Die Kosten der Datenverluste

Im Jahr 2011 verursachte jeder kompromittierte Datensatz in deutschen Unternehmen durchschnittliche Kosten von 146 EUR. Das ergab die im März dieses Jahres veröffentlichte Studie des Ponemon Instituts. Bösartige und kriminelle Angriffe seien die Hauptursache für Datenverluste, gab fast die Hälfte der befragten Unternehmen an. Gleich dahinter rangieren Probleme, die aus dem nachlässigen Umgang mit Daten durch Angestellte und Dienstleister resultieren.

Mehr von diesem Artikel lesen

Datenverluste im Sommer 2012

Wenn das Wetter in diesem Sommer anderswo genauso scheußlich ist wie in Hamburg, scheint hacken und Datendiebstahl für manche Leute offenbar eine Alternative zum Ausflug ins Freibad zu sein. Oder wie sonst ist die Häufung von Vorfällen zu erklären, bei denen mehrere große Webseiten gehackt und teilweise umfangreiche Datenbestände entwendet wurden? Betroffen sind allein in den letzten zehn Tagen u.a. der Voice-over-IP-Dienst Yahoo Voice, der Mail-Provider GMX, AndroidForums.com und der Grafikkartenhersteller Nvidia.

Mail Adressen und Passwörter

Eine Textdatei mit über 450.000 E-Mail-Adressen und unverschlüsselten Passwörtern kam dem VoIP-Dienst Yahoo Voice abhanden, bei GMX wurden nach eigenen Angaben von GMX etwa 3.000 E-Mail-Konten geknackt. Die Benutzernamen und Passwörter wurden jedoch nicht, wie anfänglich vermutet, durch einen Brute-Force-Angriff erraten, sondern waren den Hackern schlicht bekannt. Wie das wiederum passieren konnte, ist noch unklar.

Passwort Hashes

Am vergangenen Dienstag teilte AndroidForums.com seinen Mitgliedern mit, dass in ihre Server eingebrochen und auf Datenbestände zugegriffen wurde. Es sei nicht auszuschließen, dass die Einbrecher sämtliche E-Mail-Adressen und die „gesalzenen Passwort-Hashes“ entwendet hätten.

Im Netz veröffentlicht

Der Grafikkartenhersteller Nvidia schließlich erklärte gegenüber heise online, dass Dritte auf die persönlichen Informationen von rund 290.000 Nutzern im Hauptforum und von zirka 100.000 Mitgliedern aus dem Entwicklerbereich zugreifen konnten. Auch hier konnten die Angreifer an die E-Mail-Adressen und die Passwort-Hashes gelangen. Wie auch im Fall von GMX wurden Teile der gestohlenen Nutzerdaten im Internet veröffentlicht.

Im Angebot: Datenschutzdienstleistungen und Viagra

Unsere Firmenwebseite traf es vor einer Woche ebenfalls. Irgendjemand, der der deutschen Sprache nur rudimentär mächtig war (oder vorgab zu sein), fügte unserer Unternehmensdarstellung einen Absatz hinzu. Hier könne man auch Viagra kaufen.  “Je bekannter eine Seite wird, desto höher wird das Risiko eines Angriffs”, versuchte mein PR-Chef mich über den Schreck hinweg zu trösten. Und: Hier sei wohl eher ein Scherzbold am Werk gewesen, denn ein Krimineller. Anders als für die großen Firmen hielt sich für uns der Schaden daher auch in Grenzen.

