Daten sind das Ziel der meisten Cyber-Angriffe. Einem besonders hohen Risiko ausgesetzt sind dabei unstrukturierte Daten, also solche, die auf den File- und E-Mail-Servern eines Unternehmens gespeichert sind. Dieses Risiko steigt kontinuierlich: Zum einen wachsen die Zahl und das Volumen unstrukturierter Daten rasch an, zum anderen nehmen Angriffe wie Ransomware oder Datendiebstähle deutlich zu. Viele Unternehmen wissen dabei nicht einmal, wo all ihre sensiblen Daten gespeichert sind. Durch die DSGVO wird es wichtiger denn je, seine Daten zu kennen.

Jährlich steigt das Volumen unstrukturierter Daten laut den Analysten von IDG um 62 Prozent, und schon 2022 sollen 93 Prozent der Dateien als unstrukturierte Daten vorliegen. Die reine Zahl ist aber nicht entscheidend: Unstrukturierte Daten enthalten die wertvollsten und somit gefährdetsten Vermögenswerte eines Unternehmens: von Strategie- und Produktplänen über vertrauliche Kunden-, Patienten- und Mitarbeiterdaten bis hin zu geistigem Eigentum. Und genau diese Daten liegen eben nicht oder nicht ausschließlich in Datenbanksystemen, sondern in erster Linie – und oftmals chaotisch – verteilt auf File- oder E-Mail-Servern. Für die DSGVO (Datenschutz-Grundverordnung) sind dabei zwar „nur“ personenbezogene Daten relevant, aber auch diese finden sich abseits von Datenbanken in den Systemen wieder, etwa die E-Mail eines Kunden oder die Bilddatei eines gescannten Dokuments.

Was sind nun laut DSGVO personenbezogene Informationen? Die neue Verordnung definiert sie in ihrem Artikel 4 als sämtliche Informationen, die etwas über eine Person aussagen, also beispielsweise Name, Adresse, Telefon- oder Kontonummer. Dabei reicht es auch schon aus, zur jeweiligen Person mit vertretbarem Aufwand ein Bezug herstellen zu können, etwa mittels IP-Adressen oder im persönlichen Umfeld wie der Wohnung generierter Daten. Dabei gibt es keine mehr oder weniger schützenswerten Daten. Oder wie es das Bundesverfassungsgericht in diesem Zusammenhang formuliert hat: Es gibt keine „belanglosen Daten“. Demnach ist die Blutgruppe einer Person genauso sensibel wie der Lieblingsautor.

Mit geeigneten Lösungen lassen sich auffällige Datenzugriffe anschaulich darstellen. Bild: Varonis

Oft wird übersehen, dass die DSGVO nicht nur für private Nutzer gilt, also für Kunden oder Konsumenten, sondern ebenso im gewerblichen Umfeld. Hier rücken dann Themen wie Logins etc. ins Blickfeld. Voraussetzung ist auch hier, dass man diese Tätigkeiten technisch einer bestimmten Person zuordnen kann.

Eingebauter Datenschutz

Die DSGVO verfolgt einen „Privacy by Design“-Ansatz. Der Datenschutz ist bereits bei der Entwicklung oder Gestaltung eines Angebots zu berücksichtigen und zu integrieren. Dies soll Datenschutzrisiken minimieren und Datensicherheit gewährleisten. „Minimieren“ ist hier das Schlüsselwort: Das Speichern von Verbraucherdaten, der Personenkreis, der darauf zugreifen kann, und die Aufbewahrungsdauer – all dies gilt es zu minimieren. Der Grund liegt auf der Hand: Je weniger Daten entwendbar sind, desto geringer ist das Risiko und desto sicherer ist das System. Unternehmen stehen deshalb vor der Frage, ob sie tatsächlich alle bislang über eine Person erhobenen Daten benötigen.

Der erste Schritt in Richtung Datensicherheit und DSGVO-Konformität ist dabei, die Umgebung zu analysieren, Risiken zu bewerten und zu priorisieren sowie die sensiblen Daten zu identifizieren. So entsteht ein Überblick über die eigenen Daten und die Datenbehandlung. Dies wiederum bildet die Grundlage, um den Datenbestand zu minimieren und schließlich effektiv zu schützen. Gleichzeitig kann man so vor allem auch die Unternehmensprozesse unter die Lupe nehmen.

Abgesehen von Ransomware versuchen Angreifer in aller Regel, sich möglichst unerkannt im System zu bewegen. Hier stellen zum Beispiel lange nicht genutzte Dateien ein interessantes Ziel dar, zumal Unternehmen davon jede Menge haben: So zeigte der Datenrisiko-Report 2017, dass mehr als die Hälfte der gespeicherten Daten in diese Kategorie fallen. Im Hinblick auf die DSGVO sind diese Daten je nach Richtlinie zu archivieren oder zu löschen.

Unter dem Radar

Eine noch größere Gefahr stellen veraltete, nicht mehr benötigte, aber dennoch nicht deaktivierte Nutzerkonten dar, sogenannte Geisterkonten („Ghost Users“). Erschreckenderweise wird jedes vierte Nutzerkonto nicht mehr genutzt. Der Hauptgrund ist eine oftmals mangelnde Kommunikation zwischen Fachabteilungen und IT. Die IT-Abteilung kann zwar Änderungen implementieren, ist dabei aber auf Informationen anderer Stellen wie etwa der Personalabteilung angewiesen, um sicherzustellen, dass Konten deaktiviert werden.

