Der „Jenga-Turm“ der Datensicherheit

Der auf dem Buch von Michael Lewis basierende aktuelle Film „The Big Short“ beschäftigt sich mit dem Platzen der amerikanischen Immobilienblase. Beziehungsweise damit, wie eine Gruppe von Wall-Street-Freaks den Zusammenbruch...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 13. Oktober 2023

Der auf dem Buch von Michael Lewis basierende aktuelle Film „The Big Short“ beschäftigt sich mit dem Platzen der amerikanischen Immobilienblase. Beziehungsweise damit, wie eine Gruppe von Wall-Street-Freaks den Zusammenbruch des Hypothekenmarkts voraussieht. Keiner der Anhaltspunkte war ein großes Geheimnis.

Und es gibt durchaus Parallelen zum Thema Datensicherheit. Eine Hypothese könnte sein, dass es eine Reihe offensichtlicher Anzeichen dafür gibt, dass ein Unternehmen vielleicht nur ein paar Hacking-Angriffe weit von einem Kollaps entfernt ist.

Beweisstück A: In einem seiner Blog-Artikel berichtet Sicherheitsexperte Brian Krebs von neuen Authentifizierungsmethoden bei Google und Yahoo. Google testet neue, passwortfreie Login-Methoden für Gmail aus. Dabei wird eine Benachrichtigung an die für die jeweilige E-Mail-Adresse hinterlegte Handynummer gesendet. Sobald die Anfrage akzeptiert wird, kann der Nutzer ohne Passwort auf Gmail zugreifen.

Yahoo bietet seit Oktober letzten Jahres einen ähnlichen Dienst mit On-Demand-Passwörtern an. Will sich ein Nutzer anmelden, sendet Yahoo einen vierstelligen Zufallscode an ein anderes Gerät. Gibt der Nutzer dann diesen Code auf der Website ein, kann er auf sein Konto zugreifen.

Was Phishern ins Netz geht

Krebs ist diesen Neuerungen gegenüber angemessen skeptisch.

Grundsätzlich sei es zwar immer hilfreich Authentifizierung zu verbessern sagt Krebs. Allerdings ist er auch der Meinung, dass Ansätze wie die beschriebenen lediglich zu raffinierteren Phishing-Angriffen führen werden.

Derartige Systeme könnten anfällig für Man-in-the-Middle-Angriffe sein. Krebs allerdings deutet an, dass Phisher solche Dienste für ihre Zwecke verwenden und gefälschte Benachrichtigungen an Nutzer verschicken könnten. Nachrichten, in denen weitere Informationen angefordert werden.

Hat sich der Dienst erst ein Mal beiderseitig etabliert, so die These, würde unter Umständen nicht mehr so genau hingesehen. Die potenzielle Folge: Passwörter oder Informationen landen bei den Absendern gefälschter Nachrichten. Neben Google und Yahoo testen auch andere Online-Dienste solche und ähnliche Methoden. So wie Unternehmen sich zunehmend für Multifaktor-Authentifizierung entscheiden. Es ist leider ganz und gar nicht auszuschließen, dass dabei die eine oder andere Sicherheitslücke gleich mit entsteht.

Das dunkle Seite des Internets

Neben den Analysen von Brian Krebs sind es vor allen die Unmengen an bei den jüngsten Datenschutzverstößen offengelegten Daten, die als „Beweisstück B“ für die eingangs formulierte Hypothese dienen. Personenbezogene Daten und sensible Informationen sind so über das dunkle Internet in den Besitz von Hackern gelangt. Cyberkriminelle verfügen also über deutlich mehr und bessere Informationen um künftige Phishing- und Social-Engineering-Angriffe vorzubereiten.

Man denke etwa an den gigantischen Sicherheitsvorfall, bei dem über 190 Millionen Datensätze US-amerikanischer Wähler veröffentlicht wurden. Mit Geburtsdatum, E-Mail-Adresse und politischer Zugehörigkeit. Ganz zu schweigen von den massiven Datenschutzverletzungen bei OPM, IRS und denen bei verschiedenen Versicherungsunternehmen.