Links mit weiteren Details:

http://www.heise.de/security/meldung/Weitere-1-4-Millionen-Datensaetze-kompromittiert-1640663.html

http://www.zeit.de/digital/datenschutz/2012-07/gmx-passwort-account/komplettansicht

http://www.heise.de/security/meldung/Nvidia-Hacker-veroeffentlichen-auszugsweise-Nutzerdaten-1641556.html

http://www.datenschutz.de/news/detail/?nid=5447
 

IT-Notfallplanung? Besser ist das …

„Haben Sie einen IT-Notfallplan?“ – diese Frage stellen wir unseren Kunden im Rahmen von Bestandsaufnahmen zu Datenschutz und Datensicherheit in einem Unternehmen mit schöner Regelmäßigkeit. In ebenso schöner Regelmäßigkeit ist die Antwort Nein. Bestenfalls lautet sie: „Wir arbeiten daran, sind aber noch nicht sehr weit“. Letzteres hätte auch meine Antwort sein können, hätte man mich vor kurzem gefragt. Die Ich-AG, die unser kleines Beratungsbüro jahrelang gewesen ist, war im Laufe der Zeit zu einem Team mit fünf Leuten gewachsen. Das erforderte eine ganz andere technische Ausstattung; inzwischen verfügen wir über einen eigenen Server, der unsere Dateien als auch unsere E-Mail beherbergt. Mit einem täglichen Back-Up des Servers und einer Liste mit Passwörtern im Tresor wähnte ich mich vorläufig gegen die Folgen von IT-Ausfällen einigermaßen gewappnet. Aufgrund kritischer Fragen unseres neuen Kollegen (“haben wir hier eigentlich einen Notfallplan?” – neue Besen kehren gut …) beauftragte ich den Techniker unter uns noch mit der Systematisierung der Zugangsdaten, Lizenznummern und vergleichbaren Dingen und beschloss, in einer ruhigen Minute ein vollständiges Notfallhandbuch zu entwerfen.

Halbe Notfallplanung

Doch – während man plant, passiert das Leben. An einem Freitag waren wir morgens nur  zu zweit im Büro, zwei Kolleginnen waren im Urlaub, ein weiterer auf Dienstreise. Beim Einschalten der Arbeitsplatzrechner reagierte der Server mit Fehlermeldungen. Die üblichen Erste-Hilfe-Maßnahmen – Neustarten, Stecker kontrollieren, Stecker ziehen … – brachten ebenso wenig Besserung wie der Versuch der Fernwartung durch unseren IT-Dienstleister. Schon die Fernwartung förderte die ersten Mängel unserer halben Notfallplanung ans Licht. „Wie lautet die IP-Adresse des Servers?“. Dumm, wenn der Mitarbeiter, der das weiß, nicht da ist und die IP-Adresse nirgendwo aufgeschrieben ist. Natürlich kann jemand, der sich auskennt, die Adresse irgendwie aus dem System auslesen. Aber das dauert. „Wie heißt die interne Domaine?“. Noch so eine Frage, mit der die nur mit technischem Halbwissen ausgestatteten Anwesenden überfordert waren.

Diagnose Totalschaden

Die Vor-Ort-Analyse erbrachte die Erkenntnis, dass von den vier Festplatten, die der Server beherbergt, zwei einen Totalschaden erlitten hatten. Der Techniker plante, die Daten auf die zwei funktionierenden zu legen, damit wir wenigstens vorläufig wieder arbeitsfähig wären, bis neue Festplatten geliefert sein würden. Der Ausgang der Operation war ungewiss und auch in diesem Zusammenhang suchten wir wieder nach Passwörtern, Zugangsdaten, Sicherungs-CDs … und mit welcher Software ist das Back-Up erstellt?! – was meine ohnehin nicht gerade gute Laune noch weiter sinken ließ. Eine Dokumentation über den Server fehlte, die lag bei dem früheren IT-Dienstleister, der den Server eingerichtet hatte. Seine Firma war von einer anderen aufgekauft worden und diese wollte so kleine Einheiten wie die unsere nicht mehr betreuen. Außerordentlich hilfreich ist auch, wenn die Passwörter für so einen Notfall in einer Excel-Tabelle auf dem Server gespeichert sind. Auf diese Weise waren wir dann dort, wo wir auch ohne Excel-Tabelle gewesen wären, bei einer Handvoll loser Zettel, die im Tresor lagerten.

