3. Oktober 2012 idg/Oliver Weiss

Datendiebstahl

Wenn Daten verloren gehen kommt es oft zu Panikreaktionen. [...]

Datenverluste sind ein Tabuthema. Wer Kunden- oder Geschäftsinformationen verliert, möchte darüber nicht reden, zumindest nicht öffentlich. Wird doch einmal etwas bekannt, will niemand schuld sein. Vorbeugend lässt sich einiges gegen den Verlust von Daten unternehmen – die „Pille danach“ gibt es nicht, zumal oft Wochen oder Monate vergehen können, bis etwas bemerkt wird.

Im Ernstfall reagieren Security-Verantwortliche oft kopflos und wissen nicht mit der Situation umzugehen. „Wenn es brennt, löschen Sie ja auch im seltensten Fall selbst, sondern rufen lieber die Feuerwehr“, sagt Robert Haist, Penetrationstester beim Sicherheitsdienstleister SySS. Deshalb sei es wichtig, sich professionelle Hilfe zu holen oder idealerweise auf ein bereits vorher eingerichtetes internes Krisenteam samt Notfallplan zurückgreifen zu können. „Wir sind de facto nichts anderes als ein mietbares Notfallteam. 90 Prozent unserer Arbeit vor Ort besteht aus Informations-Management: Was sollte wie, wann und an wen kommuniziert werden“, erläutert der Experte.

Erst im zweiten Schritt gehe es um die konkreten IT-forensischen Analysen des Sicherheitsproblems. Doch wie bekommen Dienstleister wie SySS überhaupt mit, dass und wo etwas passiert ist? „Ohne ein langjähriges Vertrauensverhältnis haben wir keine Chance, etwas zu erfahren“, sagt Dirk Reimers, Sicherheitsberater bei Secunet Security Networks. Er verantwortet Penetrationstests und IT-Audits nach einem entdeckten Datenleck. Nur diejenigen Kunden, zu denen die Geschäftsbeziehung lange Jahre gewachsen sei, würden sich bei derartigen Vorfällen aktiv um Hilfe bemühen. Sofern sie denn überhaupt mitbekommen, dass sie ein Problem haben: „Es kommt selten vor, dass ein Vorfall unmittelbar entdeckt wird. Viele Unternehmen hatten noch nie einen Penetrationstest und stoßen deshalb nur zufällig auf ein Sicherheitsleck“, schildert Haist. Er macht zudem das fehlende Angebot für die vergleichsweise geringe Zahl von Hilfesuchenden verantwortlich. Die meisten Dienstleister versuchen, es bei den Firmen erst gar nicht so weit kommen zu lassen. Geschieht es dann doch, stehen die Unternehmen im Regen. „Es gibt kaum Anbieter, die sich auf Dienstleistungen nach einem entdeckten Datenleck spezialisiert haben“, so Haist.

Ganz gleich, wie viel Zeit inzwischen vergangen oder wie groß das mögliche Ausmaß eines Datenlecks auch ist: Das Ziel jedes Audits ist es, die Lücke zu schließen, mögliche neue Schwachstellen aufzuspüren und im besten Fall eine langfristig angelegte Security-Strategie für die Zukunft auszuarbeiten. Das ist kein leichtes Unterfangen: „Nur in fünf bis zehn Prozent der untersuchten Fälle hängt mit einem Incident nur eine einzige Schwachstelle zusammen – meist wird diese lediglich als Eintrittspunkt ins System genutzt, um weitere Datenbanken oder Systeme anzugreifen“, erzählt Haist. Er habe mit seinem Team mitunter zehn Monate in einem Unternehmen verbracht, um alle Systeme zu untersuchen, zu patchen und zukunftstauglich zu machen. Gerade in KMU sind die Infrastrukturen oft auf einem veralteten, unsicheren Stand.

INNENTÄTER
Bleibt die Frage: Wer greift die IT-Systeme an und möglicherweise sensible und vertrauliche Daten ab? „Nicht immer ist ein unbefugter Zugriff von außen verantwortlich“, erläutert Reimers. „Ein häufiges Szenario sei der Datenabfluss von innen. Sowohl vorsätzlich als auch unbeabsichtigt. „Das bekommen Unternehmen nur selten mit, da der entsprechende Mitarbeiter die Berechtigung besaß, bestimmte Daten auszulesen.“ Hier gehe es dann zumeist darum, später nachweisen zu können, dass auf bestimmte Daten zugegriffen wurde, sollten diese beispielsweise beim Wettbewerber landen. Ebendieser Nachweis gelingt in der Praxis aber oft nicht. Nur in größeren Unternehmen mit mehr als 500 Angestellten sei eine Log-Management- und Monitoring-Infrastruktur so weit gediehen, dass sich nachvollziehen lasse, wer wann auf welche Daten zugegriffen habe. „Ab und zu haben unsere Kunden noch einen alten Linux-Server, auf dem sich Logfiles der vergangenen fünf Jahre befinden“, erzählt Haist. Die Regel sei das jedoch nicht.

Das Wichtigste aus seiner Sicht ist ein Notfallteam, ein sogenanntes CERT (Computer Emergency Response Team) aus PR-Leuten, IT-Experten und Juristen, die im Fall der Fälle sofort wissen, wer wann worüber wie zu informieren ist und welche weiteren Experten eingeschaltet werden müssen. Und wenn es nur um die Aufstellung einer Telefonliste geht, die im entscheidenden Moment viel Zeit spart. „Manchmal suchen wir erst einen halben Tag lang nach den Telefonnummern von Ansprechpartnern, bevor wir mit der eigentlichen Arbeit beginnen können“, sagt Haist. Sein Fazit: „Leider sorgen immer noch viele Unternehmen erst vor, wenn sie bereits geschädigt wurden.“ So komplex das Thema Datenabfluss also erscheinen mag, die erste Hilfe nach dem GAU beginnt mit den kleinen Dingen. (idg/oli)


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*