[datensicherheit.de, 13.01.2025] Bei 57 Prozent der erfolgreichen Angriffe haben Cyber-Kriminelle nach aktuellen Erkenntnissen der Varonis Systems Inc. ein kompromittiertes Nutzerkonto missbraucht, um Zugang auf die Systeme zu erhalten. Dies habe die Analyse von 35 der US-amerikanischen Börsenaufsicht gemeldeten Cyber-Vorfälle zwischen Januar und August 2024 ergeben, welche von Varonis nach eigenen Angaben in dem Report „The Identity Crisis: An in-depth report of cyberattacks in 2024“ vorgestellt wird. Das Ziel der meisten Vorfälle seien dabei die wertvollen Unternehmensdaten gewesen – allen voran personenbezogene Daten (54%) gefolgt von Gesundheitsinformationen (23%).

Abbildung: Varonis Systems Inc.

„The Identity Crisis: An in-depth report of cyberattacks in 2024“ steht zum Download bereit (s.u.)

Untersuchungen der Cyber-Angriffe dauern oft Wochen und Monate an

Die Analyse habe zudem ergeben, dass auch Wochen und Monate nach dem Vorfall 85 Prozent der Angriffe noch untersucht würden. Dies deute zum einen auf die Komplexität der Untersuchungen gepaart mit mangelnden Forensik-Möglichkeiten hin, zum anderen bedeute dies auch, dass weitaus mehr als jeder zweite Angriff über ein kompromittiertes Konto erfolgt sein könnte.

Cyber-Kriminelle verschaffen sich mittels ergaunerter Anmeldeinformationen Zugang

„Die Zahlen unterstrichen einen Trend, den unser ,Incident Response Team’ schon seit geraumer Zeit beobachtet: Cyber-Kriminelle brechen immer seltener ein, stattdessen nutzen sie ergaunerte Anmeldeinformationen, um sich in die Systeme ihrer Opfer einzuloggen“, berichtet Volker Sommer, „Regional Sales Director DACH“ von Varonis.

Ohne intelligente Analyse des Nutzerverhaltens kaum eine Chance, sich cyber-krimineller Angriffe zu erwehren

Dies mache ihre Entdeckung prinzipiell schwieriger, da es sich ja um scheinbar legitime Insider handele, welche sich mit gewissen Rechten ausgestattet in der Infrastruktur bewegten. Sommer warnt abschließend: „Ohne eine intelligente Analyse des Nutzerverhaltens hat man kaum eine Chance, diesen Kriminellen schnell auf die Schliche zu kommen.“

Weitere Informationen zum Thema:

VARONIS
THE IDENTITY CRISIS / An in-depth report of cyberattacks in 2024

[datensicherheit.de, 05.12.2023] Varonis wirf in einer aktuellen Stellungnahme einen Blick zurück in den November 2014: Demnach hatte sich damals „der bis dato größte Datendiebstahl auf ein Unternehmen“ ereignet –Cyber-Angreifer erbeuteten dabei im Grunde den gesamten Datenbestand von Sony Pictures Entertainment (SPE). Insgesamt sollen bis zu 100 Terabyte an Daten exfiltriert worden sein – von pikanten E-Mails über personenbezogene Daten etlicher Mitarbeiter und Künstler bis zu kompletten Filmen und Episoden von Erfolgsserien wie „Game of Thrones“. Es sei damit recht schnell deutlich geworden, dass es sich hierbei in erster Linie um einen politischen Akt gehandelt habe, in dessen Zentrum die Film-Komödie „The Interview“ stehe.

Sony-Mitarbeiter in einer Weise betroffen, wie es bei früheren Cyber-Vorfällen noch nicht der Fall war

„Ich koordinierte als FBI-Mitarbeiter einen Großteil der Analysen und Berichte über den Sony-Vorfall, und unsere Büros in St. Louis und Los Angeles waren eng mit Sony in Kontakt und taten alles, was sie konnten, um die Mitarbeitenden zu unterstützen“, berichtete Charles Garzoni, jetzt „Deputy CISO and Staff VP of Cyber Defense Operations“ bei Centene, im Rahmen des „Varonis Data-First-Forums“.

Die Bedrohung habe sich dabei nicht nur auf den Diebstahl und die Veröffentlichung der Daten beschränkte, sondern habe sich teilweise auch direkt gegen Angestellte und ihre Familien gerichtet. „Die Mitarbeitenden von Sony waren in einer Weise betroffen, wie es bei früheren Cyber-Vorfällen nicht der Fall war“, so Garzoni. So hätten die Angreifer etwa angegeben zu wissen, auf welche Schule die Kinder gehen, und mit Bombenanschlägen gedroht.

Erster Cyber-Angriff mit weitreichenden Auswirkungen auf die reale Welt

Dieser Angriff auf Sony sei somit der erste Fall, in dem ein Cyber-Angriff auf die reale Welt übergegriffen habe. Zudem sei es der wohl erste Angriff gewesen, „bei dem der Diebstahl nicht das Ziel war, sondern eher Mittel zum eigentlichen Zweck – den Angriff auf das politische System und die Meinungsfreiheit“. Garzoni erläuterte: „Bei ATPs denken wir vor allem an den Diebstahl Geistigen Eigentums. Die Angreifer versuchen sich dabei möglichst unauffällig zu verhalten, um möglichst viele Informationen zu entwenden.“

Der besagte Angriff auf Sony liege aber anders: „Hier gab es ein anderes Land, das uns wegen unserer Meinungsfreiheit angegriffen hat. Und das hatte gravierende Auswirkungen auf die Nationale Sicherheit: Wie sollen wir als Land darauf reagieren? Welche Konsequenzen werden wir einem Nationalstaat auferlegen, der einen Cyber-Angriff auf ein Unternehmen verübt, weil es einen Film produziert hat?“

US-Präsident klassifizierte Angriff als Cyber-Vandalismus

Der damalige US-Präsident Barack Obama habe diesen Angriff nicht als kriegerischen Akt bezeichnet, sondern als „Cyber-Vandalismus“, der allerdings Konsequenzen nach sich ziehen würde. So seien beispielsweise weitere Sanktionen gegen Nordkorea verhängt worden. „Das war insofern etwas entmutigend, als dass wir sofort eine klare Linie hätten ziehen sollen. Wir hätten deutlich machen müssen: Tut das nicht!“, meinte Garzoni.

