Risikobewertung bei Datenpannen: Denn nicht alle Pannen sind gleich.

Ein System, das Datenpannen bewertet und vor allem das Risiko richtig einschätzt ist längst überfällig. Nur so können zukünftig hilfreiche Schlüsse gezogen werden. CSO Kolumnist Roger A. Grimes hat sich dazu einige Gedanken gemacht. [...]

Komprimierte Daten durch einen menschlichen Fehler oder einen Hacker sind immer schlecht. Doch was, wenn wir mit einer Risikobewertung tatsächlich feststellen können, wie schlimm es unsere Daten wirklich erwischt hat? (c) Pixabay
Komprimierte Daten durch einen menschlichen Fehler oder einen Hacker sind immer schlecht. Doch was, wenn wir mit einer Risikobewertung tatsächlich feststellen können, wie schlimm es unsere Daten wirklich erwischt hat? (c) Pixabay

Als CSO Kolumnist Roger A. Grimes vor kurzem alle aufgezeichneten Datenpannen von Privacy Rights Clearinghouse, den öffentlich umfangreichsten Aufzeichnungen von Datenpannen in den USA der letzten zwei Jahrzehnte, herunterlud fand er 8.600 aufgezeichnete Datenverletzungen. Auch wenn kleine Fehler zu finden oder Informationen fehlten ist dies der beste öffentliche, non-profit Service der momentan zu finden ist.

Hunderttausende Daten aus den Aufzeichnungen von Privacy Rights Clearninghouse wurden seit der Gründung 1992 in Berichten und Nachrichten benutzt. Und auch Grimes selbst griff schon etliche Male auf Informationen der Seite in seinen Kolumnen zurück.

Allerdings fehlt laut Grimes hier eine wichtige Komponente, die Stakeholder das Risiko durch eine Datenpanne aufzeigen könnte: Eine Skala zur Bewertung des Risikos. Skalen oder Ratings sind keine Seltenheit. Vor allem im Bereich für Software Schwachstellen gibt es bereits Modelle. Auch ein allgemein akzeptiertes System, das Common Vulnerability Scoring System (CVSS), wird bereits vielfach benutzt. Dieses open-source System ist leicht verständlich und, auch wenn es einige Schwachstellen aufweist, gibt einem eine gute Möglichkeit das persönliche Risiko zu evaluieren.

Risikoanalyse für Daten

Wie bereits in Grimes letztem Buch „A Data-Driven Computer Security Defense“ erwähnt, gibt es einen großen Unterschied zwischen den Gefahren vor denen sie sich laut Anderen fürchten sollten und vor Gefahren vor denen sie sich wirklich fürchten sollten. Wenn Sie diese Unterschiede kennen, sind sie in Sachen Computersicherheit vielen einen Schritt voraus.

Hier ein Beispiel: 25 – 33 % aller Software Schwachstellen werden als hohes Risiko klassifiziert. Das inkludiert alle 5.000 bis 7.000 Schwachpunkte die wir in einem durchschnittlichen Jahr erleben, Jahr für Jahr. Die meisten sind einfach zu erkennen (diese nennt in Expertenkreisen „niedere Komplexität“). Die, die sich also um Ihre Computersicherheit sorgen, müssen sich nur um etwa 1250 separaten Schwachstellen im Jahr kümmern.

Weniger als 1 % dieser Schwachstellen werden von Hackern ausgenutzt. Noch betreffen Sie überhaupt direkt, da sie entweder die betroffene Software gar nicht oder bereits den passenden Schutz installiert haben. In Wahrheit wird nur eine Hand voll an ausnutzbaren Schwachstellen gegen Firmen pro Jahr verwendet. Wenn Sie eine Risikoanalyse über ihre Firmendaten laufen lassen werden Sie herausfinden, dass sich Ihre Sorge um die tausend unterschiedlichen Schwachstellen nicht auszahlt. Stattdesen sollten Sie sich auf die Dutzend Schwachstellen konzentrieren, die wirklich ein Problem darstellen. So können Sie die Zeit finden für diese Problemzonen eine passende Lösung zu finden.

Risikoanalysen für Daten sollten immer angewendet werden, wenn es Sorge um mögliche Hackerangriffe gibt. Leider gibt es keine Risikobewertung für das, wir wirklich schützen wollen: unsere Daten.
Die heutigen Risikobewertungen sind alle nur auf eines gerichtet: Das mögliche Risiko das eine Schwachstelle etwas negativem ausgesetzt wird. Es ist ein bisschen so, als würden wir sagen „Es ist passiert. Es war schlecht. Nächstes Mal versuchen wir es besser zu machen.“ Ohne, dass wir Stakeholdern, Besitzern, etc. wissen lassen wie negativ die Datenverletzung tatsächlich war.

