- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Weitreichende Zugriffsrechte eingeräumt


Die unterschätzte Gefahr: Externe Dienstleister, ein Sicherheitsrisiko
Wie sicher ist ein Dienstleister und woran erkenne ich das?



Von David Lin, Varonis

Das Phänomen ist nicht neu: Externe Dienstleister stellen ein weithin unterschätztes Sicherheitsrisiko dar. Das bestätigte jüngst eine Umfrage bei der im Rahmen des "VendorVulnerability Survey 2016", die Computerwoche berichtete, annähernd 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA befragt wurden. Demnach vertrauen erstaunlicherweise gerade die als besonders sicherheitsaffin geltenden Deutschen ihren Partnern mehr als die Befragten aus den anderen Nationen. Nur wenige überprüfen, wer von welchen Dienstleistern wie in ihre Systeme gelangen kann, geschweige denn welche Zugriffsberechtigungen an dieser Stelle vergeben worden sind. Gleichzeitig sagen 83 Prozent der befragten deutschen Firmenvertreter, dass sie damit rechnen innerhalb der kommenden zwei Jahre Opfer eines Cyberangriffs zu werden.

Das mutet widersprüchlich an, deckt sich aber mit unseren Erfahrungswerten. Und das keineswegs nur in kleinen und mittelständischen Unternehmen. Großkonzerne, darunter selbst Banken und Versicherungen, machen hier keine Ausnahme. Gerade Providern werden an dieser Stelle weitreichende Zugriffsrechte eingeräumt. In manchen Fällen haben sie exakt dieselben Rechte wie die IT-Administratoren selbst. Warum gerade bei den Deutschen der Anteil der Vertrauensseligen so hoch ist, darüber kann man nur spekulieren. Bei der zitierten Umfrage sind es jedenfalls satte 92 Prozent der Befragten, die ihren Dienstleistern so weit vertrauen, dass sie ihnen weitreichende Privilegien einräumen. Und das, obwohl bei Externen erwiesenermaßen eines der wesentlichen Einfallstore für Angriffe liegt.

Vertrauen ist gut?
Es scheint als würden gerade die deutschen Unternehmen an dieser Stelle einer folgenschweren, weil falschen, Gleichsetzung erliegen. Es liegt in der Natur des Menschen, anderen Menschen tendenziell vertrauen zu wollen. Das ist eine Grundlage des Social Engineerings.

Dabei mag es durchaus zutreffend sein, einem renommierten Dienstleister nicht per se kriminelle Energie zu unterstellen. Darum geht es aber nicht, sondern viel mehr darum, dass externe Partner oftmals selbst längst nicht so gut abgesichert sind wie das Unternehmen, das sie beliefern oder für das sie bestimmte Services anbieten. Experten schätzen die davon ausgehende Gefahr als durchaus sehr real ein.

Selbst wenn man einen Dienstleister im Rahmen des Auswahlprozesses auf Herz und Nieren geprüft hat sollte ein Vertrag entsprechende Klauseln enthalten. Um dann noch den gesetzlichen Anforderungen an die Auftragsdatenbearbeitung zu entsprechen, empfehlen Berater einen separaten Vertrag abschließen. Stellt man Unternehmen allerdings direkt die Frage, ob sie von den gesetzlichen Regelungen betroffen sind, erntet man nicht selten ein Kopfschütteln als Antwort.

Freie Mitarbeiter, externe Dienstleister oder nur projektweise mit bestimmten Daten befasste Berater werden dabei gerne vergessen. Betroffen sind allerdings mehr Beteiligte als gemeinhin angenommen. Eine Datenverarbeitung im Auftrag liegt dann vor, wenn Daten im Auftrag durch eine andere Stelle erhoben, verarbeitet und genutzt werden und die Verantwortung dafür beim Auftraggeber verbleibt. Wie der Fall der Datenübermittlung bewertet wird ist nicht ganz trivial. Hier existieren unterschiedliche Auffassungen welche Kriterien angelegt werden sollten.

Wie sicher ist ein Dienstleister und woran erkenne ich das?
Eine gute Richtschnur bei der Auswahl des Dienstleisters bietenunter anderem Zertifizierungen wie die nach den Normen der ISO 27001/27002-Serie und den Vorgaben des BSI-Grundschutz, denen beispielsweise IT-Dienstleister unterliegen. Das BSI selbst bewertet den IT-Grundschutz als eine einfache Methode, dem Stand der Technik entsprechend Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Allerdings kann das in der Praxis vor allem wenn es um das Einbinden externer Dienstleister geht deutlich anders aussehen. Nicht immer ist der IT-Grundschutz dann so ganz einfach zu überprüfen oder zu realisieren. Trotzdem lohnt es sich innerhalb und außerhalb des Unternehmens einen genaueren Blick auf die Voraussetzungen zu werfen.