Matt Radolac, „Vice President, Incident Response and Cloud Operations“ bei Varonis, stimmte ihm hierbei zu: „Die Bewertung als Cyber-Krieg ist sicherlich zu hoch, allerdings ist die Einstufung als Cyber-Vandalismus zu schwach. Zumal der Präsident in dieser Zeit gesagt hat, dass ein Angriff auf ein amerikanisches Unternehmen ein Angriff auf Amerika ist.“

Grundlegende Maßnahmen zur Cyber-Hygiene fehlten offenbar

„Für mich ist das Interessanteste an dem Angriff auf Sony nicht einmal die Datenschutz-Verletzung selbst, sondern eher das, was im Vorfeld passiert ist“, sagte Mario DiNatale, „CISO“ des US-amerikanischen Rückversicherers OdysseyRe, und berichtete: „Unmittelbar vor dem Einbruch wurde der Direktor für Informationssicherheit, Jason Spaltrow, einem SOX-Audit unterzogen. Und die SOX-Auditoren sagten: ,Sie haben keine komplexen Passwörter. Sie verschlüsseln Ihre Daten nicht. Sie verwenden keine MFA. Wenn Sie jetzt eine Bank wären, müssten Sie schließen.‘ Und seine Antwort lautete: ‚Ich gebe nicht zehn Millionen aus, um eine Sicherheitslücke von einer Million Dollar zu beseitigen.‘ Aus wirtschaftlicher Perspektive mag das stimmen, aber diese Aussage zeugt von mangelnder Ethik und schlechtem Urteilsvermögen.“

Wären ein paar grundlegende Maßnahmen zur Cyber-Hygiene umgesetzt worden, hätte dieser Angriff wahrscheinlich verhindert werden können. „Das Ergebnis waren geleakte Filme, geleakte interne Memos, alle Arten von wirklich marken- und geschäftsschädigenden Informationen von Sony, die allesamt hätten vermieden werden können.“ Bei den Empfehlungen aus dem Audit habe es sich um einige ziemlich grundlegende Dinge gehandelt. Spaltrow unterstrich: „Hätte der Sicherheitsverantwortliche etwas weniger arrogant und etwas ethischer gehandelt, wäre das alles nicht passiert.“

Cyber-Angriff auf Sony erregte Aufmerksamkeit – jedoch fehlen bis heute umfassende Reaktionen

Dieser Cyber-Angriff auf Sony, seine wirtschaftlichen und politischen Folgen hätten nun die Cybersecurity-Welt nachhaltig verändert. Der Wert von Daten, seien sie Geistiges Eigentum, vertrauliche Nachrichten oder persönliche Informationen, seien durch ihn in das kollektive Bewusstsein gedrungen – nicht nur bei Cybersecurity-Experten.

Allerdings habe er nicht zu umfassenden Maßnahmen geführt – sei es auf Regierungsebene oder auf Seiten der Unternehmen. Andernfalls hätte es nicht die ständige Zunahme von Attacken auf Unternehmensdaten gegeben, wie die in den Folgejahren immer weiter zunehmenden Ransomware-Angriffe.

Weitere Informationen zum Thema:

Varonis auf YouTube, 21.09.2023
Blockbuster Breaches | Varonis Data-First Forum

[datensicherheit.de, 03.08.2022] Fast alle Sicherheitsverantwortlichen (96%) hätten innerhalb der letzten 24 Monate einen Anstieg der „Cloud“-Nutzung in ihren Unternehmen verzeichnet. Dies führe dazu, dass immer weniger Daten auf den Endgeräten (10%) gespeichert und sogenannte SaaS-Anwendungen zum am häufigsten genutzten Speicherort würden. Mittlerweile liege dort bei 60 Prozent der Unternehmen der Hauptanteil ihrer Daten.„Für die Sicherheitsteams entstehen auf diese Weise immer größere ,Blind Spots‘, die sie mit traditionellen Sicherheits-Lösungen nicht schließen können“, warnt Michael Scheffler, „Country Manager DACH“ von Varonis Systems, und führt aus: „Jeder zweite Sicherheitsverantwortliche (54%) sieht deshalb seine aktuellen Sicherheits-Ansätze als überholt an, so eine aktuelle von Varonis Systems in Auftrag gegebene Studie der Analysten von Forrester.“

Foto: Varonis Systems

Michael Scheffler: Sich beim Schutz der Cloud-Daten auf den Provider zu verlassen, ist mehr als fahrlässig!

Laut Forrester in nahezu allen Unternehmen Einsatz von SaaS-Tools zugenommen

In nahezu allen Unternehmen habe in den letzten zwei Jahren der Einsatz von SaaS-Tools zugenommen – bei 60 Prozent der Unternehmen sogar „signifikant“. Hierdurch werde jedoch die Identifizierung sensitiver Daten und dadurch auch ihr Schutz wesentlich erschwert.

Scheffler ergänzt: „Hinzu kommt eine mangelnde Transparenz bei den Zugriffsrechten: So sehen 53 Prozent einen Zusammenhang zwischen der zunehmenden Nutzung von ,Cloud‘-Diensten und mangelnden Einblicken in übermäßige Zugriffsrechte.“

40 Prozent hätten keinen Überblick, ob die Mitarbeiter nur Zugriff auf Daten haben, „die sie auch tatsächlich für ihre Arbeit benötigen“. Entsprechend gering sei das Vertrauen in die derzeit umgesetzten Sicherheitsansätze: Nur knapp die Hälfte sehe sich in der Lage zu erkennen, „ob einem User Superadministrator-Zugriff gewährt wurde“. 45 Prozent gingen davon aus, dass sie nicht erkennen könnten, dass in Folge eines Ransomware-Angriffs eine Massenverschlüsselung von Dateien beginne.