Ein anderes Beispiel betrifft die Daten im Gesundheitswesen. Es landen enorme Mengen von Gesundheitsinformationen in den IT-Systemen von Unternehmen, die nicht notwendigerweise in diesem Bereich tätig müssen. Gerade diese Informationen sind oftmals so unzureichend geschützt, dass sie in den letzten Jahren immer wieder Hackern in die Hände gefallen sind. Auch solche Daten eignen sich hervorragend, um weitere Angriffe vorzubereiten.

Der „Jenga-Turm“ der Datensicherheit

Doch zurück zum Film „The Big Short“.

In dieser Filmszene demonstriert Ryan Gosling seinen Wall-Street-Kollegen, auf wie schwachen Beinen der Hypothekenmarkt tatsächlich steht.

Dazu verwendet er einen Jenga-Turm, aus dem er nach und nach die unteren Holzsteine entfernt. Schließlich stürzen auch die hochwertigeren Hypothekensteine an der Spitze des Turms ein, weil das Fundament sie nicht mehr ausreichend stützt.

Und diese Analogie lässt sich leicht auf die Themen Datenschutz und Datensicherheit übertragen. Damit beschäftigen sich Konzepte wie das Red-Team-Konzept. Anhand dessen lässt sich auf der Führungsebene eines Unternehmens erklären, warum sich IT-Sicherheit durchaus mit einem Jenga-Tower vergleichen lässt.

Ganz oben in diesem Turm sind starker Schutz am Perimeter und Datenverschlüsselung angesiedelt. Doch darunter findet man oftmals nur unzureichend gesicherte Daten. Und in Richtung Fundament des Turms sieht es noch schlechter aus: nur wenig effektive Authentifizierungsmethoden, schwache Passwortrichtlinien, eine verzögerte Patch-Verwaltung und eine Datenüberwachung, die nicht der Norm entspricht.

Die Hand des Mitarbeiters am Turm symbolisiert die Angriffsversuche, die ein Hacker schon unternommen hat. Dank bereits gestohlener Daten und anhand sensibler Informationen, die er auf der dunklen Seite des Internet erstanden hat (Malware, personenbezogene Daten, gestohlene Anmeldedaten), weiß der Angreifer, welche Holzsteine er aus dem Fundament ziehen muss, um leichter an die nächste Schicht schlecht geschützter Daten zu gelangen.

Und das bringt schließlich den kompletten Turm zum Einsturz. Auch für die CIOs unter den Zusehern ein eindringliches Bild.

Man kann wohl kaum davon ausgehen, dass es 2016 ein IT-Pendant zur weltweiten Finanzkrise geben wird, bei dem Online-Handel und Internet quasi eingefroren werden. Doch dass die IT-Datensicherheit auf einem wackeligeren Fundament steht als den meisten lieb ist, davor warnen IT-Sicherheitsexperten seit Jahren.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

varonis-nutzen:-mit-der-datenklassifizierung-beginnen
Varonis nutzen: mit der Datenklassifizierung beginnen
von Brian Vecci Hier und anderswo geht es oft um die vielen unterschiedlichen Probleme, mit der die IT bei der Zugriffskontrolle konfrontiert wird. Meiner Erfahrung nach schaffen sich unsere Kunden...
so-reparieren-sie-zugriffsrechte,-ohne-einen-tumult-auszulösen
So reparieren Sie Zugriffsrechte, ohne einen Tumult auszulösen
von Manuel Roldan-Vega Im letzten Post Offene Freigaben in den Griff bekommen ging es um die Herausforderungen bei der Bereinigung offener Freigaben. Eines der Hauptprobleme besteht darin, die Auswirkungen auf...
offene-freigaben-in-den-griff-bekommen
Offene Freigaben in den Griff bekommen
von David Gibson Vor kurzem sprach ich mit einem IT-Administrator, der ein Projekt zur Bereinigung offener Freigaben ins Leben gerufen hatte. Das heißt, sein Team suchte nach Ordnern und SharePoint-Sites,...
freigabeberechtigungen
Freigabeberechtigungen
von David Gibson Manche Organisationen verwenden statt den NTFS-Berechtigungen die Windows-Freigabeberechtigungen für die Dateifreigabe. Dieser Ansatz entspricht zwar nicht den Empfehlungen von Microsoft, weist aber einen entscheidenden Vorteil auf: Freigabeberechtigungen...