Compliance und Risiko
Schutz für den digitalen Fußabdruck
Unternehmen sind immer noch die beliebtesten Ziele der Cyberkriminellen, bringen sie doch den meisten Profit ein. Wie lässt sich proaktiver Schutz herstellen?
Save to Folio
von Trend Micro
Vor kurzem gab es Berichte über einen massiven Daten-Leak von mehr als zwei Milliarden Nutzerzugangsdaten aus tausenden von Online-Diebstählen und Leaks der letzten Jahre. Die Datensammlung, als „Collection #1” bekannt, umfasste Nutzernamen und Passwörter im Klartext, aber auch vertrauliche Dokumente – insgesamt 87 GB. Die Daten standen seit der letzten Dezemberwoche zum Download zur Verfügung und wurden aktiv in Hacking-Foren ausgetauscht. Es könnten noch mehr Datensätze veröffentlicht und online verkauft werden, wobei jeder noch mehr individuelle Zugangsdaten und kritische Informationen enthalten kann. Der Beitrag zeigt, wie Unternehmen und auch Privatpersonen proaktive Schutzmaßnahmen treffen können.
„Collection #1“ allein umfasst mehr als 700 Millionen einzigartiger Emailadressen und mehr als 21 Millionen entschlüsselte Passwörter. Mit all diesen für böswillige Aktivitäten verfügbaren Daten können Online-Missetäter zu kriminellen Offline-Aktivitäten übergehen. Wenn Nutzer ihre Zugangsdaten mehrmals verwenden für verschiedene Online-Konten, so wird die Collection #1 vielen Nutzern Schaden zufügen. Die Verluste von Einzelnen und Unternehmen infolge von mit Social-Engineering-Techniken durchgeführten Angriffen (Phishing, Betrug, Identitätsdiebstahl und Erpressung) werden exponentiell steigen. Unternehmen, als Opfer von Datendiebstählen, werden aufgrund der DSGVO und nationaler Gesetzgebung Strafen zahlen, das Vertrauen von Kunden verlieren und Umsatzverluste erleiden sowie Schaden für ihre Reputation hinnehmen müssen.
Proaktive Schutzmaßnahmen im Unternehmen
Unternehmen sind immer noch die beliebtesten Ziele der Cyberkriminellen, bringen sie doch den meisten Profit ein. Mit einem einzigen Einbruch in ein Unternehmenssystem können die Kriminellen einen ganzen Datenschatz heben: Inhouse-Server, proprietäre Informationen, Unternehmens-Assets, Lieferanten- und Kundendaten. Ein proaktiver Schutz lässt sich über folgende Best Practices und Grundlagentechniken herstellen:
- Aufsetzen von Cybersicherheitsrichtlinien und –prozeduren, die jeder im Unternehmen versteht. Beispielsweise sollten die persönlichen Geräte der Mitarbeiter nur mit einem dedizierten BYOD-Netzwerk verbunden sein. Es ließe sich auch festlegen, dass vom Unternehmen zur Verfügung gestellte Geräte die einzigen sind, die Mitarbeiter für Remote-Arbeit nutzen dürfen. Auch sollten Cybersicherheits-Awareness-Programme vorhanden sein, die Compliance sicherstellen.
- Aufbau eines VPN (Virtual Private Network) für Mitarbeiter, die einen Remote-Zugriff auf Unternehmens-Assets benötigen. So können sie Verbindung zum Office aufnehmen und sich über eine zusätzliche Sicherheitsschicht mit Unternehmensservern verbinden. Eine Zweifaktor-Authentifizierung verhindert zudem nicht autorisierten Zugang.
- Einführung von Netzwerksegmentierung und Kategorisierung der Daten sowie Einsatz von Firewalls. Netzwerksegmentierung bedeutet die Zuweisung verschiedener Netzwerke für unterschiedliche Funktionen oder Gerätearten. IT-Administratoren erhalten damit einen besseren Überblick und können die Komponenten und den Netzverkehr überwachen. Auch lässt sich damit jedes Segment nach Bedarf schützen, entfernen oder installieren. Datenkategorisierung umfasst die Klassifizierung von Datensets nach niedrigem bis hohem Wert. Entsprechend kann der Zugriff auf die verschiedenen Ebenen eingeschränkt werden, aber auch der Schutz-Level für die einzelnen Kategorien kann variieren. Die Firewall ist eine typische erste Schutzebene, die als Barriere fungiert und Informationen sichtet, die durch Netzwerke aus externen Systemen kommen sowie Daten analysiert, um die bösartigen zurückzuweisen – je nach den vorkonfigurierten Regeln.