Digitale Transformation beschleunigt nach Forrester-Erkenntnissen Übertragung von Daten in SaaS-Anwendungen

„Da sich die Digitale Transformation beschleunigt und immer mehr Daten in SaaS-Anwendungen übertragen werden, benötigen Sicherheitsteams Technologien, die überwachen, wie User mit Daten interagieren und nicht nur, wie sie darauf zugreifen“, betont Scheffler. Sicherheitsverantwortliche müssten schnell identifizieren können, wenn sich ein Mitarbeiter auffällig verhält – und dies könne nur hinreichend geschehen, „wenn dabei sowohl On-Premises- als auch SaaS-Lösungen einbezogen und miteinander in Beziehung gesetzt werden“.

Unternehmen beschritten in Bezug auf die Datensicherheit jedoch zwei unterschiedliche Ansätze: 54 Prozent setzten auf eine integrierte Datensicherheitsstrategie, die On-Premises- und „Cloud“-Daten einbezieht, knapp ein Viertel (24%) auf getrennte Ansätze. Zehn Prozent verfügten lediglich über eine Strategie für die lokal gespeicherten Daten, aber nicht für die „Cloud“.

Einem Angreifer sei es letztlich egal, wo die wertvollen Daten gespeichert sind. Deshalb müssten sämtliche sensitiven Daten eines Unternehmens wirksam geschützt werden, ganz gleich, ob diese sich auf einem Unternehmensserver oder in der „Cloud“ befinden, so Scheffler und warnt: „Sich beim Schutz der ,Cloud‘-Daten auf den Provider zu verlassen, ist dabei mehr als fahrlässig. Diese schützen zwar sehr effektiv die Datenzentren und Infrastruktur, für die Sicherheit der Daten sind allerdings ausschließlich die Kunden bzw. User verantwortlich.“

Empfehlungen von Forrester-Experten:

Für die Experten von Forrester ist es demnach evident, dass die zunehmende Nutzung von „Cloud“-Collaboration-Tools und SaaS-Anwendungen neue Sicherheitsherausforderungen mit sich bringt: „Unternehmen müssen deshalb ihre Datensicherheitsstrategie vereinheitlichen und verbessern, um den Anschluss nicht zu verlieren.“ Hierzu empfehlen sie folgende Punkte:

Kontrollen implementieren, welche direkt auf die Daten ausgerichtet sind
Der Perimeter verliere zunehmend an Bedeutung, weshalb Unternehmen ihre Daten von innen nach außen schützen müssten. Auf diese Weise werde es für Angreifer schwierig, unentdeckt zu bleiben.

Automatisierung der Identifizierung und Klassifizierung sensitiver Daten
Unternehmen müssten schnell erkennen, wo sich die Daten befinden und welche Daten besonders geschützt werden müssen, um jeweils angemessene Kontrollen anwenden zu können. Aufgrund des Volumens und Geschwindigkeit der Daten- und Inhaltserstellung sei hierbei eine Automatisierung unumgänglich.

Abstimmung der Datensicherheit mit Governance-Bemühungen
Diese aufeinander abzustimmen ziele darauf, die bestmögliche Wirkung zu erzielen. Sicherheitsverantwortliche müssten erkennen können, welche Daten wie von welchen Mitarbeitern verwendet werden, und einen übermäßigen Zugriff verhindern. Unternehmen sollten zudem ihre Datenrisiken durch die Löschung bzw. Archivierung veralteter oder überflüssiger Daten reduzieren.

Weitere Informationen zum Thema:

FORRESTER
Take A Data-First Approach To Securing The Cloud

[datensicherheit.de, 24.05.2022] „Was waren das für Zeiten damals 2018, als das Inkrafttreten der DSGVO für die scheinbar größtmögliche Aufregung in der Wirtschaft und IT gesorgt hat“, erinnert Michael Scheffler, „Country Manager DACH“ bei Varonis, in seiner aktuellen Stellungnahme zum DSGVO-Jubiläum. Immerhin hätten mittlerweile rund zwei Drittel der Unternehmen in Deutschland die DSGVO mittlerweile vollständig (20%) bzw. größtenteils (45%) umgesetzt, ein knappes Drittel (29%) zumindest teilweise.

Foto: Varonis Systems

Michael Scheffler: DSGVO-Konformität kann auch als effektiver Ransomware-Schutz betrachtet werden!

Auch steigende DSGVO-Bußgelder als Motivation

Hierzu beigetragen hätten sicherlich auch die steigende Anzahl an Verfahren und die steigenden Bußgelder, welche 2021 laut „GDPR Enforcement Tracker“ europaweit mit 1.277.000.000 Euro deutlich die Milliardengrenze überschritten hätten.

Zum Vergleich führt Scheffler an: „2019 betrugen die Bußgelder ,nur‘ 73 Millionen Euro.“ Er plädiert indes dafür, die DSGVO nicht nur unter dem Gesichtspunkt der Vermeidung der Nachteile in Form von Strafzahlungen zu betrachten, „sondern vielmehr die Vorteile gerade auch für Unternehmen noch stärker ins Blickfeld nehmen“.

DSGVO zwingt Unternehmen, Ordnung ins Daten-Chaos zu bringen

Die DSGVO zwinge Unternehmen dazu, „Ordnung in ihr Daten-Chaos zu bringen“. Scheffler führt weiter aus: „Nur wer weiß, wo die wichtigen, personenbezogenen Daten gespeichert sind, wer auf diese zugreifen kann und ob sie auch auf korrekte Weise verwendet werden, kann ihren Schutz und ihre Integrität gewährleisten.“

Dies gelte auch und gerade in der derzeitigen Bedrohungslage, welche stark von Ransomware gekennzeichnet sei. „Nicht zufällig beobachten wir immer häufiger, dass Cyber-Kriminelle nicht nur Daten verschlüsseln und mit einer Veröffentlichung drohen (Double-Extortion-Ansatz), sondern auch mit einer Meldung an die jeweiligen Aufsichtsbehörden.“

DSGVO verlangt u.a. das Minimieren des Speicherns von Verbraucherdaten

Die DSGVO verlange das Minimieren des Speicherns von Verbraucherdaten, das Minimieren des Personenkreises, der darauf zugreifen kann, und das Minimieren der Aufbewahrungsdauer. Dies entspreche dem Least-Privilege-Ansatz und sorge letztlich für eine Reduzierung des „Explosionsradius“.

