„Falsche“ Zugriffsrechte öffnen Cyberkriminellen Tür und Tor zu den Werten Ihres Unternehmens

17 Sep

  • in DSMS
  • von
  • 0

Die Zahl der Fälle von Cyberkriminalität stieg im Jahr 2019 weiter stetig an. 75 % aller Unternehmen in Deutschland waren Ziel von Angriffen. Besonders stark betroffen ist der Mittelstand. Wer nicht schleunigst diese Bedrohungen erkennt und ausreichend Vorsorge trifft, dem droht neben erheblichem wirtschaftlichem Schaden und empfindlichen Strafen auch ein enormer Vertrauensverlust seiner Kunden, Mitarbeiter und Geschäftspartner. Allein im letzten Jahr ist die Zahl der Angriffe auf Datennetzwerke von Unternehmen auf mehr als 87.000 Angriffe gestiegen und wird damit zu einem wachsenden Problem. Wer nun denkt, dass hauptsächlich große Unternehmen und DAX-Konzerne Ziel von Cyberangriffen sind, der irrt. Insbesondere der deutsche Mittelstand ist ein beliebtes Ziel von Angreifern. Dieser unterschätzt die Gefahren von Cyberkriminalität oft. 92 % der Befragten gaben an, dass Sie das hohe Risiko durch Cyberangriffe zwar wahrnehmen aber nur 50 % von ihnen sehen diese Gefahr auch für ihr eigenes Unternehmen. Dabei handelt es sich jedoch um eine Fehleinschätzung. Vor allem ehemalige Mitarbeiter verursachen Schäden, sowohl vorsätzlich (33 %), als auch nicht vorsätzlich (23 %). Einzeltäter & Hobby-Hacker (38 %), die organisierte Kriminalität (21 %) sowie konkurrierende Unternehmen (20 %) und ausländische Nachrichtendienste (12 %) gehören laut Bitkom ebenfalls zu den Tätern.[1]

Wer hat Begriffe wie Zugang, Zutritt und/oder Zugriff nicht schon sehr oft in Verbindung mit IT- bzw. Informationssicherheit gehört und bringt diese mit Richtlinien, Vorgaben und Kontrolle in Verbindung.
Aber mal ehrlich, wissen wir aus dem Stehgreif, was da jetzt wirklich was bedeutet?

Zeit für eine kurze Erläuterung[2]

  • Zutritt („Draußen vor der Türe“)
    ist der physische Zutritt auf ein (Firmen-)Gelände, in ein Gebäude, in einen bestimmten Raum.
    Möglichkeiten, den Zutritt zu kontrollieren sind z.B. ein Empfang mit Personenkontrolle sowie das Tragen von Mitarbeiter-/ Besucherausweisen, verschlossene Türen inkl. einer Schlüssel- bzw. Chipkartenregelung, Videoüberwachung, …
  • Zugang („Nur für Befugte“)
    definiert die befugte Nutzung von Datenverarbeitungsanlagen, also z.B. Computern, Anwendungen, Systemen. Während die Zutrittskontrolle den physikalischen Zutritt verhindert, unterbindet die Zugangskontrolle die unrechtmäßige Nutzung des Systems Dabei darf der unbefugte Zugang via einer Datenverbindung (z.B. Internet) durch Kriminelle nicht vergessen werden.
    Maßnahmen für eine effektive Zugangskontrolle sind z.B. Bildschirmschoner mit Passwortschutz, PIN-Verfahren, Benutzernamen und Passwort, …
  • Zugriff („Deine, meine, unsere Daten“)
    ist nur befugten Personen gestattet, und zwar auf die Informationen (z.B. Daten, Dokumente, …), die für Ihren Zweck bzw. für die Aufgabenerfüllung notwendig sind. Der Zweck ergibt sich in der Regel durch die Aufgabenzuweisung und den Anwender – Achtung: Hier ist es wichtig, dass grundsätzlich nur mit den notwendigen Rechten der Zugriff durchgeführt wird [gilt vor allem für Nutzer mit privilegierten Rechten (Administratoren)!
    Maßnahmen einer Zugriffskontrolle sind beispielsweise die Erstellung eines Berechtigungskonzepts, Regelungen zum Gebrauch mobiler Datenträger und Endgeräten, die Vergabe entsprechender Nutzerberechtigungen, …

Bereits durch die nähere Betrachtung der drei Begriffe erschließt sich die Wichtigkeit im Unternehmen grundsätzlich zu regeln, wer, was, wo, wie und womit erledigen darf.

 

 

Cyberkriminalität durch falsch gesetzte Zugriffsrechte[3]

Nicht Wirtschaftsspione oder Hacker – die eigenen Mitarbeiter stellen in einigen Bereichen das größte Sicherheitsrisiko für Unternehmen dar. Einen wirksamen Schutz vor Betrug, Diebstahl und Korruption sehen Experten in der kontrollierten Vergabe (also dem Management) von Zugriffsrechten.

