Zur Vorgehensweise bei der Attacke auf Sony Pictures sind bisher noch nicht alle Details bekannt. Doch das Ausmaß dieses in den Medien stark thematisierten Sicherheitsvorfalls ist gewaltig. Der stets gut informierte, auf Sicherheitsthemen spezialisierte Journalist Brian Krebs weiß im Moment genauso viel wie wir: Eine mögliche Verwicklung Nordkoreas und der vermutete Einsatz zerstörerischer Schadsoftware zur Löschung großer Datenmengen. Sicher ist jedoch, dass uns diese Attacke wichtige Erkenntnisse über unsere kollektiven Datensicherheitsmaßnahmen beschert. Denken Sie nicht, dass der Vorfall bei Sony nichts mit Ihnen zu tun hat!
Brian Krebs hat einen Link zur ellenlangen Verzeichnishierarchie von Sony zur Verfügung gestellt. Einen Teil davon haben wir unten abgebildet. Dies sollte alle Zweifel über das Ausmaß der Sache ein für alle Mal ausräumen.
Dazu möchte ich einige Punkte anmerken.
Im Gegensatz zu den Vorfällen bei Einzelhandelskonzernen geht es bei dieser Attacke nicht vorrangig um personenbezogene Daten. Sicher wurden auch Sozialversicherungsnummern von Mitarbeitern, E-Mail-Adressen, Passwörter und Gesundheitskennzahlen entwendet, die nun die ganze Welt sehen kann. Doch beim Sony-Hack wurden nicht Millionen von Kundendatensätzen gestohlen, es mussten weder neue Kreditkartennummern ausgestellt noch Dienstleistungen zur Kreditüberwachung in Anspruch genommen werden.
Dagegen zielte diese Attacke auf sensible Daten ab, vielleicht sogar wertvolles geistiges Eigentum, das sich in den 25 Gigabyte an Dateien befand, die sich die Hacker unter den Nagel gerissen haben. Die gestohlenen Informationen sollten jedem Mitarbeiter eines größeren Unternehmens nur allzu bekannt vorkommen: lesbare Dateien und E-Mails oder, wie wir sie gerne nennen, unstrukturierte, nutzergenerierte Daten. Dazu gehören Mitarbeitergehälter, Finanzdaten, interne Präsentationen, hoch geheime Unternehmensinformationen, juristische Dokumente, private Notizen des CEO und vieles mehr.
Es sollte nicht unerwähnt bleiben, dass sich unter den entwendeten Daten auch Passwörter befanden, die in normalen Textdateien unter dem Namen „passwords“ gespeichert waren. Meine Kollegin Cindy Ng hat dazu diesen Artikel gefunden. Damit hat das Unternehmen zweifellos gegen die grundlegendsten Regeln für den Umgang mit Zugangsdaten verstoßen. Am besten informieren Sie sich zusätzlich diesem E-Book von Varonis, das weitere No-Gos zur Passwortvergabe enthält.
Insgesamt gehen wir davon aus, das dies nur ein öffentlich gewordener Fall eines grundlegenden Problems von Unternehmen weltweit ist. Die Menge der von Menschen lesbaren Informationen steigt exponentiell an. Diese Dokumente befinden sich auf Laufwerken, im Intranet und in E-Mail-Anhängen, auf die viel zu viele Personen weitaus umfassendere Zugriffsrechte besitzen, als dies eigentlich nötig wäre. Zudem wird selten überwacht wie die Dateien verwendet werden oder potenzieller Missbrauch überprüft.
Dabei sollte keiner den ersten Stein werfen: Wir alle waren oder sind Sony.
