IT-Abteilungen müssen vorbeugend aktiv werden, um Datenabflüsse zu unterbinden

[datensicherheit.de, 29.10.2022] Datenverlust in Unternehmen kann offensichtlich viele Ursachen haben. Im Wesentlichen hat er laut Deepen Desai, „Global CISO“ bei Zscaler, allerdings zwei Gesichter – den böswilligen Datendiebstahl durch externe Akteure und versehentliche Fehler durch Mitarbeiter: „Bei Ersterem geht es beispielsweise um Phishing-Angriffe, Ransomware mit Double-Extortion oder gar groß angelegte Attacken auf die Lieferkette. Im zweiten Fall fließen Daten unbeabsichtigt durch schlechtes Datenmanagement bei der Kollaboration oder durch menschliches Versagen aus der Unternehmensumgebung ab.“ Dieser menschliche Faktor werde häufig unterschätzt, „obwohl dadurch für Organisationen großer Schaden entstehen kann“. Ein Grund mehr, dass die IT-Abteilung hierbei vorbeugend aktiv wird, um Datenverluste zu unterbinden, betont Desai in seiner aktuellen Stellungnahme.

Foto: Zscaler

Deepen Desai warnt: 84 Prozent der Verstöße betreffen personenbezogene Daten!

Durchschnittlich über 360 Dateien pro Unternehmen und Tag öffentlich zugänglich

„Wie der ,2022 ThreatLabz Data Loss Report’ von Zscaler verdeutlicht, erleben Unternehmen im Schnitt jeden Tag 10.000 Verstöße gegen Datenschutzrichtlinien“, berichtet Desai. 36 Prozent der Daten von „Cloud“-Anwendungen würden dabei beispielsweise über Links öffentlich zugänglich gemacht – somit also durchschnittlich über 360 Dateien pro Unternehmen und Tag. Außerdem seien 94 Prozent der Malware in „Cloud“-Anwendungen – in „Microsoft Exchange“- und „OneDrive“-Umgebungen – gefunden worden.

„Damit wird deutlich, dass gerade bei der Gestaltung der Kollaboration unter der Belegschaft Sicherheitsthemen zu kurz kommen“, moniert Desai. Darüber hinaus beinhalteten mittlerweile mehr als die Hälfte der Ransomware-Angriffe die Exfiltration von Unternehmensdaten. Diese Vorgehensweise von Angreifern sei heute so lukrativ, dass einige Hacker-Gruppierungen die Verschlüsselungskomponente in ihren Angriffen bereits ganz wegließen.

Menschlicher Faktor für Prävention von Datenverlusten von großer Wichtigkeit

„Eine weitere Erkenntnis aus dem Report ist, dass 84 Prozent der Verstöße personenbezogene Daten betreffen.“ Weitere zehn Prozent entfielen auf Finanz- und Kreditkarteninformationen. Fast 13 Prozent der per E-Mail verschickten sensiblen Daten befänden sich in Bildern, deren unbeabsichtigtes Abfließen nur mit fortschrittlichen Prüfverfahren, wie „Optical Character Recognition“ (OCR) oder Künstlicher Intelligenz (KI), eingeschränkt werden könne.

Desai kommentiert: „Dies zeigt, wie wichtig der menschliche Faktor für die Prävention von Datenverlusten ist. Von unbewussten Fehlern von Mitarbeitenden bis hin zu komplexen, von Insidern und Bedrohungsakteuren inszenierte Angriffe: Datenverlust beginnt und endet bei Menschen!“

Gruppen von Hauptverantwortlichen für Datenverluste

Die Verantwortlichkeit für Datenverluste lassen sich laut Desai in die folgenden Gruppen einsortieren: Mitarbeiter, aber auch Administration, böswillige Insider, oder Geschäftsführer sowie Partner und externe Akteure.

Mitarbeiter neigten zum „Oversharing“, „Opensharing“ oder zur Datenlöschung und könnten ihre Arbeitsgeräte verlieren oder gefährden.

Bei der Administration schlichen sich Fehler beim Patchen oder Konfigurieren ein.

