Der Schutz vor Datenlecks erfordert neue Maßnahmen

Trotz aller Sicherheitsmaßnahmen sind Datenlecks alltäglich geworden. Neue Strategien sollen alte ergänzen, um Dateneinbrüche wirksamer zu bekämpfen.

Die Zahlen zeigen, dass veröffentlichte Hacks, Cyberattacken und Datenlecks weiter zunehmen und Außenstehende für die Mehrzahl der Angriffe verantwortlich sind. Laut dem im April veröffentlichten Verizon-Bericht "2013 Data Breach Investigations Report" wurden 92 Prozent der unberechtigten Datenzugriffe im Jahr 2012 Außenstehenden zugeschrieben, bei 19 Prozent stammten die Täter aus staatsnahen Kreisen.

Unabhängig von den Motiven und den Typen der Hacker oder Angreifer ist es an der Zeit, dass Chief Information Security Officers (CISOs) und Mitarbeiter im Sicherheitsbereich Maßnahmen ergreifen, um die Daten besser zu schützen. Datendiebstahl hat Konsequenzen für Unternehmen: schlechte Presse, Reputationseinbußen, sinkende Aktienkurse und die Kosten für die Untersuchung des Vorfalls. Firmen müssen eventuell auch gerichtliche Schritte unternehmen und Betroffene benachrichtigen, wenn bei einem Leck auch persönliche Daten entwendet wurden.

Vom Verbraucherbereich bis zu "Hacktivisten" - Datenlecks und Anzeigepflichten haben sich über mehrere Jahrzehnte entwickelt. 1992 wurde in Kalifornien von Beth Givens, einem Studenten an der Universität von San Diego, die gemeinnützige Organisation "Privacy Rights Clearinghouse" (PRC) gegründet, um das Bewusstsein der Verbraucher dafür zu steigern, wie die Technik sich auf ihre Privatsphäre auswirkt. Obwohl der Schwerpunkt von Clearinghouse anfangs darin lag, die Verbraucher zu informieren und ihre Interessen zu vertreten, erweiterte sich die Rolle der Organisation, Datenlecks allgemein zu analysieren, 2005 mit der Einrichtung der "Chronology of Data Breaches". Diese Datenbank ist zu einer vielbeachteten Website geworden, um Daten zu ermitteln und Trends zu Datenlecks in den Vereinigten Staaten zu erkennen. Seit 2002 hat die "Chronology of Data Breaches" Informationen zu mehr als 607 Millionen Datensätzen aus 3.665 öffentlich gemachten Datenlecks genau dokumentiert.

Im Jahre 1996 wurde mit dem "Health Insurance Portability and Accountability Act" (HIPAA) eines der ersten Gesetze zu Datensicherheit und -schutz erlassen. Allerdings war dieses Gesetz auf medizinische Daten beschränkt und ließ sich nicht anwenden, wenn es um den Verlust, Diebstahl oder sonstigen unberechtigten Zugriff von bzw. auf Daten ging. Das änderte sich erst in den letzten Jahren. Seit 1992, als dem Datenschutzgedanken erstmals verstärkt Aufmerksamkeit zukam, ist eine Branche entstanden, die sich auf Datenlecks spezialisiert hat. Dazu zählen die Ereignisanalyse, das Durchstöbern von Statistiken, um die zugrunde liegenden Ursachen zu finden, und schließlich Wege, um zu verhindern, dass Daten gestohlen oder nicht berechtigten Dritten zugänglich gemacht werden.

Das US-Justizministerium definiert ein Datenleck als "Verlust der Kontrolle über, Kompromittierung, unberechtigte Bekanntgabe oder Beschaffung von, Zugriff zu einem unberechtigten Zweck oder anderen nicht berechtigten Zugriff auf Daten auf physischem oder elektronischem Weg."

Chronik der Auswirkungen

Datenlecks, zumindest die öffentlich bekanntgemachten, nahmen in den 1980er Jahren stetig zu. 1984 wurde das im Bereich globale Kreditauskünfte tätige Unternehmen TRW (mittlerweile Experian) gehackt, 90 Millionen Datensätze wurden dabei gestohlen. 1986 wurden Angaben der Website "Office of Inadequate Security" zufolge 16 Millionen Datensätze von Revenue Canada entwendet.

In den 1990er Jahren und zu Beginn des 21. Jahrhunderts wuchs das öffentliche Bewusstsein für Datenlecks. Die Nachrichtenmedien berichteten verstärkt über "Cyberdiebstähle". Diese Verbrechen waren nicht so dramatisch wie mit physischer Gewalt verbundene "Blitzdiebstähle", die daraus entstehenden Konsequenzen auf lange Sicht aber potenziell bedrohlicher.

Der Gesetzgeber wurde ebenfalls aufmerksam. Im Juli 2003 setzte der US-Bundesstaat Kalifornien das Senatsgesetz 1386 in Kraft. Es gilt als das erste Gesetz in den USA, das darauf abzielt, die Vertraulichkeit persönlicher Daten zu schützen - besonders wenn sie aus Firmendatenbanken gestohlen werden. Die große Aufmerksamkeit, die dieses neue Gesetz und die damit einhergehenden Folgen überall im Land unter IT-Sicherheitsexperten auslösten, zeigte das Interesse daran, Datenverluste zu stoppen und Konsequenzen aus schuldhaftem Verhalten zu ziehen.