Es gehe darum, den Schaden, den ein kompromittiertes Konto anrichten kann, so weit wie möglich zu begrenzen. „Hat jeder Mitarbeitende Zugriff auf Millionen Dateien, unter denen sich auch Tausende DSGVO-relevante befinden, wird das potenzielle Ausmaß eines Angriffs und die Auswirkungen von dieser Menge an nicht nutzbaren, verschlüsselten Dateien deutlich.“

Mehr als nur DSGVO-Konformität: Beschränkung der Berechtigungen auf Dateien, die ein Mitarbeitender für seine Arbeit tatsächlich benötigt

Scheffler erläutert abschließend: „Beschränkt man hingegen – wie es die DSGVO vorsieht – die Berechtigungen auf Dateien, die ein Mitarbeitender für seine Arbeit tatsächlich benötigt, reduziert sich das Ausmaß, die Störungen des Betriebsablaufs und der Effekt eines Angriffs wesentlich.“

Kämen zusätzlich noch Lösungen zum Einsatz, welche durch eine intelligente Analyse des Nutzerverhaltens Ransomware früh erkennen und automatisiert stoppen könnten, verliere Ransomware deutlich an Schrecken. „Insofern kann DSGVO-Konformität auch als effektiver Ransomware-Schutz betrachtet werden.“

Weitere Informationen zum Thema:

CMS
GDPR Enforcement Tracker

VARONIS
2021 DATA RISK REPORT HEALTHCARE, PHARMACEUTICAL & BIOTECH / The average healthcare worker has access to 31,000 sensitive files on their first day of work

datensicherheit.de, 20.05.2022
4. DSGVO-Jahrestag: Für Unternehmen wurde Datenschutz zu einer der Top-Prioritäten / Geld-Bußen für Unternehmen, welche bei der Verarbeitung von Daten und der Kommunikation von Entscheidungen zweideutig oder intransparent agierten

[datensicherheit.de, 11.11.2021] Die jüngsten Opfer von Ransomware-Angriffen (lt. Medien-Berichten: Media Markt und Saturn, der Medizin-Dienstleister Medatixx sowie der US-Broker Robinhood) zeigten die Bandbreite der Ziele auf – letztlich sei jede Branche und jedes Unternehmen gefährdet. Aber auch wenn Ransomware wie ein unvermeidliches Übel wirke, könnten Betriebe zahlreiche Maßnahmen ergreifen, um einen Angriff abzuwehren und Datenverlust in ihrem Unternehmen zu verhindern. Michael Scheffler, „Country Manager DACH“ bei Varonis Systems, gibt Entscheidern nachfolgend einige Tipps:

Foto: Varonis Systems

Michael Scheffler: Unternehmen können zahlreiche Maßnahmen ergreifen, um einen Angriff und Datenverlust in ihrem Unternehmen zu verhindern!

1. Tipp: Sensibilisierung der Mitarbeiter und Etablierung einer Sicherheitskultur

Scheffler plädiert zunächst zur Sensibilisierung der Mitarbeiter: „Nutzen Sie Sicherheitsschulungen in Ihrem Unternehmen, um Ihren Mitarbeitern ein besseres Verständnis für Cyber-Sicherheit und deren Bedeutung zu vermitteln!“ Die Durchführung dieser Schulungen trage wesentlich dazu bei, „dass sich eine Sicherheitskultur etabliert und das Unternehmen widerstandsfähiger gegen Cyber-Angriffe wird“.

2. Tipp: Verminderung des sogenannten Explosionsradius durch Zugriffsbeschränkung auf Daten

Gleichzeitig rät er dringend: „Reduzieren Sie Ihren Explosionsradius: Dieser entspricht dem Schaden, der durch die Kompromittierung eines einzigen beliebigen Benutzers oder Geräts verursacht werden kann!“ Je weniger Berechtigungen jedes einzelne Konto hat, desto kleiner sei der „Explosionsradius“. Deswegen sei es von größter Bedeutung, den Zugriff insbesondere auf kritische Daten auf diejenigen zu beschränken, „die ihn auch wirklich für ihre Arbeit benötigen“.

3. Tipp: Einsatz von E-Mail- und Endpunkt-Schutzmaßnahmen

Zudem legt Scheffler nahe: „Verwenden Sie E-Mail- und Endpunkt-Schutzmaßnahmen: Scannen Sie alle E-Mails und filtern Sie bösartige Anhänge und Links heraus. Halten Sie Firewalls und Sicherheitssoftware mit den neuesten Malware-Signaturen stets auf dem neuesten Stand!“ Ebenso sei es hilfreich, von außerhalb des eigenen Netzwerks stammende E-Mails besonders zu kennzeichnen.

4. Tipp: Implementierung eines Zero-Trust-Sicherheitsmodells

Er empfiehlt ebenso: „Implementieren Sie ein Zero-Trust-Sicherheitsmodell: Gehen Sie davon aus, dass Ihr Schutzsystem überwunden wird, und stellen Sie sicher, dass alles innerhalb Ihres Perimeters sicher und geschützt ist!“ Beim Zero-Trust-Ansatz würden bei jedem Benutzer und jedem Gerät die Zugangsdaten bei jedem Zugriff auf eine Ressource innerhalb oder außerhalb des Netzwerks überprüft.