Böswillige Insider könnten Daten absichtlich exfiltrieren oder Dritten unberechtigten Zugang zu Informationen gewähren. „Dabei kann es sich um Mitarbeitende handeln, die ihre Funktion aufgeben möchten und zuvor Daten zerstören oder stehlen, oder mit Angreifern sowie Konkurrenten zum persönlichen oder finanziellen Vorteil kollaborieren.“

Auch die Geschäftsführungsebene sei nicht gefeit und gerade deshalb gelte es hier, die digitale Kompetenz zu erhöhen. Vorstände könnten beispielsweise wichtige Anträge auf ein IT- oder Sicherheitsbudget zur Aktualisierung der anfälligen Netzwerkarchitektur ablehnen.

Partner und Drittunternehmen könnten absichtlich oder unabsichtlich Datenverluste durch zu weitgreifende Berechtigungen des Zugriffs auf Daten verursachen. Der Kundensupport mit Zugang zu Kundendaten und -systemen sei hierbei besonders gefährdet für eine Kompromittierung, ebenso wie Anbieter von „Cloud“-Anwendungen.

Eines sei all diesen Gruppierungen gemein: Bedrohungsakteure hätten immer dann ein leichtes Spiel, „wenn Unternehmen ihre Angriffsvektoren und Einfallstore nicht ausreichend kontrollieren“, warnt Desai.

Ganzheitlichen Ansatz zur Vermeidung von Datenverlusten etablieren!

Der menschliche Faktor spiele für alle übergeordneten Ursachen von Datenverlusten eine Rolle – denn schließlich müsse ein Phishing-Angriff oder die Platzierung eines sogenannten Infostealers nur einmal gelingen, um von einem kompromittierten Nutzer weitere Kreise zu ziehen. „Organisationen sollten sich dieses Risiko bewusst machen und einen ganzheitlichen Ansatz zur Vermeidung von Datenverlusten etablieren“, rät Desai abschließend und unterstreicht:

„Der Schutz von sensiblen Daten ist kein alleinstehendes Unterfangen, sondern sollte Teil einer umfassenderen Sicherheitsstrategie sein, mit der alle Datenströme auf Malware und unberechtigtes Abfließen kontrolliert werden.“

Weitere Informationen zum Thema:

zscaler
Report: 2022 ThreatLabz State of Data Loss Report / Trends and risks of enterprise data sharing and how to manage them

datensicherheit.de, 02.06.2022
Der Faktor Mensch: Proofpoint stellt diesjährigen Report vor / Laut Report 2022 100.000 Smartphone-Angriffe täglich und Verdoppelung der Smishing-Versuche

datensicherheit.de, 09.08.2021
Der Mensch als größte Schwachstelle für die IT-Sicherheit / Cyber-Kriminelle nutzen Home-Office aus und fokussieren auf den Risikofaktor Mensch

datensicherheit.de, 20.04.2021
Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken / PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

[datensicherheit.de, 02.06.2022] Die Proofpoint Inc. hat nach eigenen Angaben am 2. Juni 2022 den „Der Faktor Mensch 2022“-Report veröffentlicht. Diese Studie untersucht demnach die drei wesentlichen Aspekte, anhand derer das Cyber-Risiko für IT-Nutzer quantifiziert werden kann: Verwundbarkeit, gezielte Angriffsarten und Zugriffsprivilegien. Im Bericht finden sich laut Proofpoint auch zahlreiche Beispiele dafür, welche Kreativität Cyber-Kriminelle an den Tag legen, um Menschen in die Falle zu locken.

Report 2022 befasst sich eingehend mit Risiken für Anwender

„Der Faktor Mensch 2022“-Bericht befasse sich eingehend mit den Risiken für Anwender und stütze sich dabei auf Daten und Erkenntnisse aus einem Jahr Cybersecurity-Forschung. Dabei handele es sich um Informationen zu erkannten, entschärften und behobenen Cyber-Bedrohungen, welche in ihrer Gesamtheit einen der größten Datensätze zur Cyber-Sicherheit bildeten.

„Auch nach einem turbulenten Jahr mit einer langsamen Rückkehr zur Normalität nehmen Cyber-Kriminelle weiterhin Menschen ins Visier und nutzen deren Schwächen aus“, berichtet Ryan Kalember, „EVP of Cybersecurity Strategy“ bei Proofpoint:

„Letztes Jahr haben die Angreifer gezeigt, wie skrupellos sie tatsächlich sind. Das macht den Schutz der Mitarbeiter vor Cyber-Bedrohungen zu einer ständigen Herausforderung für Unternehmen und hat so manchen die Augen für die Gefahren im ,Cyberspace‘ geöffnet.“

Report stützt sich auf mehrere Trillionen Datenpunkte

Der Report stütze sich auf mehrere Trillionen Datenpunkte, folglich einen der größten Datensätze im Bereich Cyber-Sicherheit.

