Die Panama Papers: „Datenlecks“ von diesem Ausmaß, die neue Normalität?

Yaki Faitelson, Co-Founder, Chairman und CEO von Varonis Systems Ein kleines Gedankenspiel: Stellen Sie sich vor eine Bank auszurauben ist so einfach geworden, dass sich die Schlagzeilen lediglich damit befassen,...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 30. Juni 2022

Yaki Faitelson, Co-Founder, Chairman und CEO von Varonis Systems

Ein kleines Gedankenspiel: Stellen Sie sich vor eine Bank auszurauben ist so einfach geworden, dass sich die Schlagzeilen lediglich damit befassen, wie viele Steuern die Diebe eigentlich hinterzogen haben. Cyberkriminalität ist inzwischen zur neuen Normalität geworden. Und mittelbar hat das sogar die Berichterstattung zu den Panama Papers beeinflusst. Bezeichnenderweise ging nämlich kaum jemand darauf ein, dass es Mossack Fonseca offensichtlich nicht gelungen ist, die wichtigsten, vertrauliche Vermögenswerte, Dateien und E-Mails, zu schützen, die ihre Kunden und deren Transaktionen identifizieren.

Eine aktuelle Untersuchung von PricewaterhouseCoopers hat kürzlich nicht nur ergeben, dass Cyberkriminalität auf dem besten Weg ist einen der vordersten Plätze bei Fällen von Wirtschaftskriminalität zu belegen, sondern auch, dass lediglich 40 Prozent der amerikanischen Vorstände mehr als einmal pro Jahr abfragen, ob und wie ihr Unternehmen ausreichend auf Veränderungen im Cyberspace vorbereitet ist. Nur: Dateien und E-Mails sind die digitalen Protokolle aller unserer Aktivitäten. Diese enormen Mengen an sogenannten unstrukturierten Daten enthalten in aller Regel die wichtigsten Vermögenswerte eines Unternehmens. Daten, von denen Firmen die meisten haben, über die sie aber im Umkehrschluss am wenigsten wissen.

Risiko „geteilte Ordner“ und Insider-Bedrohungen

Wir haben uns die Mühe gemacht Risikobewertungen zu analysieren, die wir vor kurzem bei etlichen Unternehmen durchgeführt haben. Ergebnis: mehr als 25 Prozent aller geteilten Ordner in einem durchschnittlichen Unternehmen waren nicht zugriffsbeschränkt, also sämtlichen Mitarbeitern frei zugänglich. Inzwischen wissen wir aber, dass nahezu alle Datenschutzverstöße über kompromittierte Konten von Insidern erfolgen. Dabei spielt es keine Rolle, ob es sich um einen externen Angreifer handelt, einen eigenen Mitarbeiter mit wenig ehrenhaften Absichten oder ob ein Angestellter nur versehentlich eine E-Mail mit einem verseuchten Malware-Anhang geöffnet hat.

Dazu kommt „CEO-Phishing“

Aber auch das Postfach des CEOs oder Geschäftsführers ist ein ausgezeichneter Ansatzpunkt, um sich einen Überblick zu verschaffen. Gerade in Verbindung mit E-Mail-Kommunikation besteht eine der größten Sicherheitsherausforderungen darin, dass Postfächer mit wichtigen Informationen nur unzureichend geschützt sind. Das liegt vor allem daran, dass Geschäftsführer beispielsweise mit Assistenten und anderen Personen zusammenarbeiten, die ebenfalls auf diese Postfächer zugreifen dürfen. Nicht selten gibt es einen oder mehrere Administratoren, denen das sogar langfristig gestattet wird. Was und wie in den Postfächern an Aktivitäten allerdings vor sich geht wird nur sehr selten protokolliert und analysiert. Das erschwert es einen Missbrauch von Daten rechtzeitig zu erkennen oder den Diebstahl zu verhindern.

Als die Panama Papers enthüllt wurden, hat Mossack Fonseca in einer Aussage auf eine „unbefugte undichte Stelle“ verwiesen. Es wurde weithin angenommen, es habe sich um einen externen Angriff gehandelt. Nur, wie wahrscheinlich ist es tatsächlich, dass 2,6 Terabyte an Daten unbemerkt über das Internet herausgeschleust werden?