5. Tipp: Detektion von Anomalien und automatisierter Stopp

„Erkennen Sie abnormales Verhalten!“, so Scheffler: Durch die intelligente Analyse des Nutzer- und Entitätsverhaltens (UEBA) lasse sich ungewöhnliches Verhalten von Benutzern und Geräten identifizieren und automatisiert stoppen – „noch bevor größerer Schaden entsteht“.

6. Tipp: Härtung des Passwortsystems mittels Zwei-Faktor-Authentifizierung

Auch gelte es, das eigene Passwortsystem zu stärken: „Die Sicherheit von Passwörtern ist entscheidend für den Schutz Ihrer ,Assets‘ wie sensible Unternehmensdaten – setzen Sie in Ihrem Unternehmen eine Zwei-Faktor-Authentifizierung ein, um die gemeinsame Nutzung von Passwörtern und die mehrfache Verwendung desselben Passworts zu verhindern!“ Zur zusätzlichen Sicherheit könne auch ein sogenanntes Single-Sign-On-System beitragen, verrät Scheffler.

7. Tipp: Erstellung unveränderlicher Offsite-Backups

Zum Abschluss wirbt er noch: „Erstellen Sie unveränderliche Offsite-Backups: Stellen Sie sicher, dass Sie über Sicherungskopien aller wichtigen oder sensiblen Daten und Systeme verfügen. Trainieren Sie Ihre Wiederherstellungsmaßnahmen für den Fall eines Ransomware-Angriffs. Schränken Sie den Zugriff auf Backups ein, da es Ransomware-Angreifer oft auf Backup-Dateien abgesehen haben, um Ihre Wiederherstellungsmöglichkeiten einzuschränken!“ Dabei sei jedoch zu bedenken, dass Backups im Falle von „Double Extortion“-Ransomware, bei der vor der Verschlüsselung zunächst wichtige Daten exfiltriert würden, keinen Schutz böten. Entsprechend sollten Lösungen im Einsatz sein, welche Datendiebstahl erkennen und stoppen könnten.

Weitere Informationen zum Thema:

datensicherheit.de, 28.09.2021
Ransomware: 5 Tipps für Unternehmen, um sich zu schützen / Tanja Hofmann gibt fünf aktuelle Tipps, wie Organisationen ihre IT-Sicherheit verbessern können

datensicherheit.de, 26.07.2021
Ransomware-Attacken: Lehren aus dem Vorfall bei Colonial Pipeline / Cyber-Kriminelle wollen möglichst schnell und einfach möglichst viel Gewinn erzielen – Ransomware-Angriffe zumeist opportunistisch

datensicherheit.de, 12.07.2021
Zunahme von Ransomware-Angriffen nicht allein technisch zu begegnen / Grenzüberschreitende Bedrohung durch Ransomware erfordert auch Handeln auf politischer Ebene

[datensicherheit.de, 11.08.2021] Sicherheitsforscher von Varonis Systems weisen nach eigenen Angaben auf die Gefahren durch Fehlkonfigurationen von „Salesforce“ hin, durch die sensible Daten für jedermann im Internet zugänglich gemacht werden könnten – anonyme Benutzer könnten demnach Objekte abfragen, welche sensible Informationen wie Kundenlisten, Support-Fälle und E-Mail-Adressen von Mitarbeitern enthalten.

Varonis-Forscher haben zahlreiche öffentlich zugängliche, falsch konfigurierte Salesforce Communities entdeckt

Das Forscherteam habe zahlreiche öffentlich zugängliche „Salesforce Communities“ entdeckt, welche falsch konfiguriert seien und so sensible Informationen offenlegten. Salesforce habe weltweit mehr als 150.000 Kunden, darunter rund 90 Prozent der „Fortune 500“-Unternehmen. Deshalb warnten die Sicherheitsexperten, dass durch die Fehlkonfigurationen Tausende von Unternehmen gefährdet sein könnten.
Die Ursache liege in der „Salesforce Community“, mit der Salesforce-Kunden ihre eigenen Websites erstellen könnten, um sich mit Benutzern außerhalb ihres Unternehmens zu verbinden und zusammenzuarbeiten. Sogenannte Communities könnten unterschiedlichste Funktionen bieten, wie z.B. „Fragen und Antworten“, Foren oder Partnerportale. Zudem könnten sie anonymen Benutzern („Guest User“) auch die Abfrage von Objekten ermöglichen, welche sensible Informationen enthielten, wie z.B. Kundenlisten, Support-Fälle, E-Mail-Adressen von Mitarbeitern und mehr.
Communities seien öffentlich zugänglich und würden standardmäßig von Google indiziert. Dies sei zwar für Kunden und Partner nützlich, mache es aber Angreifern, welche eine Schwachstelle oder Fehlkonfiguration entdecken, leicht, Communities in großem Umfang zu scannen und zu missbrauchen.

Varonis Threat Update zeigt neue, bislang unveröffentlichte Aspekte des Angriffs

Obwohl das Problem von Sicherheitsforschern bereits im letzten Jahr – 2020 – an Salesforce gemeldet worden sei, seien immer noch unzählige Unternehmen gefährdet. Das „Varonis Threat Update“ zeige neue, bislang unveröffentlichte Aspekte des Angriffs auf. Die Sicherheitsforscher hätten ihre Erkenntnisse Salesforce mitgeteilt, welches nach eigenen Angaben an Updates für seine App arbeite, um eine versehentliche Preisgabe von Informationen zu erschweren.
„Angreifer können diese Fehlkonfiguration ausnutzen, um vertrauliche Informationen für eine ,Spear Phishing‘-Kampagne zu gewinnen. Im schlimmsten Fall sind sie in der Lage, sensible Informationen über ein Unternehmen, seine Aktivitäten, Kunden und Partner zu stehlen. In einigen Fällen könnte sich ein raffinierter Angreifer sogar seitwärts bewegen und Informationen von anderen Diensten abrufen, die mit dem Salesforce-Konto integriert sind“, erläutert Nitay Bachrach, Sicherheitsforscher bei Varonis.
Dies sei nicht das erste Mal und werde auch nicht das letzte Mal sein, „dass ein SaaS-Konfigurationsproblem zu einem ernsthaften Sicherheitsvorfall führen kann“. Bachrach rät: „IT- und Sicherheitsteams müssen wachsam bleiben und ihre SaaS-Risiken kontinuierlich bewerten.“

