Der Sony-Hack aus der Sicht von Varonis

Zur Vorgehensweise bei der Attacke auf Sony Pictures sind bisher noch nicht alle Details bekannt. Doch das Ausmaß dieses in den Medien stark thematisierten Sicherheitsvorfalls ist gewaltig. Der stets gut...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Zur Vorgehensweise bei der Attacke auf Sony Pictures sind bisher noch nicht alle Details bekannt. Doch das Ausmaß dieses in den Medien stark thematisierten Sicherheitsvorfalls ist gewaltig. Der stets gut informierte, auf Sicherheitsthemen spezialisierte Journalist Brian Krebs weiß im Moment genauso viel wie wir: Eine mögliche Verwicklung Nordkoreas und der vermutete Einsatz zerstörerischer Schadsoftware zur Löschung großer Datenmengen. Sicher ist jedoch, dass uns diese Attacke wichtige Erkenntnisse über unsere kollektiven Datensicherheitsmaßnahmen beschert. Denken Sie nicht, dass der Vorfall bei Sony nichts mit Ihnen zu tun hat!

Brian Krebs hat einen Link zur ellenlangen Verzeichnishierarchie von Sony zur Verfügung gestellt. Einen Teil davon haben wir unten abgebildet. Dies sollte alle Zweifel über das Ausmaß der Sache ein für alle Mal ausräumen.

Verzeichnishierarchie von Sony

Dazu möchte ich einige Punkte anmerken.

Im Gegensatz zu den Vorfällen bei Einzelhandelskonzernen geht es bei dieser Attacke nicht vorrangig um personenbezogene Daten. Sicher wurden auch Sozialversicherungsnummern von Mitarbeitern, E-Mail-Adressen, Passwörter und Gesundheitskennzahlen entwendet, die nun die ganze Welt sehen kann. Doch beim Sony-Hack wurden nicht Millionen von Kundendatensätzen gestohlen, es mussten weder neue Kreditkartennummern ausgestellt noch Dienstleistungen zur Kreditüberwachung in Anspruch genommen werden.

Dagegen zielte diese Attacke auf sensible Daten ab, vielleicht sogar wertvolles geistiges Eigentum, das sich in den 25 Gigabyte an Dateien befand, die sich die Hacker unter den Nagel gerissen haben. Die gestohlenen Informationen sollten jedem Mitarbeiter eines größeren Unternehmens nur allzu bekannt vorkommen: lesbare Dateien und E-Mails oder, wie wir sie gerne nennen, unstrukturierte, nutzergenerierte Daten. Dazu gehören Mitarbeitergehälter, Finanzdaten, interne Präsentationen, hoch geheime Unternehmensinformationen, juristische Dokumente, private Notizen des CEO und vieles mehr.

Es sollte nicht unerwähnt bleiben, dass sich unter den entwendeten Daten auch Passwörter befanden, die in normalen Textdateien unter dem Namen „passwords“ gespeichert waren. Meine Kollegin Cindy Ng hat dazu diesen Artikel gefunden. Damit hat das Unternehmen zweifellos gegen die grundlegendsten Regeln für den Umgang mit Zugangsdaten verstoßen. Am besten informieren Sie sich zusätzlich diesem E-Book von Varonis, das weitere No-Gos zur Passwortvergabe enthält.

Insgesamt gehen wir davon aus, das dies nur ein öffentlich gewordener Fall eines grundlegenden Problems von Unternehmen weltweit ist. Die Menge der von Menschen lesbaren Informationen steigt exponentiell an. Diese Dokumente befinden sich auf Laufwerken, im Intranet und in E-Mail-Anhängen, auf die viel zu viele Personen weitaus umfassendere Zugriffsrechte besitzen, als dies eigentlich nötig wäre. Zudem wird selten überwacht wie die Dateien verwendet werden oder potenzieller Missbrauch überprüft.

Dabei sollte keiner den ersten Stein werfen: Wir alle waren oder sind Sony.

Wie andere Sicherheitsvorfälle bereits gezeigt haben, können große Mengen sensibler Daten offengelegt werden, sobald das E-Mail-Konto eines einzigen Mitarbeiters gehackt wird. Wahrscheinlich gelangten die Hacker mithilfe von „Pass-the-Hash“- und anderen Techniken an Zugangsdaten, die nicht unbedingt von Administratoren mit erweiterten Berechtigungen oder Power-Usern stammten. Die so ergatterten Gruppenmitgliedschaften und Zugriffsrechte, kombiniert mit einem Dateisystem mit lockerer Berechtigungsstruktur, bescherte den Hackern einen Panoramablick auf die Datenlandschaft von Sony.

Wie geriet die Situation derart außer Kontrolle? Betrachten wir dazu die beiden folgenden Szenarien, die so oder ähnlich in vielen Unternehmen zu beobachten sind.