Zum Beispiel dann, wenn ein Unternehmen lediglich einige wesentliche Voraussetzungen in der eigenen Infrastruktur schaffen muss, ohne gleich komplette Geschäftsprozesse umzukrempeln. Das sind beispielsweise Prozesse, die betreffen, wer auf welche Daten zugreifen darf, kann, sollte oder muss. Ein weiterer Bereich betrifft das komplette Management der Zugriffsrechte. Dazu kommen spezielle Richtlinien, die in Branchen berücksichtigt werden müssen, die mit besonders sensiblen und vertraulichen Daten agieren. Beispielsweise Unternehmen innerhalb der Finanzbranche wie Banken und Versicherungen und natürlich alle Akteure im Gesundheitswesen.

Hier geht man von einem potenziell höheren Risiko aus als in anderen Branchen. Und die Konsequenzen potenzieller Datenschutzverstöße sind ungleich weitreichender. Und das gilt ganz genauso, ob es sich um ausgelagerte IT-Dienstleister, Provider, Personaldienstleister oder externe Berater handelt, die nur für einen bestimmten abgegrenzten Projektzeitraum im Unternehmen beschäftigt waren.

Wer tut was mit meinen Daten?
Hat man die Möglichkeit neben den Zugriffsaktivitäten auch die zugehörigen Metadaten zu erheben, sie zusätzlich zu analysieren und zu klassifizieren sowie diese Informationen mit einer Analyse des Nutzerverhaltens zu kombinieren, ergibt sich ein weit kompletteres und vor allem aktuelles Bild. Anomalien beim Zugriffsverhalten oder verdächtige Aktivitäten sind frühzeitig zu erkennen, und damit potenzielle Datenschutzverstöße, Leaks und Insider-Aktivitäten im Anfangsstadium.

Was die praktische Umsetzung anbelangt sind sehr kleinteilig gesetzte Regeln ein probates Mittel. Mit ihrer Hilfe identifiziert man bestimmte abweichende Verhaltensmuster gegenüber vorher definierten Normalwerten.

Allerdings ist es nicht ganz einfach zu ermitteln, welche Informationen ein externer Partner tatsächlich braucht und für wie lange er auf diese Ressourcen zugreifen darf. Je nach dem, wen man dazu in einem Unternehmen befragt, fallen die Antworten durchaus unterschiedlich aus. Die Beantwortung dieser Fragen alleine in die Verantwortlichkeit der IT-Abteilung und/oder der ausgewählten technischen Tools zu legen, reicht nicht aus.

Ist ermittelt, wer auf welche Daten zugreifen kann, ist es sinnvoll diejenigen in die Vergabe der Zugriffsrechte einzubinden, die den inhaltlichen Kontext zu den Daten haben. Diese Fachverantwortlichen zu ermitteln und anschließend am Vergabeprozess zu beteiligen reduziert das Risiko zu weit gefasster Zugriffsrechte. Der Prozess schließt ein, dass die Zugriffsrechte, inklusive der Rechte, die an externe Dienstleister vergeben werden, so vergeben sind, dass sie einerseits den Sicherheitsanforderungen genügen und andererseits die Arbeitsläufe als solche gleich mit optimieren.

Analyse des Benutzerverhaltens für wen?
Wenn man die bei der Analyse des Benutzerverhaltens ermittelten Daten mit den gleichzeitig erhobenen Metadaten kombiniert, profitieren davon nicht nur Unternehmen und Institutionen selbst, sondern auch externe Dienstleister wie Service Provider:

>> Sie bieten ihren Kunden einen Benachrichtigungsservice in Echtzeit
>> Sie identifizieren Malware-/Ransomware-Infektionen wie beispielsweise Cryptolocker frühzeitig und können sie blockieren (in etwa 5 Minuten)
>> Sie erkennen Anomalien, die bei Zugriffsaktivitäten auf sensible Daten auftreten tatsächlich als solche, und können frühzeitig Gegenmaßnahmen ergreifen (wie bestimmte Konten sperren zum Beispiel)
>> Sie sind in der Lage Datenschutzverletzungen oder das Herausschleusen von auf dem Server gespeicherten Daten zu erkennen und zu stoppen.

Fazit
Viele der massiven Datenschutzverletzungen insbesondere dieses und des zurückliegenden Jahres weisen strukturelle Ähnlichkeiten auf. In zahlreichen Fällen ist es den Angreifern gelungen, sich in den Besitz der Login-Daten eines Mitarbeiters zu bringen. Unabhängig davon ob Mitarbeiter oder ehemaliger Angestellter, externer Dienstleister oder Hacker, was alle Bedrohungen dieser Art gemeinsam haben ist, dass sie schwer zu entdecken und noch schwerer zu verhindern sind.

An vielen Stellen sind die Zugriffsaktivitäten der Schlüssel will man potenzielle Datenschutzverletzungen frühzeitig verhindern. Nur, dazu braucht man zweierlei: Man muss wissen, wer welche Zugriffsrechte hat und man muss wissen, was er damit tatsächlich tut, respektive tun kann.

Gerade bei Großunternehmen und Konzernen besteht Handlungs- wenn nicht Nachholbedarf. Und der Automatisierungsgrad ist in diesem Bereichlängst nicht so weit fortgeschritten wie es die schiere Größe eines Unternehmens nahe legen würde. (Varonis: ra)

eingetragen: 29.04.16
Home & Newsletterlauf: 01.06.16


Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.