und Cloud-Speicheranwendungen
   • Granulare Steuerung der Dateibewegung basierend auf Browser- und Betriebssystemereignissen, die Webanwendungen wie SharePoint, Dropbox und Google Apps betreffen
   • Automatische Klassifizierung und richtlinienbasierter Schutz von Daten, die von Webanwendungen heruntergeladen werden
   • Forensische Ereignisprotokolle für eine effektive Alarmierung, Berichterstattung und Richtlinienerstellung
   • Automatische Verschlüsselung sensibler Daten vor dem Austritt
   • API-Integration mit führenden File-Sharing-Anwendungen, um die Erweiterung der Datensicherheitsmaßnahmen des Unternehmens auf die Cloud zu ermöglichen

Mit der zunehmenden Verbreitung von Cloud Computing kann es für Unternehmen eine große Herausforderung sein, die Nutzung von Cloud-Storage und File-Sharing durch Mitarbeiter effektiv zu blockieren. Mit der richtigen Kombination aus Mitarbeiterschulungen, umfassenden Sicherheitsrichtlinien für den Dateiaustausch sowie Data-Loss-Prevention-Technologien können Unternehmen jedoch die Vorteile von Cloud Computing und File-Sharing nutzen und gleichzeitig Datensicherheitsrisiken minimieren.

Weitere Informationen zum Thema:

Digital Guardian
Enterprise IP & DLP Software

datensicherheit.de, 01.04.2020
Cloud Account Hijacking: Best Practices gegen Kontenmissbrauch durch Cyberkriminelle

datensicherheit.de, 23.03.2020
Digital Guardian führt Managed Detection & Response-Service ein

datensicherheit.de, 08.01.2020
Datenlecks: Kosten in Millionenhöhe

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe

datensicherheit.de, 17.09.2019
Advanced Malware: Fünf Best Practices zum Schutz / APT-Attacken dienen Spionage und Datendiebstahl

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation / Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken / 4 grundlegende „Best Practices“ für datenzentrierten Sicherheitsansatz

Datenverlust kann erheblich Konsequenzen nach sich ziehen

Von unserem Gastautor Andrew Ladouceur, Clearswift

[datensicherheit.de, 16.06.2014] Jeden Tag gehen sensible Unternehmensdaten verloren. Das ist eine Tatsache. Die Datentypen in Unternehmen sind dabei vielfältig – angefangen bei Finanz- und Personaldaten, M&A-Informationen,  privaten Kundendaten, Sozialversicherungsnummern, über Vertriebsprognosen und Informationen aus Forschung und Entwicklung, bis hin zu Kreditkartennummern und kompletten Marketingstrategien.

Betrachtet man diese Liste, wird schnell deutlich, dass bereits der Verlust weniger Gigabyte für Unternehmen erhebliche Konsequenzen nach sich ziehen kann. Die schwerwiegendsten sind Rufschädigung und negatives Markenimage, Kundenverlust, finanzielle Belastungen durch Gerichtsverfahren und der Verstoß gegen Compliance-Vorschriften. Ein zusätzliches Risiko stellt der Gebrauch mobiler und persönlicher Geräte am Arbeitsplatz im Rahmen von BYOD-Initiativen und der Speicherung von Daten in der Cloud dar. Das Analystenhaus Gartner schätzt daher, dass der Markt für Data Loss Prevention (DLP) in diesem Jahr eine Größenordnung von rund 500 Millionen Euro erreichen wird.

Die Vorteile von DLP:

• DLP unterstützt Organisationen bei der Entwicklung, Schulung und Umsetzung effektiver Geschäftspraktiken im Bereich Zugriff, Handhabung und Übertragung sensibler Daten.
• DLP ermöglicht das Reporting und den Workflow zur Unterstützung von Identity und Access Management (IAM), Initiativen zur Einhaltung der gesetzlichen Vorschriften, Schutz von geistigem Eigentum und Management von Datenschutzrichtlinien. Nahezu alle Unternehmen haben mit diesen Bereichen zu kämpfen.
• DLP unterstützt die Organisationen bei der Entwicklung, Schulung und Umsetzung effektiver Geschäftspraktiken zur Handhabung und Übertragung sensibler Daten.
• DLP hilft bei der dynamischen Anwendung von Richtlinien auf Grundlage der Einstufung von Inhalten in Echtzeit und vermindert Risiken durch effektive Früherkennung.

