Ein System, das Datenpannen bewertet und vor allem das Risiko richtig einschätzt ist längst überfällig. Nur so können zukünftig hilfreiche Schlüsse gezogen werden. CSO Kolumnist Roger A. Grimes hat sich dazu einige Gedanken gemacht. [...]
Als CSO Kolumnist Roger A. Grimes vor kurzem alle aufgezeichneten Datenpannen von Privacy Rights Clearinghouse, den öffentlich umfangreichsten Aufzeichnungen von Datenpannen in den USA der letzten zwei Jahrzehnte, herunterlud fand er 8.600 aufgezeichnete Datenverletzungen. Auch wenn kleine Fehler zu finden oder Informationen fehlten ist dies der beste öffentliche, non-profit Service der momentan zu finden ist.
Hunderttausende Daten aus den Aufzeichnungen von Privacy Rights Clearninghouse wurden seit der Gründung 1992 in Berichten und Nachrichten benutzt. Und auch Grimes selbst griff schon etliche Male auf Informationen der Seite in seinen Kolumnen zurück.
Allerdings fehlt laut Grimes hier eine wichtige Komponente, die Stakeholder das Risiko durch eine Datenpanne aufzeigen könnte: Eine Skala zur Bewertung des Risikos. Skalen oder Ratings sind keine Seltenheit. Vor allem im Bereich für Software Schwachstellen gibt es bereits Modelle. Auch ein allgemein akzeptiertes System, das Common Vulnerability Scoring System (CVSS), wird bereits vielfach benutzt. Dieses open-source System ist leicht verständlich und, auch wenn es einige Schwachstellen aufweist, gibt einem eine gute Möglichkeit das persönliche Risiko zu evaluieren.
Risikoanalyse für Daten
Wie bereits in Grimes letztem Buch „A Data-Driven Computer Security Defense“ erwähnt, gibt es einen großen Unterschied zwischen den Gefahren vor denen sie sich laut Anderen fürchten sollten und vor Gefahren vor denen sie sich wirklich fürchten sollten. Wenn Sie diese Unterschiede kennen, sind sie in Sachen Computersicherheit vielen einen Schritt voraus.
Hier ein Beispiel: 25 – 33 % aller Software Schwachstellen werden als hohes Risiko klassifiziert. Das inkludiert alle 5.000 bis 7.000 Schwachpunkte die wir in einem durchschnittlichen Jahr erleben, Jahr für Jahr. Die meisten sind einfach zu erkennen (diese nennt in Expertenkreisen „niedere Komplexität“). Die, die sich also um Ihre Computersicherheit sorgen, müssen sich nur um etwa 1250 separaten Schwachstellen im Jahr kümmern.
Weniger als 1 % dieser Schwachstellen werden von Hackern ausgenutzt. Noch betreffen Sie überhaupt direkt, da sie entweder die betroffene Software gar nicht oder bereits den passenden Schutz installiert haben. In Wahrheit wird nur eine Hand voll an ausnutzbaren Schwachstellen gegen Firmen pro Jahr verwendet. Wenn Sie eine Risikoanalyse über ihre Firmendaten laufen lassen werden Sie herausfinden, dass sich Ihre Sorge um die tausend unterschiedlichen Schwachstellen nicht auszahlt. Stattdesen sollten Sie sich auf die Dutzend Schwachstellen konzentrieren, die wirklich ein Problem darstellen. So können Sie die Zeit finden für diese Problemzonen eine passende Lösung zu finden.
Risikoanalysen für Daten sollten immer angewendet werden, wenn es Sorge um mögliche Hackerangriffe gibt. Leider gibt es keine Risikobewertung für das, wir wirklich schützen wollen: unsere Daten.
Die heutigen Risikobewertungen sind alle nur auf eines gerichtet: Das mögliche Risiko das eine Schwachstelle etwas negativem ausgesetzt wird. Es ist ein bisschen so, als würden wir sagen „Es ist passiert. Es war schlecht. Nächstes Mal versuchen wir es besser zu machen.“ Ohne, dass wir Stakeholdern, Besitzern, etc. wissen lassen wie negativ die Datenverletzung tatsächlich war.