Was uns Cyberkriminalität kostet – Wider den „blinden Fleck“

Die finanziellen Folgen sind bei der Auswertung von Cyberkriminalität häufig nur schwer zu beziffern. PwC hat allerdings mit einer vergleichsweise hohen Anzahl von Geschäftsführern sprechen können, daher gab es deutlich mehr konkrete Daten als bei anderen Erhebungen. „Eine Handvoll der Befragten (in etwa 50 Unternehmen) hatte angegeben, Verluste von mehr als 5 Millionen USD erlitten zu haben und wiederum ungefähr ein Drittel von ihnen, dass es zu Verlusten in Verbindung mit Cyberkriminalität von mehr als 100 Millionen USD gekommen sei.“ Eine Studie von IBM und dem Ponemon Institut aus dem Jahr 2015 bezifferte die durchschnittlichen Kosten eines Datenschutzverstoßes mittlerweile auf 6,5 Millionen USD.

Ganz offensichtlich messen wir unseren Daten einen besonders hohen Wert zu. Es stellt sich die nicht ganz unberechtigte Frage, warum wir diese Daten nicht besser schützen. Offensichtlich unterschätzen wir immer noch beides: wie wertvoll diese Daten tatsächlich und wie verwundbar sie gleichzeitig sind.

Daten geraten in Vergessenheit, werden aber beispielsweise nur selten gelöscht. Der dramatische Anstieg bei Ransomware zeigt deutlich wie anfällig unstrukturierte Daten sind. Firmen haben immer noch große Schwierigkeiten Ransomware zu erkennen bevor bereits große Dateimengen beschädigt wurden. Andere Bedrohungen sind häufig sogar noch viel später oder gar nicht zu erkennen. Die Wiederherstellungskosten sind dann meist deutlich höher. Um die aktuelle Generation besonders hinterhältiger Malware zu erkennen, fehlt oft die passende Ausrüstung. Dazu kommt, dass es mittlerweile bereits Hacking-Angriffe gibt, die ganz ohne Malware auskommen.

Kurz gesagt: Was den Schutz unstrukturierter Informationen anbelangt, haben die meisten Unternehmen einen blinden Fleck von nicht zu unterschätzender Größe. Und zwar einen, der sie einiges kosten kann. Wollen Firmen das ändern, müssen sie zunächst das Risiko bewerten und einschätzen, den Datenschutz auf dieser Basis verbessern und vor allem die Filesysteme im Detail überwachen. Verstöße sind dann schneller aufzuspüren, was Schaden und Kosten gleichermaßen in Grenzen hält. Dann schaffen wir es vielleicht in eine neue Normalität, bei der wir nicht mehr von dramatischen Datendiebstählen am helllichten Tag überrascht werden.

Der Beitrag ist ursprünglich und im vollen englischen Wortlaut erschienen in xconomy.com vom 26. April 2016.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

die-eu-richtlinie-für-netz--und-informationssicherheit
Die EU-Richtlinie für Netz- und Informationssicherheit
Wir haben uns in letzter Zeit vor allem mit der EU-Datenschutz-Grundverordnung (DS-GVO) beschäftigt, doch es gibt noch eine weitere erwähnenswerte EU-Sicherheitsinitiative. Die Richtlinie für Netz- und Informationssicherheit (NIS-RL) soll für...
wie-sie-dsgvo-daten-mit-varonis-entdecken
Wie Sie DSGVO-Daten mit Varonis entdecken
Die DSGVO tritt in weniger als 40 Tagen in Kraft – aber es ist noch früh genug, um sich vorzubereiten. Der erste Schritt für die Vorbereitung auf die drohende Deadline…
von-it-sicherheitsexperten-lernen
Von IT-Sicherheitsexperten lernen
Die Autoren dieses Blogs haben inzwischen mit etlichen Sicherheitsexperten aus den unterschiedlichsten Bereichen gesprochen: mit Penetrationstestern, Anwälten, CDOs, Datenschützern, IT-Experten und sogar einem IT-Security-Guru. Wir haben die wichtigsten Analysen und...
cybercrime-im-21.-jahrhundert:-reine-verteidigung-hinkt-hinterher
Cybercrime im 21. Jahrhundert: Reine Verteidigung hinkt hinterher
Auch wenn es selten vorkommt, es kommt vor: Themen wie Datenschutz und Cyberattacken haben es nicht nur in die Schlagzeilen der Tageszeitungen und abendlichen Nachrichtensendungen geschafft. Mittlerweile beschäftigen sich sogar...