Undichte Server in Neuseeland zeigen Notwendigkeit für Management und Schutz von Informationen

von Rob Sobers Wie ein Permissions Report das Loch der undichten neuseeländischen Server hätte stopfen können Anfang dieser Woche bloggte Keith Ng über massive Sicherheitslücken im Netzwerk des Ministeriums für Soziale Entwicklung...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 17. August 2022

von Rob Sobers

Wie ein Permissions Report das Loch der undichten neuseeländischen Server hätte stopfen können

Anfang dieser Woche bloggte Keith Ng über massive Sicherheitslücken im Netzwerk des Ministeriums für Soziale Entwicklung in Neuseeland (MSD). Von einem öffentlichen Internet-Terminal der Abteilung Arbeit und Einkommen aus gelang es ihm, Zugriff auf Abertausende sensible Daten zu erhalten – ohne ein Passwort entschlüsseln oder einen Trojaner einschleusen zu müssen.

Welche Daten waren betroffen? Ng konnte u. a. die folgenden Informationen durchsuchen, lesen und verändern:

  • Rechnungen und andere Finanzdaten
  • Anrufprotokolle
  • Dateien, die Kinder und deren ärztliche Verschreibungen offenbarten
  • Kinder, die an sonderpädagogischen Förderprogrammen teilnehmen

Eine ziemlich erschreckende Bilanz also.

Wie konnte es soweit kommen?

Es gibt zwei mögliche Ursachen:

1. Der Internet-Terminal war mit einem Administratorkonto (z. B. Domain-Admin) mit uneingeschränktem Zugriff auf alle Daten im Netzwerk angemeldet.

2. Der Terminal war mit einem „normalen“ Konto angemeldet, aber die Berechtigungen für die Daten waren falsch zugewiesen und ermöglichten einen globalen Zugriff.

Ich halte es für ziemlich unwahrscheinlich, dass der Terminal als Administrator angemeldet war, aber ausgeschlossen werden kann dies nicht. Die zweite mögliche Ursache, d. h. fehlerhafte bzw. überschüssige Berechtigungen, ist dagegen ein sehr verbreitetes Problem, mit dem wir bei Varonis buchstäblich jede Woche zu kämpfen haben.

Womit hätte diese Situation verhindert werden können?

Den Internet-Terminal vom Netzwerk zu trennen, wäre nur der erste Schritt, denn der Terminal ist nicht das eigentliche Problem. Beim Management und Schutz von Informationen gibt es weit größere Probleme, die die eigentliche Ursache dieses Datenlecks darstellen.

Im Anschluss finden Sie einige Tipps, um die Hauptursache und nicht nur den Katalysator zu ermitteln:

1. Lokalisieren Sie ungeschützte, sensible Daten

  • Verwenden Sie ein Rahmenwerk zur Datenklassifizierung, um Ihre File-Server zu durchsuchen und zu bestimmen, wo sich Ihr sensibelster Inhalt befindet und wo dieser für zu viele Personen frei verfügbar ist.

Sobald Sie Ihre sensiblen Daten lokalisiert haben, sollten Sie dafür sorgen, dass nur die richtigen Personen darauf Zugriff haben. Im Anschluss daran sollten Sie die Aktivitäten dieser Daten überwachen und sicherstellen, dass berechtigte Benutzer ihre Zugriffsrechte nicht missbrauchen.

Wenn ich ein CSO wäre, möchte ich eine Lösung, die mir zu jeder Zeit genau sagen kann, wo sich meine sensiblen Daten befinden, wo diese nicht geschützt sind und wer darauf zugreifen kann. Wenn jemand eine Datei mit einer Sozialversicherungsnummer oder einer Patienten-ID anlegt und diese in einem öffentlichen Ordner ablegt, der von einem Internet-Terminal aus eingesehen werden kann, will ich, dass mein Team automatisch darüber alarmiert wird.

2. Globale Zugriffsgruppen identifizieren und von den ACL entfernen

  • Finden Sie heraus, wo „Jeder“ oder „Authentifizierte Benutzer“ in den ACL erscheinen und entfernen Sie diese.

Das kann schwierig sein, da es a) nicht gerade einfach ist, jede ACL auf jedem File-Server oder NAS-Device zu durchsuchen und nach „Jeder“ zu suchen und b) globaler Zugriff entzogen werden muss, ohne dabei die Nutzerberechtigungen der Personen zu beeinträchtigen, die die Daten wirklich benötigen.