Risikobewertung bei Datenpannen

Grimes stellte während dem Analysieren der Privacy Right Clearinghouse Daten fest, dass viele Daten als komprimiert angesehen wurden, einfach weil sie an die falsche Adresse oder Person verschickt oder in einem Büro durch einen Umzug zurückgelassen wurden. Aufzeichnungen, die aus Versehen im Müll landeten anstelle vom Schredder wurden als „verletzt“ angesehen. In einer Welt in der jährlich hundert Millionen Datensätze komprimiert werden, war es für Grimes verblüffend wie viele Szenarien kein bösartiges Handeln involvierten.

Wenn persönliche Finanzdokumente, zum Beispiel, aus Versehen in einer Mülltonne landen, aber am selben Tag ihr fehlen entdeckt und sie „gerettet“ würden, wäre die Möglichkeit einer bösartigen Nutzung deutlich geringer, als wenn die selben Dokumente von einem internationalen Hacker gestohlen würden. Selbst Aktionen von Hackern haben unterschiedliche Risikolevel.

Zum Beispiel entstanden viele Datenpannen durch die sogenannten Ransomware Attacken. Ransomware ist ein wichtiges Thema, trotzdem ist es in den meisten Fällen so, dass die Angreifer mehr an der Bezahlung als an den Daten selbst interessiert sind. Allerdings ist nie sicher, was jemand der eine schadhafte Software auf ihrem Computer installiert hat, die das gesamte System versperrt, vor hat. Immerhin ist es unmöglich vorherzusagen, wozu die Software noch im Stande ist. Die meisten Angreifer sind jedoch, so zeigt die Erfahrung, an ein paar schnellen Bitcoins interessiert und hegen kein Interesse daran Datensätze im Dark Web zu verhökern.

Es ist das gleiche, wenn Administratoren ein erleichtertes Durchatmen von sich geben wenn sie erkennen, dass der Computer durch Adware und nicht nur einen hinterhältigen Trojaner befallen ist. Beide bösartige Softwaren könnten durch die selbe Schwachstelle auf das Gerät gelangt sein, jedoch ist es eher unwahrscheinlich, dass die Adware wichtige Daten stiehlt, während der Trojaner dies sehr wohl tun könnte und würde.

Wenn jede Bekanntgabe einer Datenpanne die Hauptursache inkludieren würde, sollte diese bekannt sein, würde dies einiges erleichtern. Denn wer erfährt, dass zwar Daten gestohlen bzw. verlorenen gegangen, aber am gleichen Tag wieder gefunden wurden, würde nicht sofort alle Hebel in Bewegung setzen um ein Kredit Monitoring aufzusetzen. Hingegen für jemanden dessen Daten auf dem Online Schwarzmarkt verkauft werden, wäre dies genau ein Punkt an dem jeder seine Bank informieren würde.

Wie kommt man zur Risikobewertung?

Grimes ist nicht 100 Prozentig sicher, was alles inkludiert sein sollte um ein adäquates System zur Risikobewertung bei Datenpannen aufzusetzen, jedoch ist er der Meinung zumindest die folgenden Komponenten zu inkludieren:

  • Datentyp (PII, HII, etc.)
  • Art der Panne
  • Anzahl der betroffenen Datensätze
  • Wurden die Datensätze durch eine unautorisierte Drittpartei gestohlen/verletzt?
  • Wahrscheinlichkeit von bösartigen Aktivitäten mit den Daten
  • Falls bekannt, wie die Daten bösartig genutzt wurden
  • Wie lange war ein Zugriff auf die Daten möglich, bis der Verstoß bemerkt wurde?
  • Wie lange dauerte es bis die Datenverletzung gemeldet wurde?
  • Welche Sicherheitsvorkehrungen (Hashing, Verschlüsselung, etc.) wurden genutzt

Sicher gibt es noch einige weitere Punkte, die diese Liste hinzugefügt werden könnten. Sie kann so einfach oder kompliziert gestaltet werden, wie gewünscht. Die Frage, die damit beantwortet werden soll lautet: „Wie sehr sollte ich mir als Stakeholder über die Datenverletzung Sorgen machen? Ein wenig? Große? Wir wissen es nicht?“

Die Risiken potenzieller Ausbeuten werden seit langer Zeit berechnet. Ist es nicht an der Zeit ein System zu integrieren, welches das Risiko ermittelt, welches entsteht sobald die Datenverletzung eingetroffen ist?

 

*Roger A. Grimes schreibt für CSO.


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*