Varonis-Tipps für betroffene Unternehmen

Varonis have ein Scanner-Tool entwickelt, um gefährdete Communities zu identifizieren. Dieses Tool werde nicht veröffentlicht, da es Angreifern das Aufspüren von gefährdeten Unternehmen erleichtern könnte. Salesforce-Administratoren sollten zudem folgende Schritte durchführen:

• Prüfen Sie die Berechtigungen der Gastprofile: Stellen Sie sicher, dass durch die Berechtigungen dieser Profile keine Informationen freigegeben werden, die Sie nicht preisgeben möchten, wie z.B. Kontodaten oder Mitarbeiterkalender!
• Deaktivieren Sie den API-Zugang!
• Legen Sie einen Standard-Eigentümer/Verantwortlichen für Datensätze fest, welche von Gastbenutzern erstellt werden!
• Aktivieren Sie den sicheren Gastbenutzer-Zugang!

Weitere Informationen zum Thema:

VARONIS, Nitay Bachrach, 10.08.2021
Abusing Misconfigured Salesforce Communities for Recon and Data Theft

VARONIS
#staysafestayalert / Get Incident Response help for free

[datensicherheit.de, 10.08.2021] Nach eigenen Angaben von Varonis Systems ist der Umsatz auch im zweiten Quartal 2021 deutlich gesteigert worden – einer der Treiber sei dabei Ransomware, welche jedoch nur stellvertretend und ein prominentes Beispiel für die Bedrohung der Datensicherheit insgesamt sei.

Foto: Varonis Systems

Michael Scheffler: Varonis erkennt Datenexfiltrationen, welche bei Double Extortion Ransomware einer Verschlüsselung vorausgehen

Varonis überwacht lokale sowie Cloud-Datenspeicher und identifiziert auffälliges Verhalten sofort

„Seit unserer Gründung weisen wir darauf hin, dass der Schutz des Perimeters und der Endpunkte wichtig, aber unzureichend ist. Perimeter sind schwer zu definieren und noch schwieriger zu überwachen. Endpunkte sind austauschbar und verlieren an Bedeutung, insbesondere da nur noch sehr wenige Daten auf diesen Geräten gespeichert werden“, erläutert Michael Scheffler, „Country Manager DACH“ bei Varonis Systems, und positioniert sich: „Wenn Angreifer den Perimeter überwinden, beispielsweise durch einen Phishing-Angriff, sind wir im Gegensatz zu den meisten anderen Lösungen in der Lage, die Daten unserer Kunden vor Ransomware, Exfiltration und anderen Attacken zu schützen.“
Varonis überwache die lokalen und „Cloud“-Datenspeicher und identifiziere auffälliges Verhalten sofort. Die Software sei in der Lage, die gesamte Verschlüsselung zu stoppen, und erkenne, welche kritischen Daten wiederherstellt werden müssten. Ebenso erkenne Varonis Datenexfiltrationen, welche bei der „Double Extortion“-Ransomware einer Verschlüsselung vorausgingen, und könne Angriffe so schon frühzeitig identifizieren und Gegenmaßnahmen einleiten.

Ransomware zeigt laut Varonis sehr gut die generelle Problematik der Datensicherheit auf

Scheffler führt aus: „Ransomware zeigt sehr gut die generelle Problematik der Datensicherheit: Daten müssen dort geschützt werden, wo sie sind. Ich muss in der Lage sein, bei abnormalem Verhalten Alarm zu schlagen, dann vollständig zu verstehen, was passiert ist, der Ursache auf den Grund zu gehen, eine sehr effektive Forensik durchzuführen und sehr schnell zu einer Lösung zu kommen.“ Dabei sei es auch von größter Wichtigkeit, alle Plattformen einzubeziehen und einen Kontext herzustellen, „um präzise erkennen zu können, was passiert und aus welcher Richtung ein Angriff erfolgt“.
Im Grunde gehe es bei der Datensicherheit nur um drei einfache Fragen: „Wissen wir, wo unsere wichtigen Daten gespeichert sind? Haben nur die richtigen Personen Zugang zu den Daten? Und ist gewährleistet, dass die Daten korrekt verwendet werden?“ Könne man alle drei mit „ja“ beantworten, seien die Daten sicher. „Ist die Antwort auf nur eine der Fragen ein ‚Nein‘, hat man ein Problem“, betont Scheffler.

Varonis stellt nach eigenem Bekunden die wertvollen Unternehmensdaten ins Zentrum der Sicherheitsstrategie

„Wenn wir unseren Kunden zeigen, dass sie durch die Integration von Wichtigkeit, Zugriff und Nutzung von Daten endlich ein ganzheitliches Verständnis und eine deutliche Risikoreduzierung erreichen können, die mit nur einer dieser Dimensionen nicht umzusetzen ist, wird die Einzigartigkeit unserer Lösung deutlich. Damit Daten sicher sind, müssen Sie alle drei Fragen jederzeit mit ‚ja‘ beantworten können. Das ist der Grund, warum unsere Plattform und die zugrunde liegende Technologie einen so dauerhaften Wettbewerbsvorteil bieten und warum wir glauben, dass wir einen Vorsprung von 15 Jahren haben“, so Scheffler.
Varonis stelle die wertvollen Unternehmensdaten ins Zentrum der Sicherheitsstrategie und dabei in einen Kontext – „wo sie gespeichert sind, was sie enthalten, wer darauf zugreifen kann und woher“. Automatisierung und Maschinelles Lernen verbinden demnach diese Punkte, um Visualisierungen von Risiken und Profilen einer normalen Nutzung zu erstellen. Auf diese Weise erkenne Varonis Bedrohungen und behebe automatisch den Schaden, „den ein einzelner kompromittierter Benutzer oder ein kompromittiertes System anrichten kann (Explosionsradius)“.