Hierzu analysieren Sie zunächst die vorhandenen Berechtigungen auf Basis der tatsächlich notwendigen Rechte zur beabsichtigten Aufgabenerfüllung und machen somit eventuell vorhandene Sicherheitslücken ausfindig. Im Anschluss erfolgt die Einführung einer Berechtigungsmatrix (Übersicht) mittels einheitlicher Rollen und einem Prozess zur Beantragung und Genehmigung von Rechten für Zutritt, Zugang und Zugriff. Damit werden nur autorisierten Anwendern die benötigten Rechte gewährt

Rollen/ Nutzer mit privilegierten Rechten müssen regelmäßig auf folgende Fragen hin überprüft werden:

  • Wem sind sie zugeordnet und welche übergeordneten Gruppen oder Rollen nutzen sie?
  • Welche Aktivitäten führen die mit privilegierten Rechten ausgestatteten Nutzer aus?

 

Grundlagen für ein funktionierendes Berechtigungskonzept[4]

  • Stellen Sie sicher, dass die Liste (privilegierter) Konten aktuell ist
  • Beschränken Sie Rechte und Zugriff für jedes einzelne Konto bzw. Benutzergruppen
    Jedes Konto besitzt nur die Rechte, die zur Ausführung der damit verbundenen Aufgaben erforderlich sind.
  • Deaktivieren/ Löschen Sie nicht mehr genutzte Konten
    Beachten Sie auch Änderungen der vergebenen Berechtigungen auch bei Veränderungen der Rolleninhaber, sei es durch eine Funktionsänderung innerhalb des Unternehmens oder durch das Ausscheiden aus dem Unternehmen oder einer Abteilung. Bei externen Auftragnehmern sollte die Berechtigung mit Abschluss des Auftrags/ Projektes entzogen werden.
  • Implementieren Sie eine Passwortrichtlinie
    Diese enthält z.B. die routinemäßige Änderung von Standardpasswörtern und die Mindestforderung für ein sicheres Passwort im Unternehmen.
  • Schulen Sie die Anwender und schaffen Sie Awareness!

 

Cyberattacken durch Innentäter[5]

Bei Cyber-Angreifern denken viele Unternehmen an Hacker aus dem Internet. Doch die Täter sind in den meisten Fällen die eigenen Mitarbeiter oder befugte Dritte, z.B. Dienstleister. Innentäter müssen keine Zugriffsrechte erlangen, sie haben sie bereits. Insider-Bedrohungen sind die Hauptursache für steigende Zahl von Datendiebstählen. Die Situation verschärfe sich zusätzlich dadurch, dass Mitarbeiter und Dritte über weit großzügigere Zugriffsrechte verfügen als notwendig Das erschwert die Erkennung und die Abwehr.

Mögliche „Gefahrenquellen“ bzw. bevorzugte Opfer für Social Engineering[6]

