Schutz vertraulicher Daten: Phishing bedroht Unternehmen und private Internetnutzer

foto-cc0-pixabay-paulbr75-phising-pier

foto-cc0

Phishing ist keine besonders neue Taktik, um an fremde Daten zu gelangen – und dennoch werden regelmäßig erfolgreiche Kampagnen bekannt. Unternehmen versuchen deshalb, den Erfolg von Phishing-Angriffen zu verhindern, indem sie das Sicherheitsbewusstsein der Mitarbeiter fördern. Dies sollte auch ein zentraler Bestandteil der Sicherheitsstrategie sein. Doch trotz aller Anstrengungen fallen einzelne Benutzer weiterhin auf die Masche der Angreifer herein. Die IT-Sicherheitsexperten haben fünf Maßnahmen formuliert, wie man sich effektiv vor Phishing schützen kann.

»Zunächst gilt es jedoch zu klären, was Unternehmen und Institutionen schützen wollen, bevor es darum geht, wie dies geschehen soll. Welche geschäftskritische oder vertrauliche persönlichen Daten sind gefährdet? Ist es der Software-Quellcode der Entwicklungsabteilung, sind es die Daten der Schüler in den Lehrerzimmer-PCs, Patientenakten im Krankenhaus oder wichtige Unterlagen zur bevorstehenden Fusion zweier Unternehmen?«, erklärt Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. »Je nachdem, wie kritisch die Daten sind, sollte auch der Schutzbedarf eingestuft werden.«

Die nächste Frage wäre, wie die Daten geschützt werden können, auch wenn ein Phishing-Versuch erfolgreich war, d.h. der Angreifer bereits den Fuß in die Tür gesetzt hat.

Um ein hohes Niveau an Sicherheit zu erzielen, empfiehlt Palo Alto Networks die folgenden fünf Maßnahmen:

  1. Umsetzung des Prinzips der geringsten Rechte. Bestimmte Daten, die es zu schützen gilt, müssen nicht für alle Mitarbeiter zugänglich sein. Dieses Prinzip scheint einfach, wird aber nicht immer befolgt. Bei einer hochkarätigen Datenschutzverletzung bei einem großen US-Einzelhändler stahlen die Angreifer die Anmeldedaten eines Drittanbieters und installierten dann Memory-Scraping-Malware auf über 7.500 SB-Kassenterminals. Dieser Drittanbieter hätte nicht Zugang zu Tausenden von POS-Terminals haben sollen.
    Um das Prinzip der geringsten Rechte zu verfolgen, gilt es zu identifizieren, wer Zugriff auf sensible Daten haben muss. Rollenbasierte Zugriffsverwaltung stellt sicher, dass der Zugriff überwacht wird. Darüber hinaus können Zugangskontrollen für jede Anwendung eingerichtet werden – durch Benutzerkontrolle mittels einer Next-Generation-Firewall, die den gesamten Netzwerkverkehr überwacht. Die Implementierung benutzerbasierter Zugriffsrichtlinien in der Firewall schützt sensible Daten, egal ob diese im Rechenzentrum, in einer privaten oder öffentlichen Cloud vorgehalten werden.
  2. Hohe Integrität der Benutzeridentifizierung. Die Zugriffskontrolle wird an mehreren Stellen implementiert. Beispielsweise identifizieren sich Benutzer zuerst am Endpunkt und dann werden Authentifizierungs- und Autorisierungs-Checks am VPN-Gateway, WLAN-Controller, an der Firewall und schließlich an der Anwendung ausgeführt. Die Benutzerkennung auf jeder Ebene muss hochgradig zuverlässig sein. Dies bedeutet erstens, dass Benutzer, die sich mit dem Netzwerk verbinden, innerhalb kürzester Zeit identifiziert werden müssen. Zweitens ist bei dynamischen Umgebungen eine schnelle Aktualisierung entscheidend, da Anwender von einer IP-Adresse zu einer anderen wechseln. Eine Möglichkeit ist hier der Einsatz von Zertifikaten auf Benutzerendpunkten. Es gilt dann sicherzustellen, dass die Firewall diese Benutzeridentität mit geringer Latenz erfasst, um unmittelbar die benutzerbasierte Zugriffskontrolle zu erzwingen.
  3. Den Zugriff auf Anwendungen festlegen, nicht auf Server-IP-Adressen. Bislang wurde der Zugriff auf Anwendungen unter Verwendung von IP-Adressen definiert. Im heutigen Umfeld, in dem sich Anwendungen bewegen, sogar von der privaten in die öffentliche Cloud, ist es notwendig, den Zugriff auf Anwendungen zu definieren, nicht auf IP-Adressen. Die Sicherheitslösung, wie etwa eine Firewall, sollte in der Lage sein, bekannte Anwendungen zu identifizieren und die Möglichkeit bieten, kundenspezifische Anwendungen zu definieren.
  4. Nutzung von Benutzergruppen. Definieren Sie den Zugriff auf Anwendungen mittels Benutzergruppen anstelle von bestimmten, jeweils benannten Benutzern. Warum? Diese Methode ist skalierbar und sicher. Wird eine Gruppe definiert, die Zugriff auf die Daten haben muss, können Benutzer ganz einfach hinzugefügt oder entfernt werden, ohne die Zugriffsrichtlinie auf der Sicherheitshardware verändern zu müssen. Die Gruppen können dabei in den Verzeichnisservern angelegt sein oder nicht. Wenn nicht, gilt es mit den Administratoren der Verzeichnisdienste hierfür eine Vorgehensweise zu definieren. Zum Beispiel kann eine Untergruppe von einer kleinen Anzahl Personen auf der Grundlage spezifischer Attribute angelegt werden. Sobald jemand das Unternehmen verlässt, wird der Benutzer aus der Gruppe im Verzeichnisserver entfernt und verliert automatisch Zugriff auf die sensiblen Daten.
  5. Regelmäßige Audits und Überprüfung der Zugriffsregeln. Richtlinien verändern sich. Alte Anwendungen werden stillgelegt und neue eingeführt. Unternehmen können akquiriert werden, was Anpassungsbedarf nach sich zieht. Wie lässt sich nun sicherstellen, dass die Zugriffsrichtlinien, die vor Monaten definiert wurden, noch relevant und aktuell sind? Hierzu müssen regelmäßige Überprüfungsprozesse eingerichtet werden, in die auch die Unternehmensführung mit einbezogen werden muss. Interne Audits oder die Sicherheitsprüfung für bestimmte Datenbestände gewährleisten, dass das nötige Sicherheitsniveau stets in adäquatem Maße aufrechterhalten bleibt.