DLP-Lösungen strategisch auswählen

Viele Unternehmen haben diese Vorteile erkannt, halten jedoch DLP-Initiativen für schwierig und  kostspielig. Traditionelle DLP-Lösungen sind in der Tat dafür bekannt, dass die Umsetzung aufwendig ist und im Durchschnitt drei Jahre dauert. Pragmatische Unternehmen integrieren DLP und nutzen die Technologie als einen von mehreren Bausteinen für die Informationssicherheit. Erfolgreiche Unternehmen verfolgen dabei einen mehrstufigen Ansatz:

Schritt 1 – Festlegen der Ebenen

Unternehmen müssen sich im Klaren darüber sein, dass DLP allein nicht alle Probleme bei der Datensicherheit löst und alle Risiken beseitigt. DLP ist lediglich ein Bestandteil eines größeren Sets von Informationssicherheits-Tools.

Schritt 2 – Lokalisieren der Daten

Viele Daten werden bewegt, ohne dass Unternehmen es wissen. Doch um Unternehmensdaten zu schützen, müssen Unternehmen wissen, wo sie abgelegt sind oder wie sie übertragen werden. Unternehmen sollten folgende Fragen leicht beantworten können: wie viele Daten befinden sich in ihrem Netzwerk, wie viele dieser Daten befinden sich in Langzeitspeichern, wie viel ist archiviert? Doch nur ein Bruchteil der Unternehmen kann verlässliche Aussagen zu seinen Datenbibliotheken treffen. Mit Hilfe eines Data-Discovery-Projekts lassen sich alle Daten im Netzwerk ausfindig machen. Es kann jedoch Monate dauern bis die Hauptspeicherorte der Daten lokalisiert, dargestellt und dokumentiert sind.

Schritt 3 – Klassifizieren der Daten

Nicht alle Daten sind gleich. Daher ist ein Projekt erforderlich, um die Daten zu klassifizieren, und zu verstehen, was geschützt werden muss und warum. Dabei sind die Risiken für den Datenschutz und generelle Gefahrenpotentiale aufzulisten, die aus einem Datenverlust resultieren können. Der erste Schritt zum Thema DLP ist dabei die Definition der wertvollen und sensiblen Daten. Eine wichtige Frage ist, wie viele der Daten der Geheimhaltung unterliegen. Noch wertvoller sind geistiges Eigentum und Betriebsgeheimnisse.

Schritt 4 – Aufsetzen einer DLP-Strategie

Organisationen brauchen eine formale DLP-Strategie, die ihren speziellen geschäftlichen und technischen Bedürfnissen und Anforderungen genügt. Am Anfang stehen die übergeordneten Ziele und erst später die jeweiligen Anforderungen. Wichtig ist ferner eine langfristige Ausrichtung, denn bei DLP handelt es sich nicht um Plug-and-Play-Technologie. Vom Anfang bis zur vollständigen Umsetzung und Optimierung sind Zeit und Nachdruck erforderlich. Unternehmen machen oft den Fehler, ihr Datenchaos durch DLP managen lassen zu wollen. Damit DLP wirklich funktioniert, sollten aber viele kleine Schritte erfolgen und die Strategie gut durchdacht sein.

Schritt 5 – Auswählen der DLP-Lösung, Erprobung und Einsatz

Sobald die Anforderungen dokumentiert sind, wird ein Pilotprojekt zur Erprobung mehrerer DLP-Produkte aufgesetzt. Hierbei wird ein Produkt unter verschiedenen Bedingungen getestet. Dazu nutzen Organisationen spezifische und objektive Metriken, um sicherzustellen, dass die Kontrollen getestet werden und präzise Ergebnisse geliefert werden.

Neue Adaptive-Redaction-Technologie

Der Trend geht hin zu einer technologischen Innovation, dem so-genannten Adaptive Redaction. Diese erweitert die traditionellen Data Loss Prevention (DLP)-Richtlinien durch das Zulassen der automatischen Entfernung sensibler und vertraulicher Informationen aus E-Mails und der webbasierten Kommunikation. Dabei wird der Inhalt gescannt und es werden sowohl „sichtbare“ als auch „unsichtbare“ Daten, die gegen die Richtlinien verstoßen, automatisch erkannt und entfernt. Die redigierten E-Mails bzw. die Anhänge werden dann ohne „Stopp und Block“ an den beabsichtigten Empfänger gesendet. Die Änderungen, die dabei stattfinden, basieren auf Richtlinien, die wiederum von den Personen abhängen, die die Informationen versenden oder erhalten. Dadurch wird der Prozess „adaptiv“.