  • Assistenz der Geschäftsführung
    • sind aufgrund ihres weit gefächerten Aufgabenprofils (Einblick in viele Prozesse, Zugriff auf unterschiedlichste Systeme, analysieren Angebote/ Verträge, bereiten Besprechungen vor, …) ein lohnendes Ziel für Angreifer
  • Social Media Beauftragte/ Manager
    • arbeiten an der Weiterentwicklung und Umsetzung der Unternehmensstrategie in den sozialen Medien, überwachen Kampagnen und bilden die Schnittstelle zu allen beteiligten Unternehmensbereichen. Kriminelle könnten sich in dieser Rolle beispielsweise die Gutgläubigkeit von Angestellten zunutze machen, um auf Systeme oder wertvolle Informationen zuzugreifen.
  • Ehemalige Mitarbeiter
    • Trennt man sich nicht im gegenseitigen Einvernehmen, stellen noch aktive Nutzerkonten eine Gefahr dar, falls sich ungerecht behandelte Mitarbeiter am Unternehmen „rächen“ wollen; aber auch das unregelmäßige Löschen von nicht mehr genutzten bzw. veralteten Konten (z.B. weil es keine Vorgabe gibt) stellt eine Lücke für gefährliche Angriffe dar.
  • Neue Mitarbeiter (IT-Administratoren)
    • Kriminelle sind immer auf der Suche nach neuen Angriffspunkten. Da liegt es nahe, z.B. Stellenausschreibungen zu recherchieren und sich per Social Engineering ins Unternehmensnetz zu tricksen. Neue Mitarbeiter sind mit den Abläufen, Protokollen und Prozessen zwangsläufig noch nicht vertraut. Deshalb sind sie für Außenstehende erfolgsversprechende Angriffsziele.
  • Drittanbieter und deren Techniker
    • Behalten Sie Überblick über Ihre Lieferanten und Dienstleister; ebenso über die gewährten Befugnisse. Stellen Sie eine durchgängige Protokollierung der durchgeführten Arbeiten sicher.
  • Sicherheitsdienstleister
    • Sicherheitsvorkehrungen im Unternehmen beinhalten in der Regel, dass verschiedene Support- und Sicherheitsdienstleiter integriert sind. Auch sie verfügen über weitreichende Zugriffsrechte und Einwahlmöglichkeiten in das Firmennetz. Daher ist es notwendig, dass sich sämtliche Aktivitäten der Dienstleister überwachen lassen.
  • Zeitarbeiter/ Freelancer
    • Zeitarbeiter bzw. Freelancer (meist in der IT) erhalten temporären Zugriff auf Online-Systeme und andere Portale mit wertvollen Daten. Auch Unternehmens-Hardware wie Laptops oder mobile Endgeräte stehen ihnen ab und an zur Verfügung. Wichtig ist, dass die kurzfristig beschäftigten Mitarbeiter den gleichen Sicherheitsvorkehrungen unterliegen wie alle anderen Mitarbeiter.
  • Geschäftsführung
    • laut dem FBI betrugen die Kosten raffinierter Scam-Angriffe speziell auf CEOs in den letzten drei Jahren einen Schaden von 2,3 Milliarden US-Dollar. Diese Angriffsversuche dokumentieren, dass externe Angreifer sowohl bei der obersten Führungsebene als auch bei einfachen Angestellten den Hebel ansetzen und Schwachstellen suchen.
  • Cloud-Dienstleister
    • Immer mehr Informationen und Anwendungen verlagern sich in die Cloud, so dass alle mit der Cloud-Infrastruktur befassten Dienstleister (vorrangig deren Techniker) zu privilegierten Nutzern gezählt werden müssen. Sie stellen die IT-Architektur zur Verfügung, verwalten eine Cloud-Plattform oder sind mit Datenmanagement, Datenrichtlinien und Geschäftsprozessmanagement befasst. Sie haben weitreichende Befugnisse und Zugriffsmöglichkeiten auf Unternehmensdaten, was sie wiederum für Hacker interessant macht.

 

Zugriffsrechte und der Datenschutz[7]

Die Datenschutzgrundverordnung (DSGVO) wirkt sich auf viele Bereiche der IT-Infrastruktur aus, auch auf die Vergabe von Berechtigungen. Um unberechtigte Zugriffe auf personenbezogene Daten auszuschließen und die damit verbundenen empfindlichen Strafen zu vermeiden, braucht es eine sinnvolle Verknüpfung der vergebenen Zugriffsrechte zu Nutzern und Daten. So schreibt die DSGVO vor, dass Unternehmen „geeignete technische und organisatorische Maßnahmen“ treffen müssen, um personenbezogene Daten vor unbefugten Zugriffen zu schützen. Betroffen davon sind sehr viele der üblicherweise gespeicherten Informationen, schließlich enthält fast jedes Filesystem sensible Personal-, Finanz-, Produkt- und Kundendaten. Daher müssen die Verantwortlichen gewährleisten, dass nur berechtigte Nutzer Zugriff erhalten und sie müssen die Einhaltung dieser Regeln auch nachweisen.

Eigentlich klingt die Frage ganz einfach: Wer hat warum welche Berechtigungen wofür?
Doch nur wenige Systemadministratoren oder Compliance-Beauftragte können belastbare Antworten darauf geben. Dieser Nachweis gelingt nur dann, wenn Unternehmen die vorhandenen Informationen zu den Nutzern auf der einen und den Daten auf der anderen Seite verknüpfen. Sie müssen also analysieren, welcher Mitarbeiter welche Rechte auf welche Daten besitzt. Besteht Klarheit über die aktuellen Zugriffsrechte, lässt sich im zweiten Schritt auch die Datensicherheit garantieren.

 

Wir unterstützen Sie gerne mit unserem

 

Datenschutz check up

 

 

 

 

 

[1] https://www.it-daily.net/it-sicherheit/cyber-defence/24402-cyberkriminalitaet-stieg-2019-um-50?highlight=cyberkriminelle, 13.07.2020
[2] https://www.computerwoche.de/a/zutritt-zugang-oder-zugriff,3096937, 13.07.2020
[3] https://www.it-administrator.de/themen/sicherheit/fachartikel/326338.html, 13.07.2020
[4] https://www.security-insider.de/privilegierte-identitaeten-besser-schuetzen-a-879156/, 13.07.2020
[5] https://www.security-insider.de/warum-insider-attacken-so-gefaehrlich-sind-a-588534/, 13.07.2020
[6] https://www.security-insider.de/diese-10-personen-sind-ein-sicherheitsrisiko-a-587489/, 13.07.2020
[7] https://www.security-insider.de/dsgvo-bei-berechtigungen-richtig-umsetzen-a-744001/, 13.07.2020

 

Bildnachweis: Access control von Annatodica von Getty Image auf Canva

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.