Wie andere Sicherheitsvorfälle bereits gezeigt haben, können große Mengen sensibler Daten offengelegt werden, sobald das E-Mail-Konto eines einzigen Mitarbeiters gehackt wird. Wahrscheinlich gelangten die Hacker mithilfe von „Pass-the-Hash“- und anderen Techniken an Zugangsdaten, die nicht unbedingt von Administratoren mit erweiterten Berechtigungen oder Power-Usern stammten. Die so ergatterten Gruppenmitgliedschaften und Zugriffsrechte, kombiniert mit einem Dateisystem mit lockerer Berechtigungsstruktur, bescherte den Hackern einen Panoramablick auf die Datenlandschaft von Sony.
Wie geriet die Situation derart außer Kontrolle? Betrachten wir dazu die beiden folgenden Szenarien, die so oder ähnlich in vielen Unternehmen zu beobachten sind.
Szenario 1: Ein Ordner mit sensiblen Daten ist für eine große Nutzergruppe zugänglich
Ein Ordner auf Ihrem Netzlaufwerk wird von der Personalabteilung verwendet – von einigen vielleicht sogar als „Stammverzeichnis“. Eines Tages gibt jemand den Ordner für eine große Nutzergruppe frei (was häufig vorkommt) und vergisst, diese Berechtigungen wieder aufzuheben. Die Informationen zur Nutzung dieses Ordners (also, wer diese Dateien öffnet, erstellt, löscht, ändert und verschiebt) werden weder überwacht noch analysiert (dies ist die Norm).
Mit der Zeit sammeln sich vertrauliche Dateien, zum Beispiel mit Gehalts- und Finanzdaten usw., in diesen öffentlich zugänglichen Ordnern an. Niemand denkt wirklich darüber nach, aber jeder weiß, dass eine bestimmte Präsentation oder Tabellenkalkulation einfach dort herumliegt und die Daten nicht offiziell vom entsprechenden Data Owner angefordert werden müssen. Ein Sicherheitsvorfall ist hier beinahe vorprogrammiert, denn ein Hacker muss nur die Zugangsdaten eines ganz normalen Nutzers in die Finger bekommen – eine einfache Phishing-E-Mail reicht dafür oft schon aus.
Szenario 2: Über den Webbrowser abrufbare Unternehmens-E-Mails werden gehackt
Sie haben den Webbrowser-Zugriff auf Ihr E-Mail-System aktiviert (gehen Sie doch mal zu mail.yourcompany.com oder owa.yourcompan.com), so dass alle Mitarbeiter ihre E-Mails von überall aus nur mit ihrem Passwort abrufen können. Die Nutzungsinformationen zu Ihrem E-Mail-System werden weder dokumentiert noch analysiert (Sie können also nicht sehen, wer E-Mails liest oder versendet, wer sie liest und als ungelesen markiert etc. – dies entspricht ebenfalls der Norm). Ein Hacker gelangt an das E-Mail-Passwort des CEO, vielleicht durch simples Raten. Jetzt kann sich der Angreifer bequem von zu Hause aus anmelden und sämtliche E-Mails (einschließlich der Anhänge) der Geschäftsleitung lesen und keiner wird es bemerken. Auch hier können ausgesprochen wertvolle Informationen, zum Beispiel zu Fusionsverhandlungen, neuen Kunden und viele weitere mehr, in einem lesbaren Format abgegriffen werden.
Wieder eine Lehre
Die Sony-Hacker verschafften sich nicht nur Zugang zu Passwörtern, sondern auch zu Filmetats, Gehältern, Sozialversicherungsnummern, Gesundheitsinformationen und vielem mehr. Und auch aus diesem Sicherheitsvorfall können wir vieles lernen. Er erinnert uns daran, wie wichtig es ist, angemessene Zugriffskontrollen einzuführen, sensible Daten zu identifizieren – wer darauf Zugriff hat, wer sie verwendet, wem sie gehören und auf welche davon die Berechtigungsgruppe „Jeder“ zugreifen kann – und die Ausgabe von Echtzeit-Warnungen einzurichten.
The post Der Sony-Hack aus der Sicht von Varonis appeared first on Varonis Deutsch.