Interview mit
Thomas Ehrlich, Country Manager DACH und Osteuropa Varonis
In den letzten Monaten sind Meldungen über Datenschutzverletzungen zum traurigen Alltag geworden. Allein in der ersten Hälfte des Jahres 2018 verzeichnete der Breach Level Index über drei Milliarden kompromittierte Datensätze. Die überwiegende Mehrzahl der Fälle wurde dabei durch externe Angreifer verursacht (56 Prozent), aber auch Innentäter, wie zuletzt bei Tesla, sorgen häufig für gravierende Schäden.
Das größte und am meisten verbreitete Problem sind dabei zu weit gefasste Zugriffsrechte. So zeigte der Varonis Datenrisiko-Report 2018, dass durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind und in 41 Prozent der Unternehmen sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien haben – wie personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen.
Achillesferse Zugriffsrechte
Entsprechend ist die Reduzierung und effektive Kontrolle der Zugriffsrechte ein wesentlicher Punkt für mehr Datensicherheit. Grundsätzlich sollten sie nach dem Need-to-know-Prinzip vergeben werden. Dadurch sollten nur diejenigen Mitarbeiter Zugriff auf Dateien haben, die sie für ihre Arbeit auch tatsächlich benötigen. Und je geringer die Anzahl der Berechtigten ist, desto geringer auch das Risiko.
Problematisch in diesem Zusammenhang sind auch sogenannte Ghost Users, also veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten. Die Studie hat ergeben, dass jedes dritte Nutzerkonto nicht mehr genutzt wird. Der Hauptgrund hierfür ist eine oftmals mangelnde Kommunikation zwischen den einzelnen Abteilungen und der IT. So kann die IT-Abteilung zwar Änderungen implementieren, aber sie ist dabei auf Informationen anderer Stellen, etwa der Personalabteilung, angewiesen, um sicherzustellen, dass Konten deaktiviert werden.
Data Owner als Verantwortliche
Für Hacker sind diese Accounts ideal, da ihre Nutzung oft nicht weiter auffällt. Zum einen gibt es ja keinen aktiven Nutzer, der sich über vermeintlich von ihm selbst durchgeführte Aktionen wundern würde, zum anderen sind es legitime Konten mit bestimmten Berechtigungen. Auf diese Weise sind Cyberkriminelle in der Lage, sich in aller Ruhe und ohne Aufmerksamkeit zu erzeugen in den anvisierten Unternehmen umzuschauen und diese von innen heraus kennenzulernen. Und je nach Zugriffsrechten können hierbei bereits auch schon Daten unauffällig entwendet werden.
Unter anderem um diese Problematik zu adressieren, aber auch um ganz allgemein eine bessere Datenhygiene zu erzielen, empfiehlt sich die unternehmensweite Etablierung von Data Ownern, also Datenverantwortlichen. Diese gehören nicht der IT, sondern den entsprechenden Fachabteilungen an und sind damit in der Lage, präzise zu entscheiden, welcher Mitarbeiter auf welche Dateien zugreifen muss. Auf diese Weise wird nicht nur die Datensicherheit erhöht, sondern auch die IT-Abteilung entlastet.
Nutzerverhalten als zusätzlicher Indikator
In Bezug auf Datensicherheit sind die Zugriffsrechte aber nur die eine Seite der Medaille. Auch wenn sie auf das Nötigste reduziert werden, besteht immer noch eine (wenngleich deutlich geringere) Gefahr des Datendiebstahls. Hier muss eine intelligente Analyse des Nutzer- und Maschinenverhaltens (UEBA) ansetzen. Diese erkennt abnormales Verhalten, etwa in Bezug auf Uhrzeiten, Ordner, auf die zugegriffen wird, oder auch Geolokation, und ist in der Lage, Alerts auszugeben und (automatisiert) entsprechende Verteidigungsmaßnahmen einzuleiten.