Jeden Tag analysiere Proofpoint mehr als 2,6 Milliarden E-Mail-Nachrichten, 49 Milliarden URLs, 1,9 Milliarden Dateianhänge, 28,2 Millionen „Cloud“-Konten, 1,7 Milliarden Nachrichten auf Mobilgeräten und vieles mehr.

Der vorliegende Bericht analysiere die im Jahr 2021 gesammelten Daten und untersuche die Art der heutigen Cyber-Bedrohungen. Sicherheitsverantwortlichen biete er praktisch relevante Einblicke, um Mitarbeiter vor Angreifern schützen zu können.

Wichtigste Erkenntnisse des Reports „Der Faktor Mensch 2022“:

Cyber-krimineller Fokus auf das Smartphone
Cyber-Kriminelle fokussierten sich auf das Smartphone als Schlüssel zum privaten und beruflichen Leben der Menschen. In den USA hätten sich die sogenannten Smishing-Versuche (Angriffe über SMS) im Laufe des Jahres mehr als verdoppelt. In Großbritannien hätten Cyber-Kriminellen dabei in mehr als 50 Prozent der Fälle Lieferbenachrichtigungen als Köder eingesetzt. Darüber hinaus hätten Cyber-Kriminelle mehr als 100.000 Angriffe per Telefon pro Tag verübt.

Nutzer vieler Privilegien überproportional stark betroffen
Nutzer mit vielen Privilegien seien überproportional stark betroffen. Manager und Führungskräfte machten im Durchschnitt nur zehn Prozent der Gesamtnutzer in Unternehmen aus, auf sie entfielen aber fast 50 Prozent aller Angriffe.

Gut 80% der Unternehmen jeden Monat von kompromittiertem Lieferanten-Konto aus angegriffen
Über 80 Prozent aller Unternehmen würden jeden Monat von einem kompromittierten Konto eines Lieferanten aus angegriffen. Schulungen zum Sicherheitsbewusstsein, welche sich auf Bedrohungen in der Lieferkette konzentrieren, seien für Unternehmen daher von entscheidender Bedeutung.

Microsoft OneDrive und Google Drive am häufigsten missbraucht
„Microsoft OneDrive“ und „Google Drive“ würden von allen legitimen „Cloud“-Plattformen am häufigsten von Cyber-Kriminellen missbraucht. Letztes Jahr, 2021, sei es bei 35 Prozent der „Cloud“-Accounts mit festgestellter verdächtiger Anmeldung in der Folge zu dubiosen Dateiaktivitäten gekommen. Dies zeige, dass auf Privilegien basierende Risiken in dem Maße wüchsen, wie Unternehmen die „Cloud“ nutzen. Im Durchschnitt sei bei etwa zehn Prozent der Unternehmen mindestens eine aktive bösartige Anwendung in ihrer Umgebung festgestellt worden, welche zuvor autorisiert worden sei.

Enge Verbindung zwischen Malware-Gruppen und Ransomware-Betreibern
Die enge Verbindung zwischen Malware-Gruppen und Ransomware-Betreibern bestehe nach wie vor. Zwischen dem 1. Januar und dem 31. Dezember 2021 seien mehr als 20 Millionen Nachrichten versendet worden, deren Ziel es gewesen sei, Malware in Verbindung mit einem möglichen Ransomware-Angriff zu verbreiten.

Cyber-Kriminelle missbrauchen Popkultur
Cyber-Kriminelle machten sich die Popkultur zunutze. So hätten Angreifer im Jahr 2021 bekannte Persönlichkeiten wie Justin Bieber und „The Weeknd“ sowie die Netflix-Serie „Squid Game“ für ihre Köder ausgenutzt. Im Oktober 2021 hätten Cyber-Kriminelle E-Mails mit dem Thema „Squid Game“ an Opfer in den USA verschickt und einen frühzeitigen Zugang zur nächsten Staffel oder sogar die Möglichkeit, in künftigen Folgen mitzuspielen, versprochen.