IT-Notfallplan für ein kleines Büro

Alles in allem hat uns die schlechte Organisation sicher zwei bis drei Stunden zusätzlich aufgehalten – mal abgesehen von der Tatsache, dass auch die entsprechenden Kosten vermeidbar gewesen wären. Immerhin sind wir jetzt auf die harte Tour klüger geworden: Alle Fakten über die technischen Systeme müssen schriftlich und übersichtlich festgehalten werden. Auch die Kleinigkeiten, die scheinbar selbstverständlich sind, wie die IP Adressen von Server und Firewall, die Domain-Namen, die Software und ihre Versionen. Die Dokumentation muss außerhalb aufbewahrt werden, in Papierform oder auf anderen Speichermedien, aber jedenfalls nicht in dem System, das gesichert werden soll. Sie muss so gestaltet sein, dass auch ein bisher unbeteiligter Dritter daraus schlau wird. Und sie muss aktuell gehalten werden. Es gilt die Frage zu beantworten, wohin das Back-Up eingespielt werden kann, wenn das ursprüngliche System dazu nicht mehr tauglich ist. Diesem Schicksal sind wir glücklicherweise entronnen, aber es wäre eine mögliche Folge des Zusammenbruchs der Festplatten gewesen. Da für uns mehr als ein Tag Totalausfall des Servers schon sehr kritisch ist, werden wir uns zu diesem Punkt eine Lösung einfallen lassen müssen.

 Vergleichbar einer Versicherung

Das alles zu machen bedeutet fraglos Mühe und Aufwand. Doch letztlich ist es wie die Investition in eine Versicherung. Wenn man sie braucht, bereut man die Versicherungsbeiträge nicht mehr.

 

Die Datenpannen der Profis (1)

„Gegen kriminelle Energie kann man sich nicht schützen“, ist ein immer wieder kehrender Einwand, wenn die Frage aufkommt, wie viel Absicherung von Daten denn sein muss. „Kann man nicht“, antworte ich dann immer. Aber man sollte es Datendieben und sonstigen Missetätern so schwer wie möglich machen – nicht nur, um den einschlägigen Gesetzen Folge zu leisten. Hauptsächlich im ureigensten Interesse, um Zeit, Ärger, Geld und Imageschäden zu sparen, die Datenverluste kosten.

Die nachlässigen Nutzer

Ich füge hinzu – und das ist fast noch wichtiger! – man muss nicht nur die Datendiebe im Auge haben, sondern auch die nachlässigen Nutzer, die, die einfach nicht weit genug denken oder in Alltagshektik die einfachsten Dinge nicht beachten. In diese Kategorie gehören mitunter auch die Profis. Hier sind die ersten drei meiner „Top-Five“ der peinlichsten Datenpannen:

Fehlende Datensicherung

Es ist glaube ich einer der Klassiker unter den Datenpannen. Ein Rechner bricht zusammen, auf dem sich wichtige Daten befinden, und es ist keine oder jedenfalls keine aktuelle Datensicherung vorhanden. Mich erwischte es vor ungefähr fünf Jahren – mein Laptop rückte außer einem schwarzen Bild nichts mehr raus. Back-Up? Fehlanzeige. Panisch fragte ich bei dem Geschäftsführer einer befreundeten Firma um Rat. Einer der Techniker dort holte in tagelanger Arbeit meine Daten wieder aus den Untiefen der Festplatte hervor. Am Ende war ich um 600 EUR ärmer und hatte meine Daten wieder. Die 600 EUR, wohlgemerkt, waren ein Freundschaftspreis.

Das Back-Up auf USB-Stick

Nach dieser Episode ging ich dazu über, meine privaten Daten auf einem USB-Stick mit großer Kapazität zu sichern. Eines Tages stand eine Mitarbeiterschulung bei einem Kunden auf meinem Tagesplan, ich suchte einen USB-Stick und fand keinen. In morgendlicher Eile überspielte ich die Folien für die Präsentation auf den USB-Stick mit meiner Datensicherung. Die Schulung zog sich viel länger hin, als geplant, ich packte wieder in Eile zusammen, in Gedanken schon bei meinen Töchtern, die im Kindergarten aufs Abholen warteten – und vergaß den Stick vor Ort in einem fremden Rechner. Von Bankauszügen bis Liebesbriefen war alles dabei. Der IT-Chef des Kunden bemühte sich um Sachlichkeit, aber ich hörte die Schadenfreude trotzdem durchs Telefon.