So ist auf diese Weise möglich, das Abfließen von Daten zu identifizieren und zu stoppen, sogar bei Zero-Day-Attacken. Mit anderen Worten: Es spielt keine Rolle, auf welche Weise der Angreifer hinter den Perimeter gelangt ist, sei es mittels Social Engineering, Phishing, gestohlenen Zugangsdaten oder durch bekannte oder unbekannte Sicherheitslücken. Auch können auf diese Weise böswillige Aktivitäten von Insidern erkannt und unterbunden werden.
Datensicherheit ist der Dreh- und Angelpunkt
Viele Unternehmen konzentrieren sich jedoch nach wie vor zu stark auf den Perimeter-Schutz, reagieren auf immer neue Bedrohungen und Angriffsvektoren mit immer neuen vermeintlich sicheren Insellösungen, anstatt die Datensicherheit ins Zentrum der Security-Strategie zu stellen: Mit der Durchsetzung restriktiver Zugriffsrechte nach dem „Need-to-know“-Prinzip und intelligenter Nutzerverhaltensanalyse kann das Risiko wesentlich verringert und die Sicherheit wesentlich erhöht werden.
„Es muss klar sein, dass Datensicherheit ein ständiger Prozess ist“
Daten sind sicherlich die mit wertvollsten Assets, über die Unternehmen verfügen. Deswegen müssen sie entsprechend geschützt werden. Analysiert man aktuelle Hacker-Attacken, spielen oftmals unstrukturierte Daten eine wesentliche Rolle. Warum das so ist und was Unternehmen hiergegen unternehmen können, erklärt Thomas Ehrlich, Country Manager DACH von Varonis Systems, im Interview.
Herr Ehrlich, warum sind unstrukturierte Daten für Angreifer ein so beliebtes Ziel?
Das hat vor allem zwei Gründe: Zum einen liegen hier die wertvollen Informationen des Unternehmens: Von geistigem Eigentum (wie Produktionspläne oder CAD-Dateien) über Mitarbeiter- bis hin zu Kundendaten, oft inklusive Adressen, Finanzinformationen und medizinischer Daten. Zum anderen zeigt sich immer wieder, dass diese Daten aufgrund zu weit gefasster Zugriffsrechte einfach zu finden bzw. zu erreichen und damit relativ problemlos zu stehlen sind.
Deshalb konzentrieren wir uns ausschließlich auf die unstrukturierten Daten eines Unternehmens, also alles, was jenseits von Datenbanken auf den Unternehmensservern oder in der Cloud gespeichert ist. Wir decken dabei nicht nur die Windows-Welt mit Active Directory, Exchange, SharePoint und Office 365 ab, sondern auch UNIX/Linux. Und da immer mehr Unternehmen über hybride Umgebungen verfügen, in denen Dateien sowohl lokal als auch in der Cloud gespeichert werden, arbeiten unsere Lösungen auch mit Dell EMC, NetApp, Nasuni und HPE zusammen.
Worauf kommt es neben Management und Optimierung von Zugriffsrechten noch an?
Wir verstehen Datensicherheit als einen dreistufigen Prozess: Erkennen des Risikos und der exponierten und sensiblen Daten, Verhindern von zu weit gefassten und unnötigen Zugriffsrechten und schließlich Erhalten des erreichten Zustands, etwa durch Automatisierung. Wir sind in der Lage, für jeden dieser Bereiche entsprechende Module unserer Datensicherheits-Plattform anzubieten, sodass Unternehmen eine auf ihre speziellen Bedürfnisse ausgerichtete Lösung erhalten.
Neben dem kontinuierlichen Management der Zugriffsrechte – und es muss allen Verantwortlichen klar sein, dass Datensicherheit ein ständiger Prozess und keine einmalige und abschließbare Aktion darstellt – ist es aber unabdingbar, auch das Verhalten von Nutzern und Maschinen auf Abnormalitäten zu überwachen. Dies gelingt durch intelligente Nutzerverhaltensanalyse (UBA).