Die Adaptive-Redaction-Funktionalität erweitert hierzu die Pattern-Analyse, die bereits in der DLP-Funktionalität zum Einsatz kommt. Eine Content Inspection Engine gewährleistet dann, dass die gesamten Informationen, die elektronisch per E-Mail oder über das Web in und aus dem Unternehmen fließen, einer tiefgreifenden Content-Analyse unterzogen werden.

Folgende Adaptive-Redaction-Optionen stehen zur Verfügung:

• Datenredaktion (Data Redaction) – Automatische Entfernung sensibler Informationen aus Webseiten, E-Mails und Dokumenten sowie Ersetzen sensibler Daten, z.B. Kreditkartennummern, durch “*”-Symbole. Damit können unberechtigte Dritte diese Daten nicht einsehen, und die Business Compliance wird sichergestellt. Dies ermöglicht Unternehmen auch den Austausch von Informationen, ohne dabei gegen gesetzliche Vorgaben zu verstoßen (z.B. PCI DSS).
• Dokumentenbereinigung (Sanitization) – Automatische Erkennung und Entfernung „unsichtbarer“ sensibler Daten aus Dokumenten, z.B. eingebettete Metadaten oder die Änderungshistorie. Damit erfüllen öffentliche Institutionen die ICO-Richtlinien zu „versteckten“ Daten.
• Strukturelle Bereinigung (Structural Sanitization) – Automatische Entfernung aktiver Inhalte aus Dateien und Webseiten. Die automatische Erkennung und Entfernung aktiver Inhalte verbessert den Schutz vor Malware im Netzwerk.

Kontextsensitive DLP ist die Zukunft

Doch auch das geht im Grunde noch nicht weit genug, denn die Endgeräte müssen ebenfalls geschützt werden. Die Endgeräte sollten Fokus jeder Sicherheitsstrategie hin zur Information Governance sein, denn umfassende Transparenz geschäftskritischer Daten zu jeder Zeit gewährleistet die sichere Zusammenarbeit. Unternehmen und einzelne Nutzer brauchen zentrale Richtlinien zum Informationsmanagement über die Endgeräte hinweg – von Laptops und Computern bis hin zu Wechselmedien wie USB-Sticks. Kontextsensitive DLP-Lösungen sind darauf ausgelegt, sich den granularen Geschäftsanforderungen anzupassen, indem sie eine zentrale Verwaltung und Durchsetzung der Richtlinien für alle Zugangspunkte ermöglicht. Dadurch können Anwender die Komplexität sowie die administrativen IT-Ressourcen reduzieren. Unser kürzlich vorgestellter Critical Information Protection Management Server integriert sich beispielsweise mit einem durchgängigen Richtliniensatz und Umsetzung des Schutzes vor Datenverlusts in die Clearswift Secure  Exchange, Web und Email Gateways und verhindert so zuverlässig böswillige und ungewollte Sicherheitsverletzungen.

Verfahren von kontextsensitiver DLP:  

• Data-In-Motion (DIM – bewegliche Daten): Beispiel: Verschickt ein Nutzer per E-Mail eine Tabelle mit personenbezogenen Daten, verhindern die SECURE-Gateways die unbefugte Weitergabe und verringern das Risiko von Sicherheitsverletzungen oder Nichteinhaltung der Richtlinien.
• Data-In-Use (DIU – genutzte Daten): Beispiel: Kopiert ein berechtigter Mitarbeiter eine Tabelle mit personenbezogenen Daten auf einen USB-Stick, informiert der Critical Information Protection Management Server diese Person. Optional können die Daten vor dem Kopieren verschlüsselt werden. Zusätzlich kann festgelegt werden, dass vorgesetzte Personen über den Vorgang informiert werden.
• Data-At-Rest (DAR – ruhende Daten): Erstellt ein Mitarbeiter eine Tabelle mit personenbezogenen Daten auf einem Laptop, protokolliert der Critical Information Protection Management Server die Erstellung der Datei um bei Verstößen gegen die Richtlinien die nötigen  Schutzmaßnahmen einleiten zu können.

