Datenrisiko: In 47 % der Unternehmen hat die Mehrzahl der Mitarbeiter Zugriff auf mehr als 1.000 sensible Dateien

Stale Data und exzessive Zugriffsrechte setzen Unternehmen weiterhin Insiderbedrohungen, Ransomware und anderen Risiken aus.

Der neue Datenrisiko-Report von Varonis Systems zeigt ein alarmierendes Ausmaß an Exposition interner und sensibler Dateien innerhalb von Unternehmen: Durchschnittlich sind 20 Prozent der Ordner – und damit oftmals personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – für alle Mitarbeiter zugänglich [1].

Mit der Varonis Datensicherheits-Plattform (DSP) führte der IT-Security-Spezialist über 1.000 Risikobewertungen für bestehende und potenzielle Kunden in einem Teil ihres Dateisystems durch. Hierdurch wurden Risiken in Bezug auf Unternehmensdaten aufgedeckt und identifiziert, wo die sensiblen und juristisch relevanten Daten gespeichert und welche Bereiche besonderen Risiken ausgesetzt sind. Darauf basierend erfolgen individuelle Empfehlungen für die Verbesserung der Datensicherheit.

Die wesentlichen Erkenntnisse des Reports umfassen unter anderem:

  • 236,5 Millionen Ordner mit insgesamt 2,8 Milliarden Dateien in einer Gesamtgröße von 3,79 Petabytes wurden analysiert.
  • Hiervon waren 48.054.198 Ordner für »Global Access Groups« beziehungsweise Gruppen, die über einen allgemeinen Zugriff auf sämtliche Dateien verfügen, zugänglich.
  • In 47 Prozent der Unternehmen hatte die Mehrzahl der Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien, in 22 Prozent der Unternehmen konnte die Mehrzahl der Mitarbeiter sogar auf über 12.000 sensible Dateien zugreifen.
  • 71 Prozent der Ordner enthielten lange nicht genutzte Dateien (stale data) mit einem Volumen von fast 2 PB.
  • 24,4 Millionen Ordner verfügten über eindeutige Berechtigungen, was die Komplexität deutlich erhöht und die Umsetzung eines Privilegienmodells auf Basis der minimalen Rechtevergabe erschwert. Hierdurch wird zudem die Einhaltung gesetzlicher Vorgaben wie der DSGVO behindert.

Umfangreiche Zugriffsrechte, ungeschützte sensible Dateien und lange nicht genutzte Dateien erhöhen das Risiko von Datenschutzverletzungen, Insiderbedrohungen und Ransomware-Attacken. Erst kürzlich gaben in einer Studie des Ponemon Instituts 62 Prozent aller Mitarbeiter an, dass sie Zugang zu Dateien haben, die sie offensichtlich nicht sehen sollten. Ähnliche Ergebnisse zeigte ein Report von Forrester: 59 Prozent der befragten Unternehmen regeln den Zugang zu Dateien nicht nach dem »Need-to-Know«-Prinzip, um sensible Dateien zu schützen.

Die Risikobewertungen brachten zudem folgende Einzelfälle zutage:

  • 35 Prozent der 86,4 Millionen Ordner einer Versicherung waren für alle Mitarbeiter zugänglich.
  • Auf 80 Prozent von 245.575 sensiblen Dateien einer Bank konnte von allen Mitarbeitern zugegriffen werden.
  • Eine andere Bank regelte den Zugang zu 11,6 Millionen Ordnern über eindeutige Berechtigungen, was die Bemühungen, die Zugriffsrechte zu reduzieren, deutlich erschwert.

»Bei Datenschutzverletzungen und Ransomware-Angriffen sind Dateien ein beliebtes Angriffsziel, da sie einen hohen Unternehmenswert darstellen und im Allgemeinen anfällig für den Missbrauch durch Insider oder auch Außenseiter sind, welche die Perimeter überwunden haben. Während sich die meisten Unternehmen auf die Abwehr spezieller Angriffswege konzentrieren, bleiben die Daten – das eigentliche Ziel vieler dieser Angriffe – oft zugänglich und unbeobachtet«, sagt Thomas Ehrlich, Country Manager DACH von Varonis. »Unternehmen nutzen unsere kostenlosen Risikobewertungen, da sie den Wert ihrer Dateien und das Risiko, dass diese gestohlen oder missbraucht werden, kennen. Wir schätzen ihre Bemühungen, diesen ersten Schritt in Richtung Risikominimierung zu gehen.«

»Wir haben Dateien mit personenbezogenen Informationen an Orten gefunden, wo sie nicht sein sollten«, sagt etwa der Chief Security Officer einer Behörde bei einer Kundenbefragung von TechValidate im Auftrag von Varonis. Im Rahmen dieser Umfrage gaben 68 Prozent an, dass sie die Risikobewertung durchgeführt haben, um bestehende Sicherheitsbedenken zu verifizieren, 95 Prozent sagten, dass ihnen die Bewertung bei der Identifizierung gefährdeter, sensibler und vertraulicher Daten geholfen hat und sie nun in der Lage sind, dieses Problem anzugehen und die Wahrscheinlichkeit einer Datenschutzverletzung zu reduzieren. Für 82 Prozent der Befragten wurde durch ihre Ergebnisse die Reduzierung allgemeiner Zugriffsrechte die Top-Priorität.

