Datendiebstahl

Wenn Daten verloren gehen kommt es oft zu Panikreaktionen. [...]

Datenverluste sind ein Tabuthema. Wer Kunden- oder Geschäftsinformationen verliert, möchte darüber nicht reden, zumindest nicht öffentlich. Wird doch einmal etwas bekannt, will niemand schuld sein. Vorbeugend lässt sich einiges gegen den Verlust von Daten unternehmen – die „Pille danach“ gibt es nicht, zumal oft Wochen oder Monate vergehen können, bis etwas bemerkt wird.

Im Ernstfall reagieren Security-Verantwortliche oft kopflos und wissen nicht mit der Situation umzugehen. „Wenn es brennt, löschen Sie ja auch im seltensten Fall selbst, sondern rufen lieber die Feuerwehr“, sagt Robert Haist, Penetrationstester beim Sicherheitsdienstleister SySS. Deshalb sei es wichtig, sich professionelle Hilfe zu holen oder idealerweise auf ein bereits vorher eingerichtetes internes Krisenteam samt Notfallplan zurückgreifen zu können. „Wir sind de facto nichts anderes als ein mietbares Notfallteam. 90 Prozent unserer Arbeit vor Ort besteht aus Informations-Management: Was sollte wie, wann und an wen kommuniziert werden“, erläutert der Experte.

Erst im zweiten Schritt gehe es um die konkreten IT-forensischen Analysen des Sicherheitsproblems. Doch wie bekommen Dienstleister wie SySS überhaupt mit, dass und wo etwas passiert ist? „Ohne ein langjähriges Vertrauensverhältnis haben wir keine Chance, etwas zu erfahren“, sagt Dirk Reimers, Sicherheitsberater bei Secunet Security Networks. Er verantwortet Penetrationstests und IT-Audits nach einem entdeckten Datenleck. Nur diejenigen Kunden, zu denen die Geschäftsbeziehung lange Jahre gewachsen sei, würden sich bei derartigen Vorfällen aktiv um Hilfe bemühen. Sofern sie denn überhaupt mitbekommen, dass sie ein Problem haben: „Es kommt selten vor, dass ein Vorfall unmittelbar entdeckt wird. Viele Unternehmen hatten noch nie einen Penetrationstest und stoßen deshalb nur zufällig auf ein Sicherheitsleck“, schildert Haist. Er macht zudem das fehlende Angebot für die vergleichsweise geringe Zahl von Hilfesuchenden verantwortlich. Die meisten Dienstleister versuchen, es bei den Firmen erst gar nicht so weit kommen zu lassen. Geschieht es dann doch, stehen die Unternehmen im Regen. „Es gibt kaum Anbieter, die sich auf Dienstleistungen nach einem entdeckten Datenleck spezialisiert haben“, so Haist.

Ganz gleich, wie viel Zeit inzwischen vergangen oder wie groß das mögliche Ausmaß eines Datenlecks auch ist: Das Ziel jedes Audits ist es, die Lücke zu schließen, mögliche neue Schwachstellen aufzuspüren und im besten Fall eine langfristig angelegte Security-Strategie für die Zukunft auszuarbeiten. Das ist kein leichtes Unterfangen: „Nur in fünf bis zehn Prozent der untersuchten Fälle hängt mit einem Incident nur eine einzige Schwachstelle zusammen – meist wird diese lediglich als Eintrittspunkt ins System genutzt, um weitere Datenbanken oder Systeme anzugreifen“, erzählt Haist. Er habe mit seinem Team mitunter zehn Monate in einem Unternehmen verbracht, um alle Systeme zu untersuchen, zu patchen und zukunftstauglich zu machen. Gerade in KMU sind die Infrastrukturen oft auf einem veralteten, unsicheren Stand.

INNENTÄTER
Bleibt die Frage: Wer greift die IT-Systeme an und möglicherweise sensible und vertrauliche Daten ab? „Nicht immer ist ein unbefugter Zugriff von außen verantwortlich“, erläutert Reimers. „Ein häufiges Szenario sei der Datenabfluss von innen. Sowohl vorsätzlich als auch unbeabsichtigt. „Das bekommen Unternehmen nur selten mit, da der entsprechende Mitarbeiter die Berechtigung besaß, bestimmte Daten auszulesen.“ Hier gehe es dann zumeist darum, später nachweisen zu können, dass auf bestimmte Daten zugegriffen wurde, sollten diese beispielsweise beim Wettbewerber landen. Ebendieser Nachweis gelingt in der Praxis aber oft nicht. Nur in größeren Unternehmen mit mehr als 500 Angestellten sei eine Log-Management- und Monitoring-Infrastruktur so weit gediehen, dass sich nachvollziehen lasse, wer wann auf welche Daten zugegriffen habe. „Ab und zu haben unsere Kunden noch einen alten Linux-Server, auf dem sich Logfiles der vergangenen fünf Jahre befinden“, erzählt Haist. Die Regel sei das jedoch nicht.

Das Wichtigste aus seiner Sicht ist ein Notfallteam, ein sogenanntes CERT (Computer Emergency Response Team) aus PR-Leuten, IT-Experten und Juristen, die im Fall der Fälle sofort wissen, wer wann worüber wie zu informieren ist und welche weiteren Experten eingeschaltet werden müssen. Und wenn es nur um die Aufstellung einer Telefonliste geht, die im entscheidenden Moment viel Zeit spart. „Manchmal suchen wir erst einen halben Tag lang nach den Telefonnummern von Ansprechpartnern, bevor wir mit der eigentlichen Arbeit beginnen können“, sagt Haist. Sein Fazit: „Leider sorgen immer noch viele Unternehmen erst vor, wenn sie bereits geschädigt wurden.“ So komplex das Thema Datenabfluss also erscheinen mag, die erste Hilfe nach dem GAU beginnt mit den kleinen Dingen. (idg/oli)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*