3. Beobachten Sie Ihre Super-User

  • Richten Sie eine Warnmeldung ein, die immer dann ausgegeben wird, wenn jemandem Super-User-/Administratorberechtigungen eingeräumt werden.
  • Überprüfen Sie regelmäßig die Liste der Personen mit privilegierten Berechtigungen.
  • Prüfen Sie Ihren Audit-Trail, um zu sehen, wofür Super-User ihre ausgeweiteten Berechtigungen nutzen.

Auch wenn der Terminal versehentlich mit einem Super-User-Konto eingerichtet wurde, hätte das MSD durch die Prüfung der Zugriffsaktivitäten den unverhältnismäßig hohen Anteil an Super-User-Aktivitäten von den IP-Adressen der öffentlichen Internet-Terminals aus feststellen sollen.

4. Data Owner zuweisen und einbinden

  • Der Zugriff auf Krankenakten von Kindern sollte nicht von der IT-Abteilung gewährt und geprüft werden, sondern von der für die Patientenverwaltung zuständigen Stelle (z. B. dem ärztlichen Leiter).

Durch die Übertragung dieser Verantwortung an die Person, die die besten Voraussetzungen mitbringt, Entscheidungen über Zugriffskontrollen zu treffen (d. h. Data Owner), erhalten Sie schlussendlich nicht nur bessere Entscheidungen, sondern können auch den Arbeitsaufwand der IT-Abteilung verringern.

Wie schwer kann das sein?

„Anfängerfehler“ oder „Sicherheits-ABC!“ lauteten viele der Kommentare zum Post von Ng. Das Management und der Schutz von Informationen ist aber deutlich schwerer, als angenommen wird; besonders in einem Zeitalter, in dem Daten einer Art ansteckenden Krankheit ähneln, die sich entwickelt und dann mit rasanter Geschwindigkeit ausbreitet.

Ich habe eine einfache Frage an alle diese Kommentatoren: Wie würde die IT-Abteilung des MSD ohne eine automatische Lösung wissen, welche Ordner fälschlicherweise für jedermann zugänglich waren?

In nur wenigen Sekunden kann die Option „Jeder“ versehentlich für eine ACL ausgewählt werden, aber es könnte Jahre dauern, um diesen Fehler in der Zugriffskontrolle zu finden und zu beheben. Schlimmer noch, wie würden Sie nach dem Auffinden wissen, ob diese ungeschützten Daten durch jemanden gestohlen wurden, der nicht so harmlos ist wie Keith Ng?

Das ist die Frage, die sich die Regierung Neuseelands im Moment stellen muss.


Wie sieht es mir Ihrem Datenschutz aus?

Wenn Sie eine kostenlose Auswertung Ihrer Datensicherheit von Varonis erhalten möchten, setzen Sie sich mit uns in Verbindung.

 

The post Undichte Server in Neuseeland zeigen Notwendigkeit für Management und Schutz von Informationen appeared first on Varonis Deutsch.

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

die-vorteile-von-berichten-zu-bedrohungen-und-datenschutzverletzungen
Die Vorteile von Berichten zu Bedrohungen und Datenschutzverletzungen
Berichte zu Bedrohungen und Datenschutzverletzungen können Unternehmen dabei helfen, Sicherheitsrisiken zu verwalten und Strategien zur Bekämpfung zu entwickeln. Lernen Sie unsere drei Säulen der effektiven Datensicherung und die Vorteile solcher Berichte kennen.
die-ersten-90-tage-eines-ciso:-der-ultimative-aktionsplan-und-tipps
Die ersten 90 Tage eines CISO: Der ultimative Aktionsplan und Tipps
In den letzten 10 Jahren ist die Rolle eines CISO ziemlich komplex geworden. Am Ende dieses Blogs verfügen Sie über einen soliden 90-Tage-Plan für den Einstieg in eine neue CISO-Rolle.
verstehen-und-anwenden-des-modells-der-gemeinsamen-verantwortung-in-ihrer-organisation
Verstehen und Anwenden des Modells der gemeinsamen Verantwortung in Ihrer Organisation
Um erhebliche Sicherheitslücken und Risiken für sensible Daten zu vermeiden, müssen Unternehmen verstehen, wie das Modell der gemeinsamen Verantwortung funktioniert, das viele SaaS-Anbieter verwenden.
wie-unternehmen-es-vermeiden,-ihren-kunden-angst-zu-machen
Wie Unternehmen es vermeiden, ihren Kunden Angst zu machen
Die Medien haben dieses Jahr immer wieder von Datenmissbrauch berichtet und die Datenschutzproblematik ist in aller Munde. Dabei wird die Art, wie Unternehmen unsere persönlichen Daten nutzen – über Ortungsdienste,...