Passwörter in Excel-Datei

Ohne Passwörter sind wir in der digitalen Welt verloren. Mit ihnen auch. Als jemand, die fast alles in Online-Shops einkauft, habe ich eine ziemlich große Sammlung Passwörter für die Anmeldung in verschiedenen Einkaufs-Portalen. Der Vorteil ist, wenn ein Passwort in unbefugte Hände gerät, kann man sich nicht gleich überall in meinem Namen anmelden. Der klare Nachteil ist, egal, welche Tricks ich nutzte, um mir die alle zu merken, ich vergaß immer wieder welche und musste umständlich neue anfordern. Sehr lästig. Eines Tages verfiel ich auf die Idee, die ganzen Passwörter einfach mal auf meinem Rechner in einer Excel-Tabelle zu speichern. Da die Festplatte verschlüsselt ist, kann ich das ja ruhig tun, war meine Überlegung. Ein paar Wochen später kam ich ins Grübeln, als mir mein Online-Banking und mein privates Webmail Account Log-Ins zu Zeiten meldeten, zu denen ich schlafend im Bett gelegen hatte. „Aber du hast keine Passwörter auf der Festplatte gespeichert?“, fragte mich ein technisch versierter Kollege eher rhetorisch. Ich hatte ihn nach möglichen Ursachen und vor allem Abhilfe gefragt.

Spezieller Schutz erforderlich

In diesem Moment traf mich die Einsicht wie ein Blitz – nein, ich habe es in dem Augenblick nicht zugegeben, dass ich genau das getan und übersehen hatte, dass der Rechner ja mit dem Internet verbunden ist, verschlüsselte Festplatte oder nicht. Ja, man kann Passwörter gefahrlos auf der Festplatte speichern. Aber dann muss man sie mit einem speziellen Programm schützen, was ich seither auch tue.

— Fortsetzung folgt —

 

Datenverletzung in Unternehmen

Datenschutz-Disziplin direkt am Computer des Mitarbeiters durchsetzen
Was moderne Endpunkt-DLP-Lösungen leisten müssen

Quelle: Compliance-Magazin.de, 06.11.2010

Obwohl das Thema Datenverletzung in Unternehmen in der letzten Zeit weniger Beachtung in den Medien fand, nehmen die Schäden, die Unternehmen weltweit durch Datenverletzung entstehen, immer noch zu und stehen weiterhin im Fokus der qualifiziertesten Marktforschung. Dies hat die jüngste Jahresstudie des Ponemon Institute “Cost of a Data Breach” erneut bestätigt, die dieses Jahr für die fünf führenden westlichen Wirtschaftsmächte, d.h. USA, Deutschland, Großbritannien, Frankreich und Australien, veröffentlicht wurde.

Derselbe Trend wurde im Markt für kleine und mittlere Unternehmen festgestellt. Nach den Ergebnissen des “Symantec 2010 Global SMB Information Protection Survey” gehört ein Datenverlust für kleine und mittelständische Unternehmen zu den größten Bedrohungen. Da dürfte die Feststellung keine Überraschung sein, dass die durchschnittlichen jährlichen Kosten eines Internetangriffs bei kleinen und mittelständischen Unternehmen fast 190.000 US-Dollar ausmachen.

Drei Hauptfaktoren haben zu diesem alarmierenden Trend beigetragen:

Der erste Faktor ist die “Consumerization von IT-Systemen” – die allgegenwärtige Verbreitung von Endgeräten wie Smartphones, Tablet PCs und Web 2.0-Software in der IT-Umgebung der Unternehmen.