[1] Der Datenrisiko-Report von Varonis zeigt die Ergebnisse von 80 zufällig ausgewählten Risikobewertungen für bestehende oder potenzielle Kunden im Zeitraum Januar bis Dezember 2016. Diese Unternehmen stammen aus 12 Ländern und 33 Branchen und beschäftigen zwischen 50 bis über 10.000 Mitarbeiter.
Den kompletten Datenrisiko-Report finden Sie hier: www.varonis.com/data-risk-report-2017
Gründe, warum Unternehmen eine Risikobewertung von Varonis durchführen lassen, und welche Vorteile ihnen das bringt, können hier nachgelesen werden: https://www.techvalidate.com/portals/why-organizations-perform-a-varonis-risk-assessment

 


 

Kommentar zu möglichen Hacker-Angriffen auf den französischen Präsidentschaftskandidaten Emmanuel Macron

von Thomas Ehrlich, Country Manager DACH von Varonis:

 

Bereits im Januar haben amerikanische Sicherheitsbehörden vorausgesagt, dass Hacker, die im russischen Staatsauftrag agieren, ihre Erfahrungen aus den Angriffen im US-Wahlkampf dazu nutzen werden, um Wahlen weltweit zu beeinflussen. Nur ein paar Monate später reden wir wieder über Russland, Phishing und einen Präsidentschaftskandidaten.

 

Wir haben bei Hillary Clintons Wahlkampf gesehen, welchen zerstörerischen Einfluss geleakte E-Mails auf die Kampagne haben und wie sie Kandidaten oder Parteien schaden können. Und die Risiken beschränken sich nicht nur auf E-Mails: Politiker und Parteien – genau wie auch Unternehmen – erstellen jede Menge Dateien und speichern diese auf zahlreichen verwundbaren Orten: Kommunikationsstrategien, Mitglieder- und Spendenlisten, Aktionspläne usw. In unserem gerade veröffentlichten Datenrisiko-Report fanden wir heraus, dass durchschnittlich 20 Prozent der Ordner einer Organisation zugänglich für jeden Mitarbeiter sind! Und in 47 Prozent der Unternehmen hat die Mehrzahl der Mitarbeiter Zugriff auf mehr als 1.000 sensible Dateien, wie personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen. Ein kompromittierter Account kann auf diese Weise einen enormen Schaden anrichten, indem massiv Daten gestohlen werden – und sogar möglicherweise Wahlen beeinflussen.

 

Hätten die gezielten Phishing-Attacken auf den französischen Präsidentschaftskandidaten Macron Erfolg gehabt, wären die Angreifer durch die erbeuteten Zugangsdaten zu virtuellen »Insidern« geworden, hätten Zugriff auf Dateien und E-Mails erhalten und die Wahl auf diese Weise beeinflussen können. Glücklicherweise waren die Verantwortlichen offensichtlich in der Lage, zumindest einige dieser Phishing-Versuche zu identifizieren. Aber dennoch: Es braucht aus Hacker-Sicht nur einen »Treffer«, um an die Zugangsdaten zu gelangen. Aus diesem Grund ist es auch umso wichtiger, weitere Maßnahmen zu ergreifen für den Fall, dass ein Angreifer die herkömmlichen Verteidigungslinien überwindet und es tatsächlich ins Innere schafft. Dazu zählen in erster Linie ein restriktiver Umgang mit Zugriffsrechten (Privilegienmodell auf Basis der minimalen Rechtevergabe), die Kontrolle, wer wann auf welche sensiblen Dateien zugreift und insbesondere eine fortschrittliche Analyse des Nutzerverhaltens. Diese erkennt ungewöhnliche Aktivitäten und Zugriffe und ist in der Lage einzuschreiten, bevor die Dateien herausgeschleust werden.

 

Politische Hacker: Attacken gegen regierungsnahe Organisationen und Emmanuel Macron

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

Schutz vertraulicher Daten: Phishing bedroht Unternehmen und private Internetnutzer

Das wirtschaftliche Risiko vertraulicher Daten auf dienstlich genutzten Mobilgeräten

Der (zu) nachlässige Umgang mit sensiblen Daten am Arbeitsplatz

Regierungsleitfaden zum Thema Datenverschlüsselung und Datensicherheit

Geburtstag eines Klassikers: Zehn Jahre Europäischer Datenschutztag

Der Datenschutz muss in digitale Produkte eingebaut sein

Incident Response : Datendiebstahl bei ThyssenKrupp

IT-Sicherheitstrends 2017: Datenschutz ist für die Wirtschaft am wichtigsten

Datenstrategie: Top 5 Data-Trends für 2017

Unternehmen sind schlecht auf die neue EU-Datenschutz-Grundverordnung vorbereitet