Was unterscheidet Ihren UBA-Ansatz von anderen, etwa von Security Information and Event Management (SIEM)-Lösungen?
Unser System lernt das normale Nutzerverhalten kennen und ist so in der Lage, sehr präzise abnormales Verhalten zu erkennen. Gerade SIEM-Systeme werden von IT-Sicherheitsverantwortlichen oft als sehr „laut“ empfunden, da sie viele Warnungen/False-Positives geben. Die Folge ist oftmals, dass ihnen gar keine Beachtung mehr beigemessen wird und die teuren Investitionen letztlich nutzlos betrieben werden. Mit unserer neuen Lösung Edge können wir jedoch den von SIEM-Systemen generierten Informationen zusätzlichen Kontext hinzufügen und damit noch besser Bedrohungen erkennen. Kontext spielt eine große Rolle bei der Unterscheidung, ob es nur außergewöhnliches, aber durchaus legitimes Verhalten ist, oder ob mehr dahintersteckt. Gleichzeitig werden die vielfach brachliegenden SIEM-Lösungen, die ja eigentlich durchaus sinnvoll sind und wertvolle Informationen bereitstellen, wieder sinnvoll genutzt.
Analyse der Zugriffsrechte
Nahezu jede Security-Maßnahme hat ihre Daseinsberechtigung, sei es der Perimeterschutz oder AV-Software. Aber eines hat die Geschichte doch gezeigt: Egal wie groß das Schloss ist, es wird geknackt. Angreifer werden es immer hinter den Perimeter schaffen. Und genau da stellt sich die entscheidende Frage: Was passiert dann? Und hier hilft es unserer Ansicht nach nur, grundsätzlich den Einflussbereich von Nutzern (seien es legitime oder aber böswillige) auf das Nötigste zu beschränken und bei verdächtigem Verhalten entsprechende Gegenmaßnahmen einzuleiten.
Gleichzeitig ist es sinnvoll, die Informationssilos der Security-Lösungen aufzubrechen und durch Integrationen den Anwendern ein klareres Bild der Sicherheitslage zu ermöglichen. So verfügen wir etwa über Integrationen mit Splunk, RSA oder QRadar. Durch die neue Varonis-App für QRadar fügen wir Kontext zu ungewöhnlichen Dateiaktivitäten, E-Mails und Active Directory-Verhalten hinzu. Auf diese Weise erhalten Nutzer direkt in IBM QRadar Benachrichtigungen und Warnhinweise und können in der Web-Benutzeroberfläche die entsprechenden Vorfälle weiter untersuchen.
Wie sieht die rechtliche Grundlage zum Betrieb Ihrer Lösung aus?
Die DSGVO weist in ihrem Artikel 6 auf ein berechtigtes Interesse des Unternehmens hin, unrechtmäßige Datenabflüsse zu verhindern, frühzeitig zu erkennen, zu verhindern und schließlich aufzuklären. Selbstverständlich muss hier immer abgewogen werden zwischen dem Interesse der Verhaltens-überwachung, das sich auf einer Auswertung des Verhaltens auf Anomalien begrenzt, und dem Persönlichkeitsrecht. Unsere Datensicherheits-Plattform ist auch kein Überwachungs-tool, das die individuelle Arbeitsleitung misst. In aller Regel liegen die Monitoring-Daten zunächst nur anonymisiert oder pseudonymisiert vor. Erst bei einem Verdachtsfall findet eine Re-Personalisierung statt, und diese ist auch den Berechtigten (also etwa dem oder der Datenschutz-Beauftragten) zugänglich.
Herr Ehrlich, wir danken Ihnen sehr für diese interessanten Informationen zum Thema Datenschutz!
Thomas Ehrlich verantwortet als Country Manager DACH und Osteuropa das Wachstum und die Positionierung von Varonis in dieser Region. Das Unternehmen verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt. Varonis erkennt Insider-Bedrohungen und Cyberangriffe durch Verhaltensanalyse und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.