Weitere Informationen zum Thema:

VARONIS
Ransomware

datensicherheit.de, 10.08.2021
Neue Ransomware-Studie von Palo Alto Networks / Durchschnittliche Ransomware-Lösegeldforderung auf 5,3 Millionen US-Dollar im ersten Halbjahr 2021 gestiegen

datensicherheit.de, 26.07.2021
Ransomware-Attacken: Lehren aus dem Vorfall bei Colonial Pipeline / Cyber-Kriminelle wollen möglichst schnell und einfach möglichst viel Gewinn erzielen – Ransomware-Angriffe zumeist opportunistisch

datensicherheit.de, 12.07.2021
Zunahme von Ransomware-Angriffen nicht allein technisch zu begegnen / Grenzüberschreitende Bedrohung durch Ransomware erfordert auch Handeln auf politischer Ebene

datensicherheit.de, 09.07.2021
Ransomware-Attacken: Was wir heute von gestern für morgen lernen können / Ed Williams kommentiert aktuelle Hacker-Angriffe mit Ransomware, zeigt Trends auf und gibt Tipps

[datensicherheit.de, 03.08.2019] Auch 2019 Jahr wird Varonis Systems nach eigenen Angaben Aussteller auf der „it-sa“ (8. bis 10. Oktober 2019 in Nürnberg) sein. Die zunehmende Digitalisierung in nahezu allen Branchen auf der einen, Compliance-Anforderungen, immer wieder auftretende Ransomware-Wellen und prominente Datenschutzverletzungen auf anderen Seite, machten deutlich, dass angesichts der Digitalen Transformation IT- und Datensicherheit immer mitgedacht werden müssen. In praxisnahen Vorträgen und am eigenen Stand (Halle 9, Nr. 437) soll aufgezeigt werden, „wie man angesichts dieser Herausforderungen verdächtiges Nutzerverhalten erkennen, sensible Daten finden und klassifizieren, Zugriffe managen und seine Daten damit auch in hybriden Umgebungen effektiv schützen kann“.

Noch Defizite und Nachholbedarf bei Datenschutz und Datensicherheit

„Wir sehen mehr als ein Jahr nach dem endgültigen Inkrafttreten der DSGVO, dass das Thema Datenschutz und Datensicherheit nicht nur bei den Unternehmen, sondern tatsächlich auch mitten in der Gesellschaft angekommen ist“, berichtet Klaus Nemelka, Marketing-Manager „DACH“ bei Varonis.
„Dennoch gibt es an vielen Stellen noch deutliche Defizite und Nachholbedarf, sei es im individuellen Verhalten oder in mangelnden Investitionen in diesem Bereich.“ Zwar werde 2019 von Unternehmen mit 124 Milliarden US-Dollar weltweit so viel wie nie zuvor für IT-Sicherheit ausgegeben, allerdings werde dabei zu wenig ihr Beitrag zum Unternehmenserfolg erkannt.

Investitionen in Datensicherheit dienen der Wertschöpfung

„Gerade CEOs sehen hierin vor allem lediglich Ausgaben und erkennen meist nicht den positiven Beitrag dieser Investitionen zur Wertschöpfung. Hier muss – ähnlich wie bei der DSGVO – ein Umdenken erfolgen und IT-Sicherheit als Wachstumstreiber erkannt werden.“
Die Digitalisierung sei eine „enorme Chance, Prozesse zu optimieren, neue Geschäftsfelder zu erschließen und wettbewerbsfähiger zu werden“ – sie könne aber nur gelingen, „wenn Sicherheit fortlaufend mitgedacht und implementiert wird“. Gerade das Vertrauen von Partnern und Kunden werde nur gewonnen und auf Dauer erhalten werden können, „wenn die Vertraulichkeit und Integrität von Daten gewährleistet ist“.

Datensicherheit: Technische Aspekte und unternehmerische Chancen aufzeigen

Die Experten von Varonis möchten am Stand zeigen, „wie die Datensicherheit auch in hybriden Umgebungen, in denen Daten sowohl lokal als auch in der Cloud gespeichert werden, sichergestellt, die Datenintegrität unabhängig vom Speicherort gewährleistet und die Compliance einhalten werden kann“. Zudem sollen „in praxisnahen Vorträgen sowohl technische Aspekte als auch unternehmerische Chancen durch eine starke Datensicherheit“ aufgezeigt werden:

Dienstag, 8. Oktober 2019, 14.45 bis 15.00 (Forum 10.0)
„Understanding Hackers and How Varonis Makes Them Miserable“
Sprecher: Boris Lemer,„Sales Engineer“, Varonis, und
Matt Radolec,„Security Architect Manager“, Varonis

Mittwoch, 9. Oktober 2019, 14.30 bis 14.45 (Forum 09)
„Compliance im Jahr 2019: Was Sie jetzt wissen müssen“
Sprecher: Matthias Schmauch,„Enterprise Sales Representative“, Varonis

Weitere Informationen um Thema:

VARONIS
2019 VARONIS GLOBAL DATA RISK REPORT / 53% of companies found over 1,000sensitive files open to every employee

datensicherheit.de, 25.07.2019
Neue Kompetenzen der CIO: Innovative Technologien unterstützen das Kerngeschäft

datensicherheit.de, 15.10.2018
CEO-Fraud: Mittelstand unterschätzt Gefahr des Cheftricks

[datensicherheit.de, 25.05.2019] Im ersten Jahr nach endgültigem Inkrafttreten der DSGVO hat sich das Datenrisiko in Deutschland nicht reduziert, sondern ist tendenziell noch gestiegen – zu diesem Ergebnis kommt der aktuelle Datenrisiko-Report aus dem Hause Varonis Systems, Inc. Dieser Einschätzung lägen Risk Assessments bei rund 50 deutschen Unternehmen unterschiedlicher Größe – vom mittelständischen Hersteller bis hin zum international agierenden Healthcare/Biotech-Konzern – zugrunde. Weltweit seien insgesamt 700 Unternehmen aus rund 30 Branchen und mehr als 30 Ländern mit einem Datenvolumen von insgesamt 54,6 Petabytes analysiert worden.