Zweifellos haben sich die Social Media und das Peer-to-Peer-Networking, Instant Messaging, die Blogs und Webmail als äußerst effektive Instrumente in der modernen internetorientierten Wirtschaft erwiesen, in der die Aufmerksamkeit des Kunden Mangelware wird. Gleichzeitig sind sie aber auch eine wertvolle Quelle für Marketing, PR und sogar Vertrieb. Außerdem sind sie bereits für die interne Verwendung im Unternehmen unerlässlich geworden.

Im Hinblick auf die Informationssicherheit schaffen all diese Kommunikationsmittel jedoch neue Gelegenheiten für Datenlecks, die weder die herkömmliche Netzwerksicherheit noch Antivirus-Lösungen kontrollieren können. Wie groß die Besorgnis der Industrie über den Missbrauch der Social Media im IT-Bereich von Unternehmen ist, wurde klar, als im Mai 2010 der führende Verband zur Förderung von IT-Standards ISACA ein spezielles White Paper herausgab mit dem Titel: “Social Media: Business Benefits and Security, Governance and Assurance Perspectives”, das Empfehlungen für Unternehmen zur sicheren Nutzung von Social Media in ihren IT-Systemen enthielt.

Nicht weniger riskant für Unternehmen scheinen die “Vorteile” von Peer-to-Peer (P2P)-Anwendungen zu sein. Anfang des Jahres wurden von der Federal Trade Commission in fast 100 US-Unternehmen umfangreiche Datenverletzungen auf Grund der unangemessenen Verwendung von P2P-Filesharing aufgedeckt.

Zweitens haben sich in den letzten zehn Jahren die von außen kommenden Bedrohungen für die IT-Sicherheit in Unternehmen strategisch verlagert: Ziel ist nicht mehr die IT-Infrastruktur, sondern die Jagd nach Daten oder, genauer gesagt, nach wertvollen Daten. Die Internetkriminalität ist inzwischen gut organisiert und kommerzialisiert. Derzeit erzielt sie einen Jahresumsatz von ca. 1 Milliarde US-Dollar.

Ganz wichtig ist, dass die modernen Bedrohungen aus dem Internet immer häufiger Endpunkt-Computer zum Ziel haben, weil diese weniger geschützt sind als Server, jedoch gleichzeitig Unmengen an sensiblen privaten Daten und Unternehmensinformationen speichern. Die Angriffe von außen werden immer raffinierter: man kombiniert modernste Software und Netzwerktechniken mit der ganzen Macht des Social Engineering, um Endpunkt-Computer mit kommerzieller Malware zu infizieren.

Ein unbedachter Klick auf ein Link in einer Spam-E-Mail reicht aus, um den Unternehmenscomputer mit einem kleinen Programm zu infizieren, das den RAM-Speicher nach Daten der gewünschten Art ausspionieren, die gewünschten Informationen heimlich speichern und später über verfügbare Kommunikationssysteme an ein Ziel im Internet senden kann.

Der dritte – und gefährlichste – Faktor der Datenverletzung ist schließlich der Mensch selbst, bzw. das Verhalten sogenannter “Insider”. Falsches Verhalten und Nachlässigkeit stellen ein wesentliches Element der meisten Endpunkt-Datenlecks dar. Trotz aller Vorschriften und Richtlinien in einem Unternehmen, speziellen Schulungen, administrativen Sanktionen und Strafen wird sich die menschliche Natur nicht ändern: auch loyale Mitarbeiter werden versehentlich Fehler machen, seltsame Fehler – werden etwas tun, das sie nicht tun sollten, und böswillige Insider sind bewusst auf der Jagd nach Informationen, die von großem Wert sind.

Daher muss die Disziplin bei der Datenkommunikation und Speichersicherheit auf Unternehmenscomputern mit Mitteln durchgesetzt werden, die nicht vom Menschen abhängen – einem automatischen Werkzeug, das alle Benutzeraktionen im Rahmen der jeweiligen Aufgabenbereiche transparent zulässt und gleichzeitig versehentliche oder absichtliche Versuche blockiert, etwas außerhalb der festgesetzten Grenzen zu tun.

Und genau darauf zielen die Lösungen zur Verhinderung von Endpunkt-Datenlecks (DLP) ab. Ihre Hauptfunktion ist es, den Grundsatz des “geringsten Privilegs” präzise umzusetzen, wenn Benutzerrechte für den Datentransfer und die Datenspeicherung erteilt werden, und die Datenschutz-Disziplin direkt am Computer des Mitarbeiters durchzusetzen. Daraus ergibt sich, dass Endpunkt-DLPLösungen bereits im Voraus mögliche Datenleck-Szenarien verhindern, bei denen die Benutzer zu weitreichende Berechtigungen für Kommunikationswege besitzen, die nicht in ihren Aufgabenbereich fallen.

Was das Risikomanagement anbelangt, so reduziert sich dadurch unmittelbar die Gefahr, dass sensible Informationen unkontrolliert einen Unternehmenscomputer verlassen, egal ob durch Nachlässigkeit oder in böswilliger Absicht.

Die Möglichkeit, den Inhalt der zulässigen Kommunikation zu analysieren und nicht genehmigte Daten herauszufiltern, ist ein weiteres Merkmal der DLP-Lösungen, das ihre Effizienz als Tool zur Durchsetzung einer gewissen Disziplin bei der Sicherheit an Unternehmens-Endpunkten weiter erheblich steigert.

Moderne Endpunkt-DLP-Lösungen blockieren nicht nur beschränkte Vorgänge und Daten, sondern protokollieren jedes Detail und erstellen bei Bedarf Schattenkopien in zentralen Datenbanken, die zur Verfügung stehen, wenn die Einhaltung der Sicherheitsrichtlinien überprüft wird und Nachforschungen zu bestimmten Vorkommnissen angestellt werden.
Neben dem Hauptzweck, nachlässige oder böswillige Insider zurückverfolgen, identifizieren und bestrafen zu können, ist dieses Merkmal gleichzeitig ein großer Anreiz für die Mitarbeiter, die Regeln eingeführter Datensicherheitsrichtlinien nicht zu verletzen. Weil jeder von ihnen weiß, dass ihre Endpunkt-Kommunikation und Datenübertragungen überwacht und protokolliert werden, entwickelt sich durch das Bewusstsein, dass man “überwacht” wird, eine gewisse Selbstkontrolle durch unbewusste Umsetzung der Vorschriften – ein im Gedächtnis ansässiger “DLP-Agent”, der häufig die Unternehmensdaten zuverlässiger schützt als die raffiniertesten Techniken.

Diese innere Selbstkontrolle ergänzt die DLP-Disziplin insgesamt messbar – wenn auch nicht fühlbar – und verdoppelt deren Leistung. Vor allen Dingen erhöht sich die Zuverlässigkeit eines DLP-Systems auch, weil der interne “DLP-Agent” ständig im Dienst ist und als virtuelles Backup für die Systemkomponente dient, wenn diese vorübergehend abgeschaltet oder gewartet wird. Natürlich sind Datenlecks und Disziplinverluste bei der Informationssicherheit so eng miteinander verbunden, was Kontext, Prozesse und Einfluss betrifft, dass eine Lösung, die einen dieser Punkte neutralisiert, dementsprechend die anderen Punkte abschwächt.

Es mag wie ein Wortspiel erscheinen, aber es ist wirklich sinnvoll, das Akronym “DLP” als “Discipline’s Loss Prevention” bzw. Verhinderung des Disziplinverlustes zu interpretieren und den Datensicherheitsbeauftragten bei DLP-Lösungen die Berücksichtigung der Aspekte Disziplin und Selbstdisziplin in allen Phasen eines DLP-Projektes zu empfehlen. In erster Linie wird dies auch helfen, die Erwartungen der Geschäftsleitung und der Endbenutzer zu erfüllen, sowie die Projektergebnisse realistisch zu bewerten und ordnungsgemäß zu interpretieren. (DeviceLock: ra)