Weltweite Konflikte als Aufhänger
Angreifer nutzten weiterhin weltweite Konflikte aus. Anfang dieses Jahres, 2022, hätten Cyber-Kriminelle und APT-Gruppen, welche mit staatlichen Stellen in Verbindung gebracht würden, auf den Einmarsch Russlands in die Ukraine reagiert. Im Rahmen dieser Aktivitäten habe Proofpoint die zerstörerische „Wiper“-Malware beobachten können, welche gegen ukrainische Organisationen und wichtige Kommunikationsinfrastrukturen eingesetzt worden sei. Zudem habe Proofpoint Aktivitäten von mit Belarus und China verbündeten Akteuren festgestellt, welche speziell auf europäische, für Asylprozesse und andere Hilfsmaßnahmen zuständige Regierungsorganisationen abzielten.

Der vollständige „Der Faktor Mensch 2022“-Bericht von Proofpoint steht zum Download bereit. Die Ergebnisse des diesjährigen Reports sollen auch von zwei Proofpoint-Experten am 15. Juni 2022 um 11 Uhr (MEZ) in einem Web-Seminar erörtert werden.

Weitere Informationen zum Thema:

proofpoint
Threat Report / Der Faktor Mensch 2022

proofpoint
15. Juni | 11:00 CEST / Der Faktor Mensch 2022: Personenzentrierte Cybersicherheit vor dem Hintergrund zunehmender Anwenderrisiken

Cyber-Kriminelle nutzen Home-Office aus und fokussieren auf den Risikofaktor Mensch

[datensicherheit.de, 09.08.2021] Neun von zehn Unternehmen seien im vergangenen Jahr, 2020, in Deutschland das Ziel (erfolgreicher) Cyber-Angriffe gewesen – laut der aktuellen Bitkom-Studie haben Cyber-Attacken in Deutschland für Schäden in Rekordhöhe gesorgt: Mit insgesamt 223 Milliarden Euro habe sich die Summe mehr als verdoppelt. Ein Ende der Angriffswelle sei nicht in Sicht – nach wie vor nutzten Cyber-Kriminelle gerade das Home-Office aus und hätten dabei vor allem ein Ziel vor Augen – den „Risikofaktor Mensch“. Wie Unternehmen diesen verringern können und wie die Mitarbeiter gemeinsam mit technischen Vorkehrungen in puncto IT-Sicherheit als „Dream Team“ fungieren können, erläutert nach eigenen Angaben Ulf Baltin, „Managing Director DACH“ bei BlackBerry.

Foto: BlackBerry

Ulf Baltin: Angreifer müssen oft nur eine Hürde überwinden, um Erfolg zu haben – den Menschen

Hacker kalkulieren damit, dass Menschen vor den Rechnern Fehler machen

Immer wieder berichteten Medien von Cyber-Angriffen in großem Format auf Unternehmen und Institutionen – „und ein Ende ist nicht in Sicht“. Viele Unternehmen ergriffen daher technische Maßnahmen gegen die zunehmende Bedrohung. Dabei werde eines oft unterschätzt – der menschliche Faktor. Baltin erläutert: „Immer öfter kalkulieren Hacker damit, dass die Menschen vor den Rechnern Fehler machen und durch unbedachte Klicks unter anderem Phishing- oder Ransomware-Attacken erst ermöglichen.“ Phishing-Mails seien keine neue Erfindung und doch führten sie immer noch viel zu oft zum Ziel. Cyber-Kriminelle gäben sich dabei als vertrauenswürdige Kommunikationspartner aus und verleiteten die Adressaten dazu, sensible Daten preiszugeben oder im Falle von Ransomware schädliche Prozesse in Gang zu setzen.
„Phishing-Mails werden in der Regel an einen sehr breiten Adressatenkreis verschickt, doch die Angreifer verfeinern ihre Methoden. Bei Spear-Phishing- oder CEO-Fraud-Attacken, die immer mehr zunehmen, gehen die Betrüger gezielter vor.“ Beim Spear-Phishing werde nur ein bestimmter Pool an E-Mail-Adressen ins Visier genommen, etwa die Belegschaft eines Unternehmens, und beim „CEO-Fraud“ gäben sich die Täter als „CEO“ oder Manager aus und forderten Mitarbeiter dazu auf, hohe Geldbeträge auf fremde Konten zu überweisen. „Klickt ein Mitarbeiter dann ohne nachzudenken weiter, kann das für Unternehmen und Institutionen gravierende Folgen sowohl auf wirtschaftlicher Ebene als auch fürs Image haben.“ Phishing, Spam oder auch gezielte Attacken in Sozialen Medien nähmen weiterhin zu – allen gemeinsam sei, so Baltin, dass die Angreifer oft nur eine Hürde überwinden müssten, um Erfolg zu haben: den Menschen.