Datendiebstahl per USB-Stick: Wie Unternehmen und Behörden diese Gefahr verhindern können

Laut Idaho National Labratory stecken weltweit mehr als 20 Prozent der Mitarbeiter gefundene USB-Sticks ohne vorherige Sicherheitschecks in ihren Computer. Kein Wunder, dass sich da zuletzt die gefährlichen Angriffe auf Unternehmensdaten mit USBs gehäuft haben. Das IT-Security-Unternehmen Forcepoint erläutert in drei kurzen Tipps, wie Unternehmen dieser Gefahr vorbeugen können.

  1. Verhaltensstandard festlegen

Zunächst müssen Unternehmen alle wichtigen Endpunkte ihrer IT-Umgebung unter Berücksichtigung und Einhaltung der vorgeschriebenen Datenschutzrichtlinien überwachen. Die so ermittelten Daten werden auf sich wiederholende Tätigkeiten und Standardaktivitäten hin analysiert. Aus diesen Erkenntnissen erlernt die Lösung einen unternehmensspezifischen Verhaltensstandard, der als Vergleichsgrundlage dient, um davon abweichende Aktivitäten zu identifizieren.

  1. Abweichende Verhaltensmuster erkennen

Verändert sich beispielsweise das Zugriffsverhalten auf eine Datenbank, werden Daten oder E-Mails außerhalb der gewöhnlichen Arbeitszeiten verschickt, große Datenmengen u.a. auf USB-Sticks verschoben oder klassifizierte Informationen manipuliert, meldet die Sicherheitslösung eine Abweichung gegenüber dem Verhaltensstandard. Auch Compliance-widrige Aktivitäten, die von Bots durchgeführt werden, werden erkannt. Mit Hilfe von Malware stehlen sie die digitalen Identitäten der Mitarbeiter und richten in deren Namen unbemerkt Schaden im System an.

  1. Gefährliche Aktivitäten abwehren

Der Administrator erhält in Echtzeit Systemwarnungen, die nach Gefahren-Level und Auffälligkeiten hin priorisiert werden. Er muss sich also nicht mehr durch einen Berg von Meldungen durcharbeiten und diese selber qualifizieren, sondern kann den Diebstahl unmittelbar stoppen. Einige Aktionen, wie beispielsweise der Versand von streng vertraulich klassifizierten Daten, werden ohne weiteres Zutun des Administrators automatisiert gestoppt. Das ermöglicht auch die Erkennung und Verhinderung von Cyberthreats, wie dem 20-Sekunden-Datendiebstahl durch USB-Sticks.

Datendiebstahl durch externe Datenträger ist nur ein Beispiel für die Vielzahl an internen Cyberthreats mit denen Unternehmen täglich kämpfen.


Phishing-Angriffe stoppen: So erkennen Sie bösartige E-Mails

Netflix Phishing-Scam

Selbst erfahrene Benutzer sind anfällig für Phishing

Und immer wieder Phishing

Phishing-Attacken – So schützen Sie sich und Ihre Firma

Phishing-Abwehr: datenschutzrechtliche Bedenken – Gutachten empfiehlt Redacting

Phishing-Attacken erneut stark gestiegen

Betrügerische Marken in den sozialen Netzen

Die wichtigsten Tipps: Mehr Cybersicherheit (nicht nur) für Anwaltskanzleien

Schreiben Sie einen Kommentar