Genau an dieser Stelle hakt es jedoch häufig. Und von sich aus in Aktion zu treten, etwa durch Active-Directory-Skripts, ist für die IT-Abteilungen oft keine Option: Zu groß erscheint das Risiko, Störungen im Betrieb zu verursachen, etwa durch das Löschen des scheinbar inaktiven Kontos eines Mitarbeiters, der nach längerer Krankheit wieder ins Büro zurückkehrt.

Hackerfreundliche Geisterkonten

Diese Geisterkonten sind für Hacker ideal, denn ihre Nutzung fällt in aller Regel nicht weiter auf. Zum einen gibt es keinen aktiven Nutzer, der sich über vermeintlich von ihm selbst durchgeführte Aktionen wundern würde, zum anderen sind es legitime Konten mit Berechtigungen. Für Kriminelle sind sie perfekt, um sich in aller Ruhe und ohne Aufmerksamkeit zu erzeugen in den anvisierten Unternehmen umzuschauen und diese von innen heraus kennenzulernen. Je nach Zugriffsrechten können sie dabei auch unauffällig Daten entwenden.

Ein KPI-Dashboard fasst die wichtigsten Fakten zum Datenbestand zusammen und weist auf nicht genutzten Altbestand („Stale Data“) hin. Bild: Varonis

Cyberkriminelle richten ihr Augenmerk hier in erster Linie auf Mitarbeiter, die das Unternehmen kürzlich verlassen haben. Schon mit mittelmäßigen Social-Engineering-Fähigkeiten sind diese leicht zu identifizieren. Alles, was es dazu braucht, ist etwas Zeit für die Recherche. Und dieser geringe Aufwand lohnt sich: Format und Struktur von Nutzerkonten lassen sich oft erschließen, und unsichere Passwörter sind nach wie vor leider häufig die Regel. Gegebenenfalls finden sich auch Business-Credentials zu einem gewissen Preis im Darknet.

Grundsätzlich gilt: Je höher die Position des ehemaligen Nutzers, desto lohnender ist es, da dieser in aller Regel legitimen Zugriff auf die „interessanten“ Dateien hat, etwa Produktionspläne, Finanzdaten etc. Allerdings gibt es auch zahlreiche Unternehmen, bei denen selbst „ganz normale“ Angestellte Zugriff auf äußerst sensible Bereiche haben. So zeigte der Datenrisiko-Report 2017, dass durchschnittlich 20 Prozent der Ordner – und damit oft personenbezogene Daten, Kreditkarten- oder medizinische Informationen – für sämtliche Mitarbeiter zugänglich sind.

Zugriffsrechten ein Gesicht geben

Bei nicht mehr genutzten Daten wie auch bei nicht mehr benötigten Nutzerkonten fällt eine Kompromittierung in der Regel erst spät auf – wenn überhaupt. Das Beispiel der Geisterkonten zeigt auch exemplarisch, wo wesentliche Gefahrenherde liegen: in zu weit gefassten Zugriffsrechten sowie in Mangel an Transparenz und Verantwortlichkeiten. Exzessive Zugriffsrechte sind zudem im Falle eines Ransomware-Angriffs von Bedeutung: Je weiter gefasst die Zugriffsrechte des infizierten Accounts, desto mehr Dateien kann die Malware verschlüsseln.

Um diesen Problemen zu begegnen, empfiehlt sich die unternehmensweite Etablierung von Datenverantwortlichen (Data Owners). Diese gehören nicht der IT, sondern der jeweiligen Fachabteilung an und können damit präzise entscheiden, welcher Mitarbeiter für welche Dateien Zugriffsrechte erhalten muss. Dieser „Need to know“-Ansatz stellt sicher, dass nur diejenigen Mitarbeiter Datenzugriff erhalten, die ihn für ihre Arbeit tatsächlich benötigen.

Während dieser Ansatz für Nutzerkonten vernünftig und praktikabel ist, wird man angesichts der Fülle von Unternehmensdaten bei Datei-Altbeständen ohne Automation nicht weit kommen. Mittels intelligenter Analyse des Nutzerverhaltens und der Datenbewegunen lassen sich diese Daten identifizieren und automatisiert nach zuvor festgelegten Regeln archivieren, löschen oder in Quarantäne verschieben.

Zum Hausputz gezwungen

Die Einführung der DSGVO zwingt Unternehmen zum Aufräumen: Sie müssen nicht mehr benötigte Daten und Konten ebenso ausmisten wie zu weit gefasste Zugriffsrechte. Das Datenchaos reduziert sich Schritt für Schritt, an seine Stelle treten Überblick, Struktur und Ordnung. Die hierfür nötigen neuen Prozesse müssen sich selbstverständlich erst finden und entwickeln. Kaum ein Unternehmen wird am 25. Mai 2018 zu 100 Prozent DSGVO-konform sein. Ohnehin ist dies ein fragwürdiger Wert, denn die Umsetzung der DSGVO ist kein Zustand, sondern ein fortwährender Prozess.

 

Thomas Ehrlich ist Country Manager DACH bei Varonis Systems, www.varonis.com/de.