Datenrisiko: Zu viele Mitarbeiter haben immer noch Zugriff auf zu viele sensi...

Den wenigsten Unternehmen ist es wirklich klar, welchen Risiken ihre Daten ausgesetzt sind und welche Daten ganz konkret besonders exponiert sind. Aufschluss bringen so genannte Risk Assessments, bei denen die Daten-Infrastruktur mittels Metadaten erfasst und analysiert wird.

Dabei werden Zugriffberechtigungen und deren Nutzung aufgelistet und bewertet sowie gefährdete Bereiche identifiziert und priorisiert. Der entsprechende Bericht fasst die wichtigsten Erkenntnisse zusammen, enthält eine Rangliste der identifizierten Schwachstellen nach Risikostufe und gibt Empfehlungen wie Unternehmen diese Schwachstellen konkret beheben können.

Die Ergebnisse dieser Risikobewertungen liegen nun im neuen Datenrisiko-Report 2018 von Varonis vor. Hierzu wurden die Ergebnisse von Risikobewertungen von 130 Unternehmen unterschiedlicher Größe aus über 30 Branchen und über 50 Ländern erfasst. Dabei handelt es sich um eine repräsentative Stichprobe aus den über 1.000 im Jahr 2017 von Varonis durchgeführten Risk Assessments. Für den Bericht „Data Under Attack: 2018 Global Data Risk Report from the Varonis Data Lab“ analysierte Varonis mehr als 6 Milliarden Dateien (mehr als doppelt so viele wie im Bericht 2017) mit durchschnittlich 36.242 Benutzerkonten, 3.531.978 Ordnern und 48.051.109 Dateien pro Unternehmen – insgesamt rund 459 Millionen Ordner mit einem Gesamtvolumen von 5,5 Petabytes (also 5.500 TB). Und die Ergebnisse sind erschreckend: Auch kurz vor dem Inkrafttreten der DSGVO sind durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich, in 41 Prozent der Unternehmen haben sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien – wie personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – und bei 58 Prozent unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung.

Was sind die größten Problemfelder?

Bei der Auswertung der Daten, zeigten sich vor allem drei Problemfelder, welche die Datensicherheit massiv bedrohen. Zu allererst sind hier zu weitreichende und oftmals sogar globale Zugriffsgruppen, d.h. dass letztlich jeder im Netzwerk auf die Daten zugreifen kann. Macht dies beim Speiseplan der Kantine noch Sinn, ist es bei sensiblen Daten jedoch höchst gefährlich. Ist ein solches Konto (etwa durch Social Engineering) kompromittiert, haben Datendiebe freie Bahn. Auch im Falle eines Ransomware-Angriffs können auf diese Weise sämtliche Daten, auf die der Nutzer Zugriff hat, verschlüsselt werden und sich die Infektion entsprechend weit ausbreiten.

Ebenfalls nicht unproblematisch sind die mangelhaft verwalteten sensiblen und ungenutzten, nicht mehr benötigten Daten (stale data), die Vorschriften wie der DSGVO, SOX oder HIPAA unterliegen. Im Durchschnitt wurden 54 Prozent der Daten eines Unternehmens länger nicht genutzt bzw. sind veraltet, was nicht nur die Speicherkosten erhöht und das Datenmanagement erschwert, sondern etwa auch dem Grundprinzip der DSGVO widerspricht, nämlich der Minimierung des Speicherns von Verbraucherdaten, Minimieren des Personenkreises, der darauf zugreifen kann, und Minimieren der Aufbewahrungsdauer.

Ein ähnliches Phänomen stellen „Ghost User“ dar. Hierunter versteht man veraltete, nicht mehr benötigte, aber auch nicht deaktivierte Nutzerkonten. Ursache sind zumeist personelle Veränderungen, sei es durch einen Wechsel in eine andere Abteilung oder den Wechsel des Arbeitgebers. Rund ein Drittel (34 Prozent) der untersuchten Konten wurden als solche identifiziert. Für Angreifer stellen sie eine Art Freifahrtschein dar: Einmal in Besitz der entsprechenden Zugangsdaten, können sie sich „unter dem Radar“ letztlich frei und unauffällig in den Unternehmensnetzwerken bewegen, da es sich ja um legitime Konten handelt.

Was sollten Unternehmen tun?

Wie nun lassen sich diese Konten und Daten identifizieren? Und wie kann man sicherstellen, dass die Datensicherheit dauerhaft gewährleistet ist? Der erste und zugleich wichtigste Schritt ist es, die Umgebung zu analysieren, Risiken zu bewerten und zu priorisieren sowie die sensiblen Daten zu identifizieren. Nicht mehr genutzte Konten lassen sich so beseitigen, nicht mehr benötigte Daten können (automatisiert nach zuvor festgelegten Regeln) archiviert, gelöscht oder in Quarantäne verschoben werden.

Grundsätzlich sollte man darüber hinaus die Zugriffe nach dem „need-to-know“-Prinzip begrenzen: Nur diejenigen Mitarbeiter, die für ihre Arbeit tatsächlich Zugriff benötigen, sollen ihn auch erhalten. In diesem Zusammenhang empfiehlt sich zudem die Einführung sogenannter Data Owner, also Datenverantwortlicher, welche nicht in der IT-Abteilung angesiedelt sind, sondern aus den jeweiligen Fachabteilungen oder Projektgruppen stammen. Sie haben den Überblick und wissen ganz genau, wer tatsächlich welchen Zugang für seine Arbeit benötigt und wer nicht (mehr), und können Zugriffsrechte zielgenau erteilen. Auf diese Weise adressiert man zugleich auch das Problem der Ghost User – und sorgt für einen großen Schritt in Richtung Datensicherheit und DSGVO-Konformität.

Autor: Thomas Ehrlich, Country Manager DACH von Varonis Systems