von Andy Green
Durch Zufall wurde der Datensicherheitsreport 2012 zu Datenschutzverstößen (DBIR) in dieser Woche zusammen mit den Ergebnissen unserer eigenen Datenschutzumfrage veröffentlicht. Somit scheint es ein idealer Zeitpunkt zu sein, um einen Blick auf den Status quo in Sachen Datenschutzverletzungen zu werfen. Beim ersten Prüfen des jüngsten DBIR scheint sich nicht viel geändert zu haben. Der Report von Verizon verweist jedoch auf zwei wesentliche Resultate, die mein Interesse geweckt haben. Erstens: 80 % der Verstöße könnten durch eine Zwei-Faktor-Authentifizierung leicht vermieden werden und zweitens dauert es immer noch Monate, bis die Mehrzahl der Verstöße erkannt wird.
Wie schon in den vergangenen DBIR-Berichten erwähnt, gehören Hacking und Malware auch in diesem Jahr wieder zu den dominierenden Bedrohungskategorien. Zudem halten sich die Schwierigkeiten für Hacker auch weiterhin äußerst in Grenzen. Und das ist eine positive Formulierung dafür, dass das Knacken von „Vanilla“-Passwörtern – das Erraten oder Wiederverwenden von Kennworten – immer noch die beliebteste Möglichkeit ist, um die Sicherheitsvorkehrungen zu umgehen. Verizon zieht die Schlussfolgerung, dass es genau diese Art von Angriffen ist, die in vier von fünf Fällen benutzt wird, wenn Daten gehackt wurden.
Laut Verizon gibt es eine einfache Lösung für dieses Problem: Passwörter mit einem Faktor (single-factor passords) müssen durch die neue, sicherere Zwei-Faktor-Authentifizierung (TFA) ersetzt werden. Auch Varonis hofft, dass diese TFA zur meist genutzten Authentifizierung werden wird.
Und es gibt einige hoffnungsvolle Anzeichen für diese Entwicklung. In unserer kürzlich veröffentlichten Datenschutzumfrage gaben 47 % der Befragten an, Mehrfaktoren-Authentifizierungen für ihre persönlichen E-Mail-Konten zu nutzen. Wenn sich dieser Trend auch auf betriebliche E-Mails und Intranet-Passwörter ausweitet, können wir vielleicht endlich einen Rückgang in dieser wenig anspruchsvollen und dennoch extrem effektiven Art der Kennwort-Angriffe beobachten. Ich werde später im Jahr auf diese Entwicklungen noch ein Mal zurückkommen.
Ein weiterer wichtiger Punkt, den Verizon macht, ist, dass Unternehmen über die Prävention hinaus denken und eine zweite Verteidigungslinie aufbauen müssen, die auf schneller Erkennung und Reaktion basiert. Prävention ist zwar weiterhin wichtig, aber keine Sicherheitsbarriere ist hieb- und stichfest was Hacker anbelangt.
Die Studie dokumentiert, dass die Zeitspanne zwischen dem ersten Angriff und der ersten Gegenmaßnahme deutlich zu lang ist: 67 % der Vorfälle werden sogar erst nach mehreren Monaten erkannt. Noch entmutigender ist jedoch die Tatsache, dass die meisten Unternehmen – in etwa 70 % der Fälle – von ihren Kunden und anderen Dritten (Vollzugsbehörden, Regierungsstellen) über den Verstoß informiert werden und nicht von ihren eigenen IT-Abteilungen.
Der klassische (und bedrückende) Unterschied zwischen physischen und virtuellen Barrieren? Der Inhaber eines Juweliergeschäfts hängt ein Spielzeugschloss an die Tür, verzichtet auf die Installation eines Alarmsystems und wartet darauf, dass ein Kunde ihn darauf hinweist, dass ein Diamantenring nicht länger in der Vitrine liegt.
Ich möchte diesen Blog mit einem Link den Sicherheitskategorien und -kontrollen des SANS-Instituts beenden, die im DBIR erwähnt werden, und die wir auch bei Varonis wärmstens empfehlen. Die Kontrolle der Kontenüberwachung ist ein guter Ausgangspunkt für sämtliche Programme zur Datensicherheit und zum Datenschutz.
Der Grundsatz von Überwachung und Kontrolle von Konten ist schnell erläutert, die effektive Umsetzung mit herkömmlichen Verfahren ist jedoch praktisch unmöglich; dazu gehören die Überwachung von Zugriffen und Zugriffsrechten auf Daten und die Benachrichtigung von Administratoren bei Verhaltensanomalien die auf einen potenziellen Verstoß hinweisen könnten.
Ganz nebenbei erwähnt, kenne ich eine Software, die genau dieses Problem effektiv löst.
Bildquelle: Paligari
The post Der Status Quo in Sachen Datenschutzverletzungen appeared first on Varonis Deutsch.