Inhaltssensitive DLP kann verschiedene Maßnahmen einleiten, wenn ein Verstoß gegen bestehende Richtlinien erkannt wird. Mögliche Aktivitäten beinhalten beispielsweise die adaptive Redaktion wichtiger Informationen, ein besseres Workflow-Management, wenn Inhalte durch übergeordnete Stellen verschoben werden, Verschlüsselung und Benachrichtigung zur Sensibilisierung der Mitarbeiter für einen sicheren Umgang mit Informationen und um sie auf neue Richtlinien hinzuweisen – dadurch stehen zusätzliche kontextbasierte Vorgehensweisen in DLP-Lösungen zur Verfügung.

Fazit

In unserer Zeit ist es ein Muss für eine digital versierte Belegschaft permanent online zu sein und in Echtzeit zu kommunizieren. Mitarbeiter wollen dabei mit jedem Endgerät an jedem Ort zusammenarbeiten können. Unternehmen müssen derartige Kommunikation und Zusammenarbeit über alle Kanäle hinweg erleichtern, aber gleichzeitig den Schutz von wichtigen Informationen und geistigen Eigentumsrechten angemessen gewährleisten. Moderne DLP-Lösungen gehen auf diesen Bedarf ein, indem sie einen sicheren Informationsaustausch und umfassend durchgängige Richtlinien über alle Kommunikationswege hinweg schafft. So können sich Unternehmen sicher sein, dass ihre Daten geschützt behandelt werden. Damit können sie nicht nur die Wahrscheinlichkeit von Sicherheitsverletzungen erheblich reduzieren, sondern haben darüber hinaus die Gewissheit, dass sie ihre eigenen Verpflichtungen zum Schutz sensibler Daten eingehalten haben.

© Clearswift

Andrew Ladouceur, Clearswift

Website: http://www.clearswift.de

[datensicherheit.de, 30.10.2012] Der Verlust wichtiger Unternehmensdaten aufgrund von Attacken auf die IT-Infrastruktur kommt häufig vor. Dies zeigt eine im Juli 2012 von B2B International im Auftrag von Kaspersky Lab durchgeführte Studie [1]. Dabei gaben mehr als ein Drittel (35 Prozent) der befragten IT-Profis an, schon einmal wegen einer Malware-Infektion Firmendaten verloren zu haben. Angriffe via E-Mail (21 Prozent) und Phishing-Attacken (17 Prozent) sind weitere Gründe für Datenverluste.

Auch interne Bedrohungen spielen bei der Unternehmensdatensicherheit eine Rolle. Hier finden sich die größten Schwachstellen bei bereits installierten Applikationen (25 Prozent). Cyberkriminelle missbrauchen diese Softwarelücken, um schädliche Programme auf die Rechner der Opfer zu laden. Das Risiko einer Infizierung durch Schwachstellen in Applikationen minimiert sich, wenn eine umfassende IT-Sicherheitslösung eingesetzt wird, die mögliche Software-Lücken erkennt. Zudem sollten die eigenen Mitarbeiter entsprechend geschult werden.

Zunehmende Mobilität als Gefahr

Auch mobile Geräte sind ein häufiger Grund für Datenverlust. In der Kaspersky-Studie gaben fast ein Viertel (23 Prozent) der Befragten an, dass sie Datenverluste durch verlorenen gegangene und 15 Prozent durch gestohlene Geräte identifiziert haben. 13 Prozent der Datenverluste sind dem fahrlässigen Verhalten der Mitarbeiter geschuldet, beispielsweise durch das Versenden einer E-Mail an eine falsche Adresse.

36 Prozent der Befragten gaben an, dass Kunden- und Finanzinformationen am häufigsten abhanden kommen. Mitarbeiterdaten werden in 31 Prozent der Fälle gestohlen oder gehen verloren. Die Palette an IT-Gefahren, die zum Verlust sensibler Unternehmensdaten führen, ist breit. Eine umfassende Schutzlösung auf mehreren Ebenen verhindert den Datenverlust sensibler Informationen.

Den kompletten Bericht über die Ergebnisse der Studie, durchgeführt von B2B International im Juli 2012, finden Sie hier.

[1] Die Umfrage wurde von B2B International im Auftrag von Kaspersky Lab im Juli 2012 durchgeführt. Dabei wurden mehr als 3.300 IT-Entscheider aus 22 Ländern befragt – u.a. 199 deutsche. Es wurden Unternehmen jeglicher Größe erfasst, in drei Klassen von 10 bis 99 Arbeitsplätzen, über 100 bis 999 Arbeitsplätzen und Unternehmen mit mehr als 1.000 Arbeitsplätzen.