Seit August 2012 haben laut der National Conference of State Legislators 46 US-Bundesstaaten, der District of Columbia, Guam, Puerto Rico und die Jungferninseln Gesetze erlassen, die vorschreiben, Sicherheitsverstöße bekannt zu geben, bei denen persönliche Daten betroffen sind. Nur die US-Staaten Alabama, Kentucky, New Mexico und South Dakota verfügen nach wie vor nicht über solche Gesetze.

Statistiken zu Datenlecks

In den neun Jahren, seit Kalifornien dem entsprechenden Gesetz zustimmte, und den 20 Jahren seit Beth Givens' Idee, Privacy Rights Clearinghouse ins Leben zu rufen, ist eine neue Branche von Ermittlern, Prüfern, Gutachtern und Analytikern entstanden, die sich mit Datenlecks beschäftigen. Zu den Organisationen, die eine detaillierte Analyse der Datenlecks und Trends bereitstellen, zählen unter anderem:

Verizons "Data Breach Investigations Report" (DBIR) – Der im April veröffentlichte DBIR 2013 ist der sechste Bericht von Verizon Communication Inc. Seit 2004 analysiert Verizons RISK-Team (Research Investigations Solutions Knowledge) auf Basis seiner Arbeit in der Computerforensik Datenlecks und wertet konkrete Fälle aus. Die Berichtsreihe umfasst jetzt neun Jahre, mehr als 2.500 Datenlecks und über eine Milliarde kompromittierte Datensätze. Nach Angaben von Verizons DBIR 2012 hat das Auftauchen von Hacktivisten im Bereich Datenlecks die Sichtweise auf die Motive hinter Datendiebstählen verändert. Allerdings zeigen die Zahlen im DBIR 2013, dass 75 Prozent der Angriffe finanziell motivierte Taten waren.

DataLossDB, gepflegt von der Open Security Foundation (OSF) – Die OSF-Projektleiter durchforsten Newsfeeds, Blogs und andere Websites auf der Suche nach neuen und alten Datenlecks, die sie dann in ihre Datenbank aufnehmen und über die sie per Mailingliste und soziale Medien informieren.

Ponemon Institute – Dieses Institut untersucht seit 2005 Vorfälle zu Datenverlusten und daraus entstehende Kosten für Unternehmen. Datenlecks können nach Berechnungen des Instituts eine Firma nicht weniger als 194 US-Dollar (zirka 150 Euro) pro kompromittiertem Datensatz kosten. Anders ausgedrückt, kann ein Leck, von dem eine Million Datensätze betroffen sind, ungefähr 194 Millionen US-Dollar (150 Millionen Euro) kosten. Ein entsprechender Kostenkalkulator, der von Symantec entwickelt wurde und auf der Arbeit von Ponemon basiert, ist im Web verfügbar.

Identity Theft Resource Center (ITRC) – Seit 2005 verfolgt das ITRC Verstöße gegen die Datensicherheit und hält dabei nach Mustern, neuen Trends und Informationen Ausschau, die helfen können, Daten zu schützen und Unternehmen in ihren Bemühungen zu unterstützen.

Anfang des 21. Jahrhunderts begann Kirk Bailey, CISO der Universität von Washington und ehemaliger CISO für Seattle, für die Idee einer "Vermutung von Sicherheitsverstößen" zu werben. Anders gesagt, müssen CISOs nicht nur davon ausgehen, dass ihre Systeme und Datenbanken von Sicherheitsverletzungen betroffen sein werden, sondern sie müssen auch diese Denkweise anwenden, um das Unternehmen auf diese Eventualität vorzubereiten.

Eine Ponemon-Studie von Juni 2011 wiederholte Baileys Philosophie: "Die Bedrohung durch Cyberattacken nähert sich heute der statistischen Wahrscheinlichkeit. Unternehmen jeden Typs und jeder Größe sind anfällig für solche Angriffe."

Mit dieser neuen Einstellung sind neue Ansätze zum Schutz von Daten verbunden. Der traditionelle "Perimeter"-Ansatz in der IT-Sicherheit ist immer noch notwendig. So sind die klassischen technischen, administrativen und prozessbasierten Sicherheitsmaßnahmen wie Firewalls, Passwörter und Sensibilisierung der Mitarbeiter erforderlich und bleiben als erste Verteidigungslinie erhalten. Aber es ist wichtig, die nächste Ebene des Datenschutzes zu betrachten.

Schutz der wichtigsten Daten

Für Sicherheitsfachleute und ihre Vorgesetzten ist es schwer, diese Realität zu akzeptieren: Es lassen sich nicht alle Daten schützen. Mit der Verbreitung von portablen Medien, Smartphones, USB-Laufwerken und Notebooks gibt es zu viele Möglichkeiten für den Verlust oder Diebstahl dieser Geräte und der darauf gespeicherten Daten. Es ist wichtig, Schritte zu unternehmen, um die Verschlüsselung von Mobilgeräten zu ermöglichen sowie Endbenutzer damit vertraut zu machen, ihre Geräte zu schützen und sofort Sicherheitsverantwortliche zu unterrichten, wenn die Geräte gestohlen werden, verloren gehen oder eine eventuelle Kompromittierung von Daten vorliegt. Viele Plattformen für die mobile Verwaltung können die Daten auf gestohlenen oder verloren gegangenen Geräte remote löschen.