- Einsetzen von Datenminimierung oder des Prinzips, nur die tatsächlich für einen bestimmten Zweck benötigten Daten zu sammeln. Unternehmen sollten nur eine Mindestmenge an Informationen über ihre Kunden sammeln und verarbeiten sowie diese nur eine bestimmte Zeitspanne speichern oder archivieren. Datenminimierung erweist sich auch für die Speichereffizienz und das Schutzniveau sowie das Datenmanagement als vorteilhaft. Auch empfiehlt es sich, ein regelmäßiges Backup der Daten nach dem 3-2-1 System einzuführen.
- Einbezug von Sicherheitsprinzipien wie Privacy-by-Design bereits in den frühen Phasen eines Projekts oder der Produktentwicklung. Privacy-by-Design bedeutet, dass Sicherheit von der Erstellung bis zu Implementierung an erster Stelle steht, wobei die Security der digitalen Werte priorisiert wird und Vertraulichkeit als Standard vorhanden ist, unabhängig davon, ob es um den internen oder externen Umgang mit persönlichen Daten geht. Pseudonymisierung, eine Methode, die es verhindert, den Eigentümer von Daten zu identifizieren, kann als Schutz der Nutzervertraulichkeit eingesetzt und während der Designphase festgelegt werden. Auch zusätzliche Überprüfungen für Nutzer, wie etwa Zweifaktor-Authentifizierung (2FA) auf den Websites und für die Apps sind von Vorteil.
- Sichern von Netzwerken, Servern, Gateways und Endpunkten. Es sollte sichergestellt sein, dass alle Systeme Patches regelmäßig herunterladen. Auch müssen Sicherheitslösungen zum Einsatz kommen, die mehrschichtigen Schutz und einfach durchzuführendes Patchmanagement bieten.
Datenschutz für Privatnutzer Unternehmen sind für die gesammelten Daten verantwortlich. Doch müssen Nutzer dennoch auch einige Tipps befolgen, um die Sicherheit ihrer Daten zu gewährleisten.
- Erstellen einer digitalen Spur aller persönlichen Informationen. In einer Liste werden alle Websites, Apps und Formulare aufgeführt, in denen die persönlichen, Banking- oder andere Informationen hinterlassen wurden. Dies mag zwar zeitaufwändig und arbeitsintensiv sein, doch das Wissen darüber, welche Unternehmen die eigenen Informationen haben könnten, gibt einen Überblick darüber, welche Credentials aktualisiert, gelöscht oder geändert werden müssen.
- Wenn möglich, sollte 2FA oder eine mehrschichtige Sicherheitslösungen aktiv sein, zusätzlich zu den Passwortanfragen für alle Online-Plattformen, die das eigene persönliche Profil und PII haben. Unternehmen mit Online-Plattformen, wie Banken und soziale Medien, bieten mittlerweile mehr als eine Art des Überprüfungsprozesses an, so etwa Einmal-Passwörter. Diese und 2FA-Anmeldeinformationen sollten nie mit Dritten ausgetauscht werden, auch wenn diese behaupten, Mitarbeiter der Firma zu sein. Besteht der Verdacht, die eigenen Bankinformationen seien kompromittiert, so sollte der Kontostand nach nicht autorisierten Überweisungen geprüft und gegebenenfalls die Bank sofort benachrichtigt werden.
- Auch Privatpersonen können Datenminimierung betreiben. Wann immer ein neues Online-Konto eröffnet wird, etwa ein Social Media-Profil, sollte die Menge und Art der angegebenen Daten, die öffentlich einsehbar sind, limitiert sein. Firmen werden möglicherweise die Nutzerinformationen mit Drittanbietern oder Partnern austauschen, seien es Websites oder Apps, die dann Zugriff auf dieselben Informationen haben, die im Profil oder auf der Registrierungsseite angegeben wurden. Beim Zugriff oder der Integration von Apps, sollten immer die Datenschutzbestimmungen gelesen und die App-Berechtigungen gecheckt werden.
- Passwörter wollen sorgfältig und smart verwaltet sein, häufig gewechselt und komplizierte Kombinationen gewählt werden. Default-Zugangsdaten und -Passwörter von Geräten, Routern oder Mobilgeräten immer ändern!
Trend Micro hat in den Voraussagen für 2019 davor gewarnt, dass Daten-Leaks wie „Collection #1“ häufiger werden, weil Cyberkriminelle davon profitieren können. Nutzer und Unternehmen müssen zusammenarbeiten, um die Informationen zu schützen.