Risikobewertung bei Datenpannen
Grimes stellte während dem Analysieren der Privacy Right Clearinghouse Daten fest, dass viele Daten als komprimiert angesehen wurden, einfach weil sie an die falsche Adresse oder Person verschickt oder in einem Büro durch einen Umzug zurückgelassen wurden. Aufzeichnungen, die aus Versehen im Müll landeten anstelle vom Schredder wurden als „verletzt“ angesehen. In einer Welt in der jährlich hundert Millionen Datensätze komprimiert werden, war es für Grimes verblüffend wie viele Szenarien kein bösartiges Handeln involvierten.
Wenn persönliche Finanzdokumente, zum Beispiel, aus Versehen in einer Mülltonne landen, aber am selben Tag ihr fehlen entdeckt und sie „gerettet“ würden, wäre die Möglichkeit einer bösartigen Nutzung deutlich geringer, als wenn die selben Dokumente von einem internationalen Hacker gestohlen würden. Selbst Aktionen von Hackern haben unterschiedliche Risikolevel.
Zum Beispiel entstanden viele Datenpannen durch die sogenannten Ransomware Attacken. Ransomware ist ein wichtiges Thema, trotzdem ist es in den meisten Fällen so, dass die Angreifer mehr an der Bezahlung als an den Daten selbst interessiert sind. Allerdings ist nie sicher, was jemand der eine schadhafte Software auf ihrem Computer installiert hat, die das gesamte System versperrt, vor hat. Immerhin ist es unmöglich vorherzusagen, wozu die Software noch im Stande ist. Die meisten Angreifer sind jedoch, so zeigt die Erfahrung, an ein paar schnellen Bitcoins interessiert und hegen kein Interesse daran Datensätze im Dark Web zu verhökern.
Es ist das gleiche, wenn Administratoren ein erleichtertes Durchatmen von sich geben wenn sie erkennen, dass der Computer durch Adware und nicht nur einen hinterhältigen Trojaner befallen ist. Beide bösartige Softwaren könnten durch die selbe Schwachstelle auf das Gerät gelangt sein, jedoch ist es eher unwahrscheinlich, dass die Adware wichtige Daten stiehlt, während der Trojaner dies sehr wohl tun könnte und würde.
Wenn jede Bekanntgabe einer Datenpanne die Hauptursache inkludieren würde, sollte diese bekannt sein, würde dies einiges erleichtern. Denn wer erfährt, dass zwar Daten gestohlen bzw. verlorenen gegangen, aber am gleichen Tag wieder gefunden wurden, würde nicht sofort alle Hebel in Bewegung setzen um ein Kredit Monitoring aufzusetzen. Hingegen für jemanden dessen Daten auf dem Online Schwarzmarkt verkauft werden, wäre dies genau ein Punkt an dem jeder seine Bank informieren würde.
Wie kommt man zur Risikobewertung?
Grimes ist nicht 100 Prozentig sicher, was alles inkludiert sein sollte um ein adäquates System zur Risikobewertung bei Datenpannen aufzusetzen, jedoch ist er der Meinung zumindest die folgenden Komponenten zu inkludieren:
- Datentyp (PII, HII, etc.)
- Art der Panne
- Anzahl der betroffenen Datensätze
- Wurden die Datensätze durch eine unautorisierte Drittpartei gestohlen/verletzt?
- Wahrscheinlichkeit von bösartigen Aktivitäten mit den Daten
- Falls bekannt, wie die Daten bösartig genutzt wurden
- Wie lange war ein Zugriff auf die Daten möglich, bis der Verstoß bemerkt wurde?
- Wie lange dauerte es bis die Datenverletzung gemeldet wurde?
- Welche Sicherheitsvorkehrungen (Hashing, Verschlüsselung, etc.) wurden genutzt
Sicher gibt es noch einige weitere Punkte, die diese Liste hinzugefügt werden könnten. Sie kann so einfach oder kompliziert gestaltet werden, wie gewünscht. Die Frage, die damit beantwortet werden soll lautet: „Wie sehr sollte ich mir als Stakeholder über die Datenverletzung Sorgen machen? Ein wenig? Große? Wir wissen es nicht?“
Die Risiken potenzieller Ausbeuten werden seit langer Zeit berechnet. Ist es nicht an der Zeit ein System zu integrieren, welches das Risiko ermittelt, welches entsteht sobald die Datenverletzung eingetroffen ist?
*Roger A. Grimes schreibt für CSO.
Be the first to comment