CISOs sollten diese Philosophie Führungskräften und Vorständen vermitteln und sie dazu bewegen, notwendige Sicherheitsmaßnahmen für den Schutz der wichtigsten Unternehmensdaten zu unterstützen. Zunächst gilt es, die im Besitz des Unternehmens befindlichen Daten zu ermitteln, die - wenn sie verloren gehen bzw. gestohlen oder kompromittiert werden - die Zukunft der Firma nachhaltig beeinträchtigen. Zweitens muss man herausfinden, wo sich diese Daten - einschließlich Sicherungen und "Schattenkopien" - befinden, und ihre Schutzstufe festlegen. Drittens ist es wichtig, festzustellen, wer Zugang zu den kritischen Daten hat. Außerdem müssen die Zugriffsrechte und Möglichkeiten, Daten an diesen Speicherorten hinzuzufügen oder davon zu löschen, berücksichtigt werden.

Mit diesen Informationen ausgerüstet, lässt sich ein Ansatz finden, um die wichtigsten Daten besser zu schützen, indem man sie isoliert oder separiert. Beim Isolieren sind kritische Daten vor physischem Zugriff und Zugriff per Internet sicher. Die Isolierungsumgebung sperrt die kritischen Daten in einen eigenen dedizierten Perimeterbereich aus Firewalls und Zugriffssteuerungslisten. Dabei sind die Zugriffssteuerungen vom Active-Directory- oder LDAP-Schema des Unternehmens getrennt.

Wer auf diese kritischen Daten zugreifen darf, muss darin ausgebildet sein, verdächtige Phishing-Attacken und Anzeichen für physische oder über das Internet durchgeführte Manipulationsversuche erkennen zu können. Das Sicherheitspersonal muss auch darin unterwiesen werden, diese Angriffe, etwa mithilfe von Identitätsmissbrauch, sofort an die entsprechenden Kompetenzträger weiterzuleiten, die bei derartigen Vorfällen Tag und Nacht eingreifen können.

Der Personenkreis mit Zugriff auf kritische Daten muss auf das notwendige Mindestmaß begrenzt werden. Prüfen Sie genau, wer aktuell Zugang zu diesen Daten hat, und entziehen Sie denjenigen die Berechtigung, die sie nicht unbedingt benötigen. Seien Sie vorsichtig bei jedem administrativen Zugriff auf den Perimeter mit den kritischen Daten, und verhindern Sie den Remotezugriff auf die in diesem Bereich befindlichen Geräte und Daten. Auf diese Weise lässt sich eine zusätzliche Schutzebene einrichten.

Nicht zuletzt sollten Sie den Datenfluss in den bzw. aus dem neuen Perimeterbereich strikt überwachen. Dazu zählen auch Änderungen in Echtzeit.

Der Komplexitätsgrad bei Datenlecks wächst zunehmend. Das gilt für Angreifer wie Angegriffene gleichermaßen. Die Angreifer werden immer gerissener und entwickeln neue raffinierte Bedrohungen, die sowohl von langlebiger als auch kurzlebiger Natur sind. Sie lernen neue Wege, um installierte Software, etwa Java und Adobe-Programme, zu ihrem Vorteil auszunutzen. Die Verteidiger indessen müssen geschickter und gewandter sein und mit den neuen Angriffsmethoden Schritt halten, um den Schutz der Daten nicht aus den Augen zu verlieren. Der Bereich IT-Sicherheit entwickelt sich mit hoher Geschwindigkeit weiter. Wir haben bereits viel erreicht. Es wird interessant zu beobachten sein, welche Richtung wir weiter einschlagen.

Über den Autor:
Ernest N. Hayden, CISSP und CEH, ist in leitender Funktion im Bereich "Critical Infrastructure Protection and Cyber Security" in Verizons RISK-Team tätig. Bei seiner Arbeit mit Kunden bewertet er in globalem Rahmen die Cybersicherheits-Strategie und implementiert Empfehlungen für Sicherheitsrichtlinien sowie Bereitstellungspläne für die Sicherheit im Energie- und Versorgungssektor, im Bereich kritische Infrastruktur, bei industriellen Steuerungssystemen und intelligenten Stromnetzen. Hayden ist ein erfahrener Fachmann für Informationssicherheit und Führungskraft im Technologiebereich und seit über 13 Jahren globaler Vordenker auf den Gebieten Informationsschutz, Internetkriminalität/Cyberkrieg, betriebliches Kontinuitätsmanagement/Disaster Recovery, Führungskompetenz, Management und Forschung. Kommentare zu diesem Beitrag können Sie uns unter feedback@infosecuritymag.comsenden.

Artikel wurde zuletzt im Mai 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close