Szenario 1: Ein Ordner mit sensiblen Daten ist für eine große Nutzergruppe zugänglich
Ein Ordner auf Ihrem Netzlaufwerk wird von der Personalabteilung verwendet – von einigen vielleicht sogar als „Stammverzeichnis“. Eines Tages gibt jemand den Ordner für eine große Nutzergruppe frei (was häufig vorkommt) und vergisst, diese Berechtigungen wieder aufzuheben. Die Informationen zur Nutzung dieses Ordners (also, wer diese Dateien öffnet, erstellt, löscht, ändert und verschiebt) werden weder überwacht noch analysiert (dies ist die Norm).

Mit der Zeit sammeln sich vertrauliche Dateien, zum Beispiel mit Gehalts- und Finanzdaten usw., in diesen öffentlich zugänglichen Ordnern an. Niemand denkt wirklich darüber nach, aber jeder weiß, dass eine bestimmte Präsentation oder Tabellenkalkulation einfach dort herumliegt und die Daten nicht offiziell vom entsprechenden Data Owner angefordert werden müssen. Ein Sicherheitsvorfall ist hier beinahe vorprogrammiert, denn ein Hacker muss nur die Zugangsdaten eines ganz normalen Nutzers in die Finger bekommen – eine einfache Phishing-E-Mail reicht dafür oft schon aus.

Szenario 2: Über den Webbrowser abrufbare Unternehmens-E-Mails werden gehackt
Sie haben den Webbrowser-Zugriff auf Ihr E-Mail-System aktiviert (gehen Sie doch mal zu mail.yourcompany.com oder owa.yourcompan.com), so dass alle Mitarbeiter ihre E-Mails von überall aus nur mit ihrem Passwort abrufen können. Die Nutzungsinformationen zu Ihrem E-Mail-System werden weder dokumentiert noch analysiert (Sie können also nicht sehen, wer E-Mails liest oder versendet, wer sie liest und als ungelesen markiert etc. – dies entspricht ebenfalls der Norm). Ein Hacker gelangt an das E-Mail-Passwort des CEO, vielleicht durch simples Raten. Jetzt kann sich der Angreifer bequem von zu Hause aus anmelden und sämtliche E-Mails (einschließlich der Anhänge) der Geschäftsleitung lesen und keiner wird es bemerken. Auch hier können ausgesprochen wertvolle Informationen, zum Beispiel zu Fusionsverhandlungen, neuen Kunden und viele weitere mehr, in einem lesbaren Format abgegriffen werden.

Wieder eine Lehre
Die Sony-Hacker verschafften sich nicht nur Zugang zu Passwörtern, sondern auch zu Filmetats, Gehältern, Sozialversicherungsnummern, Gesundheitsinformationen und vielem mehr. Und auch aus diesem Sicherheitsvorfall können wir vieles lernen. Er erinnert uns daran, wie wichtig es ist, angemessene Zugriffskontrollen einzuführen, sensible Daten zu identifizieren – wer darauf Zugriff hat, wer sie verwendet, wem sie gehören und auf welche davon die Berechtigungsgruppe „Jeder“ zugreifen kann – und die Ausgabe von Echtzeit-Warnungen einzurichten.

The post Der Sony-Hack aus der Sicht von Varonis appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

der-andere-sicherheitsaspekt-der-nsa-affäre:-zwei-faktor-authentifizierung
Der andere Sicherheitsaspekt der NSA-Affäre: Zwei-Faktor-Authentifizierung
Wir haben bereits einen Blog-Beitrag dazu veröffentlicht, wie es Edward Snowden gelungen ist, Lücken im porösen Sicherheitssystem der NSA zu nutzen. Er trickste das System aus, indem er entweder Anmeldeinformationen...
was-uns-magic-kingdom-in-sachen-authentifizierung-lehrt-–-kerberos-aus-der-nähe-betrachtet,-teil-ii
Was uns Magic Kingdom in Sachen Authentifizierung lehrt – Kerberos aus der Nähe betrachtet, Teil II
Schon im letzten Blogpost ging es darum, Kerberos anhand von Parallelen des Authentifizierungsprozesses im Magic Kingdom zu erläutern. Natürlich ist dieser Vergleich nicht 1:1 übertragbar, aber er eignet sich wesentlich...
10-menschen-aus-der-infosec,-denen-sie-unbedingt-auf-twitter-folgen-sollten
10 Menschen aus der InfoSec, denen Sie unbedingt auf Twitter folgen sollten
von Steve Franco Twitter ist ein ausgezeichnetes Medium, um fundierte Neuigkeiten über Sicherheitsbelange sozusagen direkt aus der Quelle zu erhalten. Hier finden Sie meine persönliche Liste der 10 wichtigsten Menschen aus...
die-„killing-chain“-durchbrechen
Die „Killing Chain“ durchbrechen
Die Vorteile der User Behavior Analysis (UBA) in der Praxis Viele der massiven Datenschutzverletzungen der letzten Wochen und Monate weisen strukturelle Ähnlichkeiten auf. Sie beginnen beispielsweise bei jemandem, der bereits...