Die Panama Papers: „Datenlecks“ von diesem Ausmaß, die neue Normalität?

Yaki Faitelson, Co-Founder, Chairman und CEO von Varonis Systems

Ein kleines Gedankenspiel: Stellen Sie sich vor eine Bank auszurauben ist so einfach geworden, dass sich die Schlagzeilen lediglich damit befassen, wie viele Steuern die Diebe eigentlich hinterzogen haben. Cyberkriminalität ist inzwischen zur neuen Normalität geworden. Und mittelbar hat das sogar die Berichterstattung zu den Panama Papers beeinflusst. Bezeichnenderweise ging nämlich kaum jemand darauf ein, dass es Mossack Fonseca offensichtlich nicht gelungen ist, die wichtigsten, vertrauliche Vermögenswerte, Dateien und E-Mails, zu schützen, die ihre Kunden und deren Transaktionen identifizieren.

Eine aktuelle Untersuchung von PricewaterhouseCoopers hat kürzlich nicht nur ergeben, dass Cyberkriminalität auf dem besten Weg ist einen der vordersten Plätze bei Fällen von Wirtschaftskriminalität zu belegen, sondern auch, dass lediglich 40 Prozent der amerikanischen Vorstände mehr als einmal pro Jahr abfragen, ob und wie ihr Unternehmen ausreichend auf Veränderungen im Cyberspace vorbereitet ist. Nur: Dateien und E-Mails sind die digitalen Protokolle aller unserer Aktivitäten. Diese enormen Mengen an sogenannten unstrukturierten Daten enthalten in aller Regel die wichtigsten Vermögenswerte eines Unternehmens. Daten, von denen Firmen die meisten haben, über die sie aber im Umkehrschluss am wenigsten wissen.

Risiko „geteilte Ordner“ und Insider-Bedrohungen

Wir haben uns die Mühe gemacht Risikobewertungen zu analysieren, die wir vor kurzem bei etlichen Unternehmen durchgeführt haben. Ergebnis: mehr als 25 Prozent aller geteilten Ordner in einem durchschnittlichen Unternehmen waren nicht zugriffsbeschränkt, also sämtlichen Mitarbeitern frei zugänglich. Inzwischen wissen wir aber, dass nahezu alle Datenschutzverstöße über kompromittierte Konten von Insidern erfolgen. Dabei spielt es keine Rolle, ob es sich um einen externen Angreifer handelt, einen eigenen Mitarbeiter mit wenig ehrenhaften Absichten oder ob ein Angestellter nur versehentlich eine E-Mail mit einem verseuchten Malware-Anhang geöffnet hat.

Dazu kommt „CEO-Phishing“

Aber auch das Postfach des CEOs oder Geschäftsführers ist ein ausgezeichneter Ansatzpunkt, um sich einen Überblick zu verschaffen. Gerade in Verbindung mit E-Mail-Kommunikation besteht eine der größten Sicherheitsherausforderungen darin, dass Postfächer mit wichtigen Informationen nur unzureichend geschützt sind. Das liegt vor allem daran, dass Geschäftsführer beispielsweise mit Assistenten und anderen Personen zusammenarbeiten, die ebenfalls auf diese Postfächer zugreifen dürfen. Nicht selten gibt es einen oder mehrere Administratoren, denen das sogar langfristig gestattet wird. Was und wie in den Postfächern an Aktivitäten allerdings vor sich geht wird nur sehr selten protokolliert und analysiert. Das erschwert es einen Missbrauch von Daten rechtzeitig zu erkennen oder den Diebstahl zu verhindern.

Als die Panama Papers enthüllt wurden, hat Mossack Fonseca in einer Aussage auf eine „unbefugte undichte Stelle“ verwiesen. Es wurde weithin angenommen, es habe sich um einen externen Angriff gehandelt. Nur, wie wahrscheinlich ist es tatsächlich, dass 2,6 Terabyte an Daten unbemerkt über das Internet herausgeschleust werden?

Was uns Cyberkriminalität kostet – Wider den „blinden Fleck“

Die finanziellen Folgen sind bei der Auswertung von Cyberkriminalität häufig nur schwer zu beziffern. PwC hat allerdings mit einer vergleichsweise hohen Anzahl von Geschäftsführern sprechen können, daher gab es deutlich mehr konkrete Daten als bei anderen Erhebungen. „Eine Handvoll der Befragten (in etwa 50 Unternehmen) hatte angegeben, Verluste von mehr als 5 Millionen USD erlitten zu haben und wiederum ungefähr ein Drittel von ihnen, dass es zu Verlusten in Verbindung mit Cyberkriminalität von mehr als 100 Millionen USD gekommen sei.“ Eine Studie von IBM und dem Ponemon Institut aus dem Jahr 2015 bezifferte die durchschnittlichen Kosten eines Datenschutzverstoßes mittlerweile auf 6,5 Millionen USD.

Ganz offensichtlich messen wir unseren Daten einen besonders hohen Wert zu. Es stellt sich die nicht ganz unberechtigte Frage, warum wir diese Daten nicht besser schützen. Offensichtlich unterschätzen wir immer noch beides: wie wertvoll diese Daten tatsächlich und wie verwundbar sie gleichzeitig sind.

Daten geraten in Vergessenheit, werden aber beispielsweise nur selten gelöscht. Der dramatische Anstieg bei Ransomware zeigt deutlich wie anfällig unstrukturierte Daten sind. Firmen haben immer noch große Schwierigkeiten Ransomware zu erkennen bevor bereits große Dateimengen beschädigt wurden. Andere Bedrohungen sind häufig sogar noch viel später oder gar nicht zu erkennen. Die Wiederherstellungskosten sind dann meist deutlich höher. Um die aktuelle Generation besonders hinterhältiger Malware zu erkennen, fehlt oft die passende Ausrüstung. Dazu kommt, dass es mittlerweile bereits Hacking-Angriffe gibt, die ganz ohne Malware auskommen.

Kurz gesagt: Was den Schutz unstrukturierter Informationen anbelangt, haben die meisten Unternehmen einen blinden Fleck von nicht zu unterschätzender Größe. Und zwar einen, der sie einiges kosten kann. Wollen Firmen das ändern, müssen sie zunächst das Risiko bewerten und einschätzen, den Datenschutz auf dieser Basis verbessern und vor allem die Filesysteme im Detail überwachen. Verstöße sind dann schneller aufzuspüren, was Schaden und Kosten gleichermaßen in Grenzen hält. Dann schaffen wir es vielleicht in eine neue Normalität, bei der wir nicht mehr von dramatischen Datendiebstählen am helllichten Tag überrascht werden.

Der Beitrag ist ursprünglich und im vollen englischen Wortlaut erschienen in xconomy.com vom 26. April 2016.