Security ist branchenabhängig

Tipps gegen den Datenklau

Standardisierte IT-Sicherheit ist zwar ein Wunschtraum vieler Experten, sinnvoll ist sie jedoch nicht wirklich. Denn jede Branche braucht ihre eigene Strategie.

Verizons Untersuchungen im Rahmen des jüngsten "Data Breach Investigations Report" haben ergeben, dass Daten, die aus einer Datenverletzung resultieren, eine ganz andere Geschichte erzählen als die, die wir aus den verschiedenen Branchen hören. Es gibt keine Reihe von Best Practices, die auf jede Branche und organisatorische Größe angewendet werden können. Nicht alle Passwörter sind leicht zu erraten, und wir können keine pauschalen Aussagen darüber treffen, dass Webapplikationen die beliebtesten Angriffsvektoren sind. Jeder Versuch, einen "One size fits all"-Ansatz durchzusetzen, kann dazu führen, dass einige Organisationen vor gezielten Angriffen nicht ausreichend geschützt sind, während andere möglicherweise zu viel für die Verteidigung von einfachen opportunistischen Angriffen einbringen.

So sollten sich zum Beispiel viele kleine Einzelhändler und Restaurants auf die Grundlagen konzentrieren, da Angreifer schlecht konfigurierte Remote-Administration-Services nutzen, um Zahlungsdaten von Point-of-Sale-Systemen zu ziehen. Aber die Basics reichen für die Finanz- und Versicherungsbranche nicht aus, deren Geldautomaten Angriffsziel von Skimming-Attacken sind. Und wenn wir diesen physikalischen Angriffspunkt abziehen, sehen wir einen viel höheren Anteil der Angriffe auf seine Webapplikationen als in allen anderen Segmenten. Wenn wir uns auf Fertigungs-, Maschinenbau-, Beratungs- und IT-Service-Unternehmen konzentrieren, lässt sich eine ganz andere Reihe von Angriffen beobachten, die menschliche Schwächen durch gezielte soziale Angriffe ausnutzen, um multifunktionale Malware auf interne Systeme zu bekommen.

Hier nun die wichtigsten Empfehlungen:

Finanzen und Versicherungen

  • Finanzdienstleister haben es beim Schutz von Informationen besonders schwer. Der Status ihrer Branche ist "high-value target". Das bedeutet, sie zieht wesentlich mehr zielgerichtete und hartnäckige kriminelle Aufmerksamkeit auf sich.

  • Insgesamt geht es bei den Attacken gegen diese Branche vor allem um Geld, entweder direkt (durch Zugriff auf interne Konten und Anwendungen) oder indirekt (durch Downstream Fraud). Zahlreiche Angriffe sind gegen Geldautomaten, Webanwendungen oder Angestellte gerichtet.

  • Zu den Bereichen, in denen die Sicherheit Optimierungspotenzial aufweist, zählen Geldautomaten, Überwachung von Zugangsdaten, Entwicklung sicherer Anwendungen sowie Schulung und Sensibilisierung von Mitarbeitern.

Healthcare

  • Die meisten Datenverletzungen im Gesundheitssektor betreffen kleine bis mittelständische Unternehmen (1 bis 100 Mitarbeiter), weiter Einrichtungen zur ambulanten Behandlung wie medizinische und zahnärztliche Praxen; sie machen die Mehrheit der im Zuge des Verizon-Reports untersuchten betroffenen Einrichtungen aus.

  • Die Angriffe sind fast immer das Werk finanziell motivierter, krimineller Gruppierungen. Diese nehmen sich für gewöhnlich kleinere, mit geringem Risiko verbundene Ziele vor, um für ihre diversen Betrugstechniken an persönliche und an Zahlungskartendaten zu kommen.

  • In den meisten Fällen sind Hacking und Malware die bevorzugte Methode; der bisherige Schwerpunkt liegt auf POS-Systemen (Point of Sale). Allerdings muss die Gesundheitsbranche auch medizinische Geräte und elektronische Krankenakten schützen.

  • Die Mehrzahl der Verletzungen lässt sich ohne großen Aufwand mit relativ simplen Maßnahmen verhindern, darunter die Änderung der Verwaltungspasswörter an allen POS-Systemen und die Errichtung einer Firewall. Außerdem sollten POS-Systeme nicht für Ausflüge ins Web genutzt werden, und man sollte sich vergewissern, dass die POS-Systeme den PCI DSS (Payment Card Industry Data Security Standard) erfüllen.