58 Prozent der gespeicherten Daten nicht mehr genutzt

In Deutschland seien zwar lediglich 0,63 Prozent der gespeicherten Dateien sensibler Natur (in Frankreich dagegen 4,22 Prozent, weltweit im Durchschnitt ein Prozent), 19 Prozent davon seien jedoch sämtlichen Mitarbeitern zugänglich (Frankreich: zwölf Prozent, weltweit 17 Prozent). In deutschen Unternehmen unterliegen demnach entsprechend durchschnittlich knapp 58.000 sensible Dateien keiner Zugriffsbegrenzung.
Hinzu kommt laut Varonis, dass 58 Prozent der gespeicherten Daten nicht mehr genutzt werden („stale data“), was das Risiko für Verstöße gegen die DSGVO erhöhe – und zu entsprechenden Strafen führen könne.
Zum Vergleich: Weltweit liege dieser Wert bei 53 Prozent, in Frankreich „nur“ bei 48 Prozent. Besser sehe die Situation bei veralteten, nicht mehr benötigten, aber nicht deaktivierten Nutzerkonten aus: Zwar werde immerhin knapp ein Viertel der Nutzerkonten nicht mehr genutzt (23 Prozent), weltweit sei dieser Wert aber mehr doppelt so hoch (50 Prozent).

Tatsächliche Situation in Deutschland keinerlei Anlass zur Freude

„Der Datenrisiko-Report basiert nicht auf Umfragen unter IT-Verantwortlichen, sondern auf echten, in Unternehmen gewonnenen Zahlen. Er zeigt damit auch keine gefühlten Wahrheiten, sondern die Situation so, wie sie tatsächlich ist“, führt Thomas Ehrlich, „Country Manager DACH“ bei Varonis, aus.
„Und die tatsächliche Situation in Deutschland gibt leider keinerlei Anlass zur Freude. Die vagen Hoffnungen, dass sich durch die DSGVO die Datensicherheit nachhaltig verbessert, was ja eines der zentralen Ziele ist, haben sich bislang noch nicht erfüllt“, so Ehrlich.
Dennoch seien die Ergebnisse auch kein Grund, die Verordnung generell in Frage zu stellen oder zu resignieren: „Wir sehen nach wie vor große Anstrengungen auf Seiten der Unternehmen, die Vorgaben umzusetzen. Nicht nur aus Angst vor Strafen, sondern weil sich – und das ist einer der größten Erfolge der DSGVO – das Bewusstsein für den Wert der Daten wesentlich verbessert hat.“

Foto: Varonis Systems

Thomas Ehrlich: Der Datenrisiko-Report basiert nicht auf Umfragen unter IT-Verantwortlichen, sondern auf echten, in Unternehmen gewonnenen Zahlen!

Weitere Informationen zum Thema:

VARONIS
2019 VARONIS GLOBAL DATA RISK REPORT

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

datensicherheit.de, 21.05.2019
Papier: Datenschutz gilt auch für analoge Daten

datensicherheit.de, 20.05.2019
DSGVO brachte mehr Datenhygiene und auch Bürokratie

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance

[datensicherheit.de, 04.04.2019] Den aktuellen Datenskandal bei facebook kommentiert Thomas Ehrlich, „Country Manager DACH“ bei Varonis: „Wir haben uns leider an zu vieles gewöhnt. Wir wissen, dass unsere E-Mail-Adressen, Benutzernamen und Passwörter schon mehr als einmal gestohlen wurden, im Darknet aufgetaucht sind und Kriminellen zur Verfügung standen.“ Wir reagieren – mittlerweile fast schon routiniert – darauf, indem wir Passwörter änderten und weitermachten.

Alles, was wir eigentlich schützen und privat halten möchten, ist bedroht

Ehrlich: „Was an der neuerlichen facebook-Datenschutzverletzung beängstigend ist und was sie von anderen Fällen unterscheidet, ist die Tatsache, dass Cyber-Kriminelle durch all die facebook-Leaks nun viel mehr persönliche Informationen über uns besitzen – von unseren Kontakten und Familienmitgliedern über Orte, die wir besucht haben, bis hin zur Schule, auf die wir gegangen sind.“
Dies gehe über den Diebstahl von Credentials (Zugangsdaten) weit hinaus und werde sehr persönlich. Es betreffe letztlich alles, was wir eigentlich schützen und privat halten wollten, zumindest aber nicht in den Händen von Kriminellen wissen möchten.

Kriminelle erhalten Zugriff auf persönliche Hintergrundinformationen

„Vor allem sind diese Informationen Dinge, die wir nicht so einfach wie einen Nutzernamen, eine Mail-Adresse oder ein Passwort ändern können“, so Ehrlich. Kriminelle hätten hierdurch Hintergrundinformationen über uns, die sie für „Social Engineering“ oder das Erraten von Antworten auf Sicherheitsfragen nutzen könnten. Ehrlich warnt: „Je mehr Kontext und Informationen sie haben, desto intelligenter und gefährlicher werden sie.“
Noch vor Kurzem habe sich Mark Zuckerberg für eine globale Regulierung des Internets ausgesprochen, um auch „Menschen auf Facebook zu schützen“. Der erste Schritt zu ihrem Schutz wäre, „jetzt endlich Datenschutz und Datensicherheit bei facebook zur Chefsache und zum Grundprinzip zu machen“, fordert Ehrlich.

Foto: Varonis Systems

Thomas Ehrlich: Aktuelle facebook-Datenschutzverletzung „beängstigend“!

Weitere Informationen zum Thema:

datensicherheit.de, 04.04.2019
Schon wieder ein potenzielles Datenleck bei facebook

datensicherheit.de, 21.03.2019
facebook: Erneut erhebliche Datenschutzdefizite

datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke