Heute weiß jeder IT-Profi, was Data Loss Prevention (DLP) ist, aber manchmal gibt es Unklarheiten darüber, welche Risiken DLP tatsächlich verringert oder welches Benutzerverhalten sich damit genau überwachen lässt. Das liegt daran, dass IT-Sicherheit insgesamt sehr komplex geworden ist und die Bedrohungen, denen die Daten im Unternehmen ausgesetzt sind, und die Abwehrmechanismen der DLP-Lösungen nicht immer genau abgegrenzt werden. Hilfestellung gibt die Unterteilung in Bedrohungen von innen und Bedrohungen von außen.
Bedrohungen von innen
Durch zahlreiche Studien gilt als gesichert: Die größte Bedrohung für die Daten geht von den eigenen Mitarbeitern aus. Das liegt insofern auf der Hand, als sie jeden Tag mit ihnen zu tun haben. Und während die IT-Administration damit beschäftigt ist, das Netzwerk gegen Angriffe von außen abzusichern, laden die Angestellten fleißig Dateien in Cloud-Speicher oder kopieren sie auf mobile Geräte. Damit wir uns richtig verstehen: Ohne Firewall geht es nicht, aber die Bedrohung durch Datentransfers, die die Mitarbeiter vornehmen, darf nicht unterschätzt werden. Hier die wichtigsten Gefahren:
1. Menschliche Fehler, Versehen und Irrtümer
Die Spannweite reicht dabei von der fehlerhaften Konfiguration von Richtlinien über mobile Geräte, die im Zug vergessen oder auf einer Messe geklaut wurden, bis hin zu Vorfällen, bei denen Mitarbeiter Daten an den falschen Empfänger schicken oder versehentlich auf Facebook posten.
2. Nicht überwachte mobile Geräte
Weil wir unterwegs oder von zu Haus aus arbeiten wollen, kopieren wir Daten auf mobile Geräte, die uns genau das ermöglichen. BYOD, also die Benutzung privater mobiler Geräte am Arbeitsplatz, war erst der Anfang, und mit Wearables wie Smartwatches und Fitness-Trackern gelangen über kurz oder lang massenhaft weitere private Geräte in die Unternehmen.
3. USB-Port am Endgerät
Stecker dran, ein paar Klicks, schon sind die Daten kopiert. Und mit ihnen findet Schadcode den Weg von Gerät zu Gerät: 90 Prozent aller Schädlinge verfügen über Mechanismen, die eine Verbreitung via USB-Port ausnützen können.
4. Schatten-IT
Mitarbeiter nutzen Anwendungen, vorwiegend Cloud-Dienste zum Synchronisieren oder Teilen von Dateien, von denen die IT-Abteilung nichts weiß und die sie nicht überwacht.
5. Innentäter mit Motiv
Für enttäuschte oder verärgerte Mitarbeiter gibt es eine Menge Wege, Daten unbemerkt aus der Firma zu schaffen. Das kann ein Mitarbeiter sein, der zur Konkurrenz wechselt und die Kundenliste mitgehen lässt. Angestellte Schweizer und Liechtensteiner Banken haben Datensätze von Bankkunden gestohlen und sie für teures Geld an Steuerbehörden verkauft – Sie erinnern sich vielleicht an die „Steuersünder-CDs“. Der bekannteste Datendieb dürfte Edward Snowden sein, den das Ausmaß entsetzt hat, mit dem sein Arbeitgeber alles und jeden ausspäht, auch er benutzte einen USB-Stick.
Bedrohungen von außen
Darunter sind Angriffe von Einzeltätern oder Gruppen zu verstehen, die mit großer Hartnäckigkeit vorgehen und neuartige Techniken einsetzen, um in fremde Netze zu kommen. Normalerweise dringen sie mit einer Art Schadcode ein, sammeln Informationen über die Funktionsweise der Systeme und setzen dann mit weiteren Techniken nach, um sensible Daten zu stehlen. Hier die häufigsten:
1. Malware
Malware ist die vielseitigste und die am weitesten verbreitete Bedrohung. Unter dem Begriff wird ein breites Spektrum an Schadprogrammen zusammengefasst, wie Trojaner, Ransomware, Spyware, Scareware und andere. Sie dringen über unterschiedliche Wege in Netzwerke ein, beispielsweise über Schwachstellen in Software, infizierte Speichergeräte, nicht mehr gepflegte Altsysteme etc. Schutz bieten starke Anti-Malware-Lösungen.
2. Bots
Bots oder Chatbots sind Software-Programme, mit deren Hilfe zeitaufwendige Tätigkeiten automatisiert werden, beispielsweise die Auswertung von Webseiten für Suchmaschinen. Computerkriminelle nutzen sie ebenfalls, für Spamming, Phishing und anderes, und bringen Anwender dazu, dass sie sensible Informationen über eine App weitergeben. Firewalls und Intrusion Prevention-Systeme liefern mit der Identifizierung von auffälligem Traffic der IT-Administration Anhaltspunkte für die Suche nach der Ursache. Auch Lösungen für Data Leak Prevention können helfen: nicht, indem sie Bots aufspüren, sondern indem sie Anwender alarmieren, wenn sie im Begriff sind, sensible Daten zu übermitteln, und ggf. den Transfer blockieren. Über entsprechende Reports der Lösungen erhalten die Administratoren Kenntnis davon.
3. DDoS-Attacken
Mittels DDoS-Angriffen wird versucht, Webserver oder auch ganze Netzwerke durch Überlastung lahmzulegen. Die Überlastung ist das Ergebnis massenhafter Verbindungsversuche durch Rechner, die in einem Botnet zusammengeschlossen sind. Meist merken Betroffene nicht, dass ihr Rechner kompromittiert wurde, obwohl sie Auswirkungen wie Performance-Einbußen durchaus spüren. Da nicht verfügbare Dienste oder Webseiten den Ruf des angegriffenen Unternehmens schädigen, zu Umsatzeinbußen und Kundenverlusten führen und Geschäftsprozesse beeinträchtigen, werden DDoS-Angriffe für Erpressungen genutzt, aber auch als Ablenkungsmanöver für Angriffe an anderer Stelle oder für Datendiebstahl. Verhindern lassen sie sich durch den Einsatz spezialisierter Monitoring-Lösungen, Intrusion Detection-Lösungen, Firewalls und andere. Wegen der sehr unterschiedlichen technischen Ansätze sollten sie vor dem Einsatz sorgfältig evaluiert werden.
4. Phishing und Social Engineering
Phishing gehört zu den bekanntesten Social Engineering-Angriffen. Per E-Mail, Telefon, Social Media und andere Kommunikationswege werden Mitarbeiter dazu gebracht, sensible Informationen oder Daten herauszugeben. Vertrauensvolle, hilfsbereite Angestellte, die wenig über Datensicherheit und die Tricks der Cyberkriminellen wissen, sind geradezu prädestiniert, in die Falle zu tappen. Regelmäßige Mitarbeiter-Schulungen sind daher wichtig, auf technischer Seite helfen gut gepflegte und gepatchte Systeme, Spam- und Web-Filter bei der Abwehr sowie DLP-Lösungen, die den Transfer sensibler Daten verhindern.
5. DNS-Attacken
Das Ziel dieser Angriffe ist das Domain Name System (DNS), das Domain-Namen in computer-kompatible IP-Adressen übersetzt. Schwachstellen im Programm können für unterschiedliche Angriffsarten genutzt werden, wie DoS- und DDoS-Angriffe, DNS Amplification und Cache Poisoning. Dieser sehr häufige DNS-Angriff ersetzt IP-Adressen im Cache des Servers durch andere und leitet den Anwender auf gefälschte Seiten weiter, um beispielsweise Daten zu stehlen. Das Spektrum technischer Abwehrmöglichkeiten reicht von der regelmäßigen Aktualisierung der Software über DNS-Firewalls bis zu DLP-Lösungen, die Datenabfluss erkennen können. Wegen der Vielschichtigkeit der Angriffe gibt es jedoch kein Allheilmittel; jede Lösung hängt von der Beschaffenheit des Netzwerkes und der DNS-Infrastruktur ab.
6. SQL-Injection
Dabei werden Sicherheitslücken von Web-Anwendungen und auch Smartphone-Apps im Zusammenhang mit SQL-Datenbanken ausgenutzt, so dass Daten ungeprüft und nicht bereinigt in die Datenbank übernommen werden. In Benutzer-Eingaben können auch Zeichen wie Anführungszeichen, Apostroph, Semikolon etc. vorkommen. Unter SQL haben diese Metazeichen spezifische Bedeutungen als Steuerzeichen, mit denen sich unter Umständen Logins umgehen lassen. Dann können Datenbank-Befehle eingeschleust werden mit dem Ziel, Daten auszuspähen, zu manipulieren oder zu löschen. Abhilfe schaffen die Bereinigung der Benutzer-Eingaben sowie spezielle Lösungen für Datenbank-Sicherheit.
Entscheidend für die IT- und Datensicherheit ist, dass die Unternehmen externe und interne Bedrohungen gleichermaßen ernst nehmen und in ihrem Schutzkonzept berücksichtigen. Nur so kann vermieden werden, dass trotz bestmöglicher Absicherung vor externen Angriffen Daten gewissermaßen durch die Hintertür verloren gehen.
