In Zeiten vielfältiger Analysemöglichkeiten durch Big Data sind Daten zur Währung des 21. Jahrhunderts geworden. Das führt jedoch immer häufiger zu Missbrauch. So werden gestohlene Daten auf Schwarzmärkten gehandelt und teilweise sogar Hacker beauftragt, Informationen zu beschaffen. Wie aber können Unternehmen ihre kritischen Daten effizient schützen? Mit der Absicherung des Netzwerk-Perimeters ist es nicht getan. Dieser Artikel zeigt, wie sich diese mit dem Konzept des "Critical Data Access" in Echtzeit überwachen lassen.
Was sind meine kritischen Daten?
Der erste Schritt ist häufig der wichtigste, so auch bei Critical Data Access. Schließlich legt er die Basis für alle weiteren Prozesse. So müssen sich Unternehmen zu Beginn fragen, welches ihre kritischen Daten sind. Je nach Branche und Geschäftsmodell kann das sehr unterschiedlich sein. So sind es bei Händlern in der Regel Kundenprofile und Kreditkarteninformationen, bei Banken Kunden- und Kontobewegungsdaten oder bei herstellenden Unternehmen Produktions- und Konstruktionsdaten.
Wichtig hierbei ist, dass sowohl die Mitarbeiter aus den Fachabteilungen als auch IT-Abteilung und Sicherheitsverantwortliche diese Daten gemeinsam klassifizieren. Denn oft besitzen verschiedene Abteilungen innerhalb eines Unternehmens unterschiedliche kritische Daten. Auch Faktoren, die einen Einfluss darauf haben, welche Informationen kritisch sind, sollten beachtet werden. Dazu gehören etwa Daten zur Einhaltung von Compliance- oder gesetzlichen Vorgaben, für Audits, Revisionen oder die Finanzdienstleistungsaufsicht sowie Informationen mit Relevanz für den Betriebsrat oder die aktuelle Bedrohungslage.
Wo liegen meine kritischen Daten?
Der nächste logische Schritt ist die Ermittlung der Orte, an denen diese kritischen Daten gespeichert sind. Schließlich ist dies eine Grundvoraussetzung, um sie schützen können. Mögliche Speicherorte sind zum Beispiel Rechenzentren, Datenbanken, Mail-Server, Datei-Server und -Ordner, Sharepoint-Server, Cloud-Dienste oder mobile Geräte. Weil viele Daten zentral im Datacenter liegen, werden diese für Angreifer immer attraktiver.
Über Datendiebstahl berichten die Medien mittlerweile fast täglich: Bekannt geworden sind unter anderem das Eindringen von Hackern in das Firmennetz des Filmstudios Sony Pictures, bei dem unveröffentlichte Filme, persönliche Details von Filmschaffenden und E-Mails entwendet wurden, oder der Angriff auf das Netzwerk des Deutschen Bundestages.
Wie schütze ich meine kritischen Daten?
Die entscheidende und komplexeste Frage lautet: Wie lassen sich die kritischen Daten an den entsprechenden Orten möglichst zuverlässig und effizient schützen? Hier sollte jedem Unternehmen klar sein, dass es keinen hundertprozentigen Schutz gibt und sich jedes Sicherheitssystem umgehen lässt. Daher lautet das Ziel, es den Hackern möglichst schwer zu machen - einerseits um sie durch den nötigen hohen Aufwand abzuschrecken, andererseits um möglichst viel Zeit zwischen dem ersten Versuch und einem erfolgreichen Angriff zu erhalten. Damit erhöht sich die Wahrscheinlichkeit, die Attacke rechtzeitig entdecken und aktiv blockieren zu können.
Für einen effizienten Schutz sollten die kritischen Daten selbst so eng wie möglich überwacht werden. Dabei ist zu beobachten, was rund um die Datentresore geschieht, wer sich Zugang dazu verschafft und welche Aktionen ausgeführt werden. Dazu sind insbesondere Datenbank, File Server und Cloud-Anwendungen durch Activity-Monitoring-Tools, häufig kombiniert mit Security Information & Event Management (SIEM), zu überwachen. Damit können Unternehmen erfassen, was mit den kritischen Daten aktuell geschieht. Dann lassen sich Abweichungen vom normalen Verhalten erkennen und diese Anomalien automatisch entweder direkt an den zuständigen Administrator, den Chief Security Officer (CSO) oder an eine Sicherheitslösung wie ein SIEM oder SOC (Service Operation Center) senden. Nur durch dieses Erkennen und "Melden" kann der entsprechende Datenabfluss blockiert werden.
Wie reagiere ich auf einen Angriff?
Das Erkennen und Blockieren eines Angriffs ist zwar der entscheidende Schritt, doch damit ist das Thema noch nicht beendet. Schließlich sollte das Unternehmen schnell und effizient auf Angriffe reagieren können. Daher benötigen Unternehmen eine klare Prozessbeschreibung, was in welchem Fall geschehen soll.
Werden Angriffe automatisch blockiert oder Alarmmeldungen an den Administrator oder direkt an den CSO weitergeleitet, der über das weitere Vorgehen entscheidet? Wer wird über den Vorfall wie informiert? Soll das Activity-Monitoring-Tool selbst Alarmmeldungen an die Zuständigen verschicken oder an ein umfassendes Sicherheitssystem wie SIEM oder SOC? Welche Maßnahmen werden in welchem Fall durchgeführt: Firewalling, das Kappen der Netzwerkverbindung, die Unterbrechung des Datenstroms an die Anwendung oder das Sperren des Nutzer-Accounts, falls darüber etwa kritische Daten auf öffentlichen Cloud-Speichern abgelegt werden?
Nur wenn diese vier Schritte sorgfältig und umfassend durchgeführt werden, sind Unternehmen gut gerüstet. Dabei sind Activity-Monitoring-Tools heute unverzichtbar, da herkömmliche Lösungen keine Aktivitäten prüfen können. Gute Activity-Monitoring-Tools lassen sich zwar auch isoliert betreiben, doch eine Integration in ein SIEM oder SOC bietet wesentlich mehr Schutzmöglichkeiten und ist damit in nahezu jedem Fall ratsam. (hal)