Tipps gegen den Datenklau

Verizons Untersuchungen im Rahmen des jüngsten "Data Breach Investigations Report" haben ergeben, dass Daten, die aus einer Datenverletzung resultieren, eine ganz andere Geschichte erzählen als die, die wir aus den verschiedenen Branchen hören. Es gibt keine Reihe von Best Practices, die auf jede Branche und organisatorische Größe angewendet werden können. Nicht alle Passwörter sind leicht zu erraten, und wir können keine pauschalen Aussagen darüber treffen, dass Webapplikationen die beliebtesten Angriffsvektoren sind. Jeder Versuch, einen "One size fits all"-Ansatz durchzusetzen, kann dazu führen, dass einige Organisationen vor gezielten Angriffen nicht ausreichend geschützt sind, während andere möglicherweise zu viel für die Verteidigung von einfachen opportunistischen Angriffen einbringen.

So sollten sich zum Beispiel viele kleine Einzelhändler und Restaurants auf die Grundlagen konzentrieren, da Angreifer schlecht konfigurierte Remote-Administration-Services nutzen, um Zahlungsdaten von Point-of-Sale-Systemen zu ziehen. Aber die Basics reichen für die Finanz- und Versicherungsbranche nicht aus, deren Geldautomaten Angriffsziel von Skimming-Attacken sind. Und wenn wir diesen physikalischen Angriffspunkt abziehen, sehen wir einen viel höheren Anteil der Angriffe auf seine Webapplikationen als in allen anderen Segmenten. Wenn wir uns auf Fertigungs-, Maschinenbau-, Beratungs- und IT-Service-Unternehmen konzentrieren, lässt sich eine ganz andere Reihe von Angriffen beobachten, die menschliche Schwächen durch gezielte soziale Angriffe ausnutzen, um multifunktionale Malware auf interne Systeme zu bekommen.

Hier nun die wichtigsten Empfehlungen:

Finanzen und Versicherungen

• Finanzdienstleister haben es beim Schutz von Informationen besonders schwer. Der Status ihrer Branche ist "high-value target". Das bedeutet, sie zieht wesentlich mehr zielgerichtete und hartnäckige kriminelle Aufmerksamkeit auf sich.

• Insgesamt geht es bei den Attacken gegen diese Branche vor allem um Geld, entweder direkt (durch Zugriff auf interne Konten und Anwendungen) oder indirekt (durch Downstream Fraud). Zahlreiche Angriffe sind gegen Geldautomaten, Webanwendungen oder Angestellte gerichtet.

• Zu den Bereichen, in denen die Sicherheit Optimierungspotenzial aufweist, zählen Geldautomaten, Überwachung von Zugangsdaten, Entwicklung sicherer Anwendungen sowie Schulung und Sensibilisierung von Mitarbeitern.

Healthcare

• Die meisten Datenverletzungen im Gesundheitssektor betreffen kleine bis mittelständische Unternehmen (1 bis 100 Mitarbeiter), weiter Einrichtungen zur ambulanten Behandlung wie medizinische und zahnärztliche Praxen; sie machen die Mehrheit der im Zuge des Verizon-Reports untersuchten betroffenen Einrichtungen aus.

• Die Angriffe sind fast immer das Werk finanziell motivierter, krimineller Gruppierungen. Diese nehmen sich für gewöhnlich kleinere, mit geringem Risiko verbundene Ziele vor, um für ihre diversen Betrugstechniken an persönliche und an Zahlungskartendaten zu kommen.

• In den meisten Fällen sind Hacking und Malware die bevorzugte Methode; der bisherige Schwerpunkt liegt auf POS-Systemen (Point of Sale). Allerdings muss die Gesundheitsbranche auch medizinische Geräte und elektronische Krankenakten schützen.

• Die Mehrzahl der Verletzungen lässt sich ohne großen Aufwand mit relativ simplen Maßnahmen verhindern, darunter die Änderung der Verwaltungspasswörter an allen POS-Systemen und die Errichtung einer Firewall. Außerdem sollten POS-Systeme nicht für Ausflüge ins Web genutzt werden, und man sollte sich vergewissern, dass die POS-Systeme den PCI DSS (Payment Card Industry Data Security Standard) erfüllen.

Einzelhandel

• Der Einzelhandel wird von mannigfaltigen Datenverletzungen geplagt, begangen meist von finanziell motivierten Kriminellen. Sie verschaffen sich Zugang über POS-Systeme, die für das Tagesgeschäft genutzt werden. Über Remote-Access-Services Dritter nutzen sie schwache, leicht zu erratende oder Standard-Zugangsdaten aus.

• Am anfälligsten sind Franchises sowie sonstige kleine und mittelständische Betriebe, denen Ressourcen und die Expertise fehlen, die eigene Sicherheit zu organisieren. Folglich verlassen sie sich auf Drittanbieter, die jedoch häufig nicht in der Lage sind, für adäquaten Schutz zu sorgen. Oder sie bedienen sich sogenannter Out-of-the-Box-Lösungen, ohne sich hinreichend zu vergewissern, dass die Lösung das jeweilige Sicherheitsanforderungsprofil abdeckt.

• In vielen Fällen sind Mitarbeiter - wissentlich oder unwissentlich - an den Datenverletzungen beteiligt. Es ist durchaus nicht ungewöhnlich, dass ein Mitarbeiter von einem Unternehmens-Desktop aus einen gefährlichen E-Mail-Anhang öffnet oder fragwürdige Websites besucht, auf diesem Weg das System mit Malware infiziert und es Angreifern ermöglicht, Zugriff auf weitere Geräte innerhalb des Netzwerks zu erlangen.

Hotel- und Gaststättengewerbe

• Diese Branche ist besonders anfällig für Datenverletzungen; in den vergangenen zwei Jahren kam es hier zu mehr Vorfällen als in irgendeiner anderen Branche.

• Die POS-Systeme, die zur Abwicklung von Zahlungsvorgängen benötigt werden, haben sich für das organisierte Verbrechen als leichte Beute erwiesen.

• Mehr als in jeder anderen Branche muss hier mehr Wert auf Vorbeugung gelegt werden.

Diebstahl von geistigem Eigentum (GE)

• Ganz allgemein ist es eine überaus schwierige und spezielle Aufgabe, GE-Diebstahl aufzudecken und zu identifizieren. Viele solcher Verletzungen bleiben unentdeckt, noch lange nachdem der Schaden entstanden ist, und häufig dauert es eine ganze Weile, den Schaden einzudämmen. Zu GE-Angriffen gehört häufig die vorherige geheime Absprache zwischen Insidern und Outsidern. Ganz normale Mitarbeiter machten den größten Prozentsatz (zwei Drittel) der Insider aus. Outsider handelten häufig direkt und in böswilliger Absicht, oft bedrängten sie Insider oder halfen ihnen.

• Die meisten Diebstähle werden von entschlossenen Widersachern vorgenommen. Sie nutzen GE als Abkürzung, um auf irgendeine Weise strategische, finanzielle, technologische oder ähnliche Vorteile zu erlangen. Die Angreifer experimentieren im Normalfall mit ihren Methoden, bis sie eine erfolgreiche Kombination gefunden haben. Viele solcher Kombinationen bestehen aus verschiedenen Phasen.

• Zur Verhinderung von GE-Attacken gibt es nicht "die eine" Lösung. Eine auf dem gesunden Menschenverstand und konkreten Anhaltspunkten basierende Herangehensweise ist die beste Verteidigung. (sh)