Menschen in die Lage versetzen, Bedrohungen zu erkennen

Bereits 2019 habe fast ein Viertel der Unternehmen in Deutschland angegeben, dass sie allein durch Phishing-Attacken wirtschaftliche Schäden erlitten hätten. Dies zeige, „wie wichtig es ist, dass Unternehmen das Bewusstsein ihrer Mitarbeiter für die konkreten Cyber-Gefahren, denen sie im operativen Geschäft begegnen, wie etwa Phishing deutlich erhöhen müssen“. Um dies zu erreichen und die Menschen in die Lage zu versetzen, solche Bedrohungen zu erkennen, seien regelmäßige Schulungen ein erster wichtiger Schritt.
Sowohl um Gelerntes zu überprüfen als auch, um jene Mitarbeiter mit ins Boot zu holen, welche durch Schulungen nicht erreicht werden könnten, seien ebenfalls regelmäßig durchgeführte Fake-Attacken ein probates Mittel. Dabei initiiere die eigene Unternehmens-IT eine Phishing-Attacke. Der Lerneffekt solcher Maßnahmen sei hoch. Bei ihren Bemühungen in puncto Cyber-Security mehr „Awareness“ für den menschlichen Faktor zu schaffen, sollten Unternehmen zudem eins berücksichtigen: „Es geht nicht darum, die Mitarbeiter zu erziehen, sondern darum, sie mit ins Boot zu holen. Schließlich haben sie selbst ein Interesse daran, die Sicherheit ihres Arbeitgebers zu stärken und zu gewährleisten.“

Mitarbeiter mit ins Boot holen und so den Risikofaktor Mensch erheblich verringern

Da Fehler aber zur menschlichen Natur gehörten und Cyber-Kriminelle immer ausgefeiltere Angriffstechnologien nutzten, seien effektive Schutzmechanismen für alle Endpunkte in IT-Systemen essenziell. Baltin erläutert: „Der sicherste Weg ist, keinerlei Zugriffe von außen zuzulassen. Nach diesem Prinzip funktioniert der ,Zero Trust‘-Ansatz moderner Systeme für die Sicherung von Unternehmensendpunkten. Jedes Gerät beziehungsweise jeder User wird zunächst standardmäßig als nicht vertrauenswürdig eingestuft, so dass nur minimale Rechte gewährt werden.“
Mehr Vertrauen könne dann durch eine Reihe von schnellen, nicht-intrusiven, aber gängigen Maßnahmen wie der Zwei-Faktor-Authentifizierung aufgebaut werden, von einer KI überwacht. „So hilft ,Zero Trust‘, indem die jüngsten Fortschritte auf dem Gebiet der KI zum Zuge kommen, in Kombination mit User-Awareness die IT-Systeme von Unternehmen gegen Cyber-Attacken zu schützen.“ Dennoch gelte: „Um sich umfassend abzusichern, sollten eben nicht nur technische Sicherheitsvorkehrungen getroffen werden. Durch umfassende Aufklärungskampagnen, Schulungen und Fake-Attacken, können Unternehmen ihre Mitarbeiter mit ins Boot holen und so den Risikofaktor Mensch erheblich verringern.“ Mit der nötigen „Awareness“ für Bedrohungen und dem Wissen zu Angriffsmöglichkeiten bei der gesamten Belegschaft, könne das „Dream Team Mensch und Technik“ nachhaltig für mehr Sicherheit sorgen, betont Baltin abschließend.

Weitere Informationen zum Thema:

bitkom, 05.08.2021
Angriffsziel deutsche Wirtschaft: mehr als 220 Milliarden Euro Schaden pro Jahr

datensicherheit.de, 20.04.2021
Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken / PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

datensicherheit.de, 20.11.2018
Unternehmen: Menschen größte Stärke und Schwäche zugleich / ds-Herausgeber Dirk C. Pinnow erinnert sich an ein Messegespräch mit Dr. Guy Bunker auf der „it-sa 2018“