4. Cluster Stammtisch –Expertenrunde zu Datenleaks in Unternehmen

„Facebook, LinkedIn, u.v.m... – So schützen Sie Ihre Infrastruktur vor gefährlichen Datenleaks“

RockYou2021 ist der Name des neuesten Dataleaks, der erst Anfang dieser Woche bekannt wurde. 8,4 Milliarden Datensätze mit Benutzer-Passwörtern wurden dabei in einem Hacker-Forum veröffentlicht. Diese Daten sind sehr wahrscheinlich auch von Kriminellen bereits in der Vergangenheit für Cyberangriffe ausgenutzt worden.

Solche Dataleaks sind leider schon seit Jahren zur Regel geworden. Sie sind wiederkehrendes Phänomen, mit dem sich Unternehmen, Behörden, Universitäten aber auch die Nutzer zu Hause auseinander setzen müssen. Dabei sind große Anbieter Facebook und LinkedIn lediglich zwei prominente Beispiele für ein fortwährendes Sicherheitsproblem.

Dataleaks waren deshalb im letzten Monat das Thema bei unserem monatlichen Cyber Security Cluster Stammtisch. Dr. Matthias Wübbeling, Founder und CEO der Identeco GmbH & Co. KG aus Bonn lieferte in seinem Impulsvortrag spannende Einblicke und Erkenntnisse in die Vielschichtigkeit und die damit verbundenen Zusammenhänge. Diese wurden anschließend von den anwesenden Experten aus dem Cluster beleuchtet und lebhaft  diskutiert.

Im Nachgang an die Expertenrunde haben wir auch aufgrund der nichtendenden Aktualität solcher Dataleaks ein paar Tipps und Hinweise zusammengetragen.

Wer ist von Datenleaks vorrangig betroffen?

 

In erster Instanz macht sich das Auftauchen eines Datenlecks bei den Verbrauchern bemerkbar. Auch wenn dabei keine Passwörter entwendet wurden, so können dennoch eine Vielzahl von Phishing-Mails klug auf den Weg gebracht werden, um unter Umständen genau an diese zu gelangen oder um Ransomware zu platzieren. Das dafür sogar eine fast schon in die Jahre gekommene Kommunikationsform, die gute alte SMS, wieder entdeckt wurde, spricht für die Kreativität der Angreifer. Besonders gefährlich wird es dann, wenn der Inhalt so viel Vertrautheit und Interesse mit sich bringt, dass keine Bedenken bestehen diesen anzuklicken. „Verfolgen Sie den Status ihrer Paketsendung.“

Was bedeutet ein fremder Datenleak für mich als Unternehmen?

Zunächst einmal könnte man zu dem Schluss kommen, dass kaum ein Risiko vorhanden ist, sofern man natürlich nicht selbst direkt zum Betroffenenkreis des Unternehmens gehört. Nochmal spannender wird es allerdings, wenn bei einem solchen Leak auch Passwörter entwendet wurden. Aber selbst an dieser Stelle bleiben viele Sicherheitsexperten der anderen Unternehmen entspannt oder reiben sich sogar die Hände - „Gott sei Dank hat es den Wettbewerb getroffen, die müssen sich jetzt damit rum ärgern während wir fein raus sind.“

Möglicherweise wurde an dieser Stelle zu kurz gedacht. Denn ob meine Mitarbeiter, Kunden, Geschäftspartner, Zulieferer, etc. von dem Datenklau betroffen sind bleibt oft im Verborgenen. Gerade in der Beantwortung dieser Frage liegt das latente Risiko - spätestens wenn ein bekannt gewordenes Passwort doppelt oder mehrfach verwendet wurde, besteht ein hohe Wahrscheinlichkeit eines Zugriffs von außen auf vertrauenswürdige Systeme oder Bereiche. Dazu gehören Computer-Logins, VPN-Verbindungen, Netzwerkzugang (Intranet über W-LAN), Firmen-E-Mail-Konto (IMAP, Exchange), Kundenkonto bei Zulieferern/Dienstleistern, Social-Media, nur um einige Beispiele zu nennen. Die besonders zu erwähnende Gefahr liegt in der Tatsache begründet, dass ich als Unternehmen zum einen kaum einen Einfluss auf die „Passwortkultur“ des hier angesprochenen Personenkreises habe und zum anderen die Information das man betroffen ist sehr lange unsichtbar bleibt.

Denn wann genau die Daten abgegriffen wurden ist meist ebenso unbekannt wie die Information ob die Angriffe auf die mit mir in Verbindung stehende Personengruppe erfolgreich waren bzw. in welchem Umfang.

Passwort-Reuse - ein weit verbreitetes Phänomen

Verwendet man ein und dasselbe Passwort für mehrere Dienste oder Anwendungen spricht man vom sog. Passwort-Reuse. Besonders kritisch wird es dann, wenn ein solches Passwort sowohl beruflich als auch privat zum Einsatz kommt. Das es sich hierbei um eine durchaus gängige Praxis handelt zeigen die nachfolgenden Zahlen:

  •  ca. 65 % der Nutzer benutzen dasselbe Passwort für zwei oder mehr Dienste gleichzeitig
  •  ca. 45 % der bereits aus einem Datenleak bekannt gewordenen Daten werden weiter genutzt
  • über 70 % davon sogar weit über ein Jahr hinaus.

Konkrete Handlungsempfehlungen für Verbraucher und Unternehmen

  • Wird ein Datenleak bekannt, checken Sie umgehend, ob Ihre persönlichen Daten davon betroffen sind.
  • Ist dies nicht der Fall, bleiben Sie weiterhin oder sogar besonders wachsam bei eingehenden Nachrichten und bei Ihren online genutzten Diensten - Stichwort Awareness.
  • Prüfen Sie, ob ehemals genutzte E-Mail-Adressen noch bei Anbietern als solche hinterlegt sind und veranlassen Sie die Löschung. Denn durch eine Neuvergabe derselben E-Mail-Adresse an den Angreifer erhält dieser vollen Zugriff auf Ihren Account.
  • Checken Sie proaktiv wie viele Unternehmens-E-Mail-Adressen, aber auch die von Kunden, Partnern oder ggf. auch Mitarbeitern von dem Datenleak betroffen sind. Auf dieser Basis erhalten Sie eine erste Risikoeinschätzung und können so Ihr weiteres Vorgehen zielgerichtet planen.
  • Nutzen Sie die verfügbaren Leakdaten um diese gegen die eigenen Infrastruktur zu testen.
  • Verstärken Sie Ihr Screening bei allen Log-In-Aktivitäten. So können mögliche Angriffe schneller ermittelt bzw. verhindert werden.
  • Sind Sie selbst Plattformbetreiber gehen Sie ebenfalls proaktiv mit dem Thema um, auch wenn Sie nicht direkt vom Datenleak betroffen sind. Die damit zusätzlich gewonnene Sensibilität bei Ihren Kunden und Partnern trägt enorm zur Risikominimierung bei und schafft weiteres Vertrauen.
  • Erhöhen Sie die Sicherheit Ihrer Kunden und Partner durch sog. On-Demand-Überprüfungen bei „kritischen“ Prozessen/Aktivitäten z.B. durch eine in diesem Moment spontan geforderte Zwei-Faktor-Authentifizierung.
  • Prüfen Sie beim Abteilungs- oder gar Unternehmenswechsel, dass die gegebenen Berechtigungen auch wieder entzogen werden. Den das ungewollte Ansammeln oder gar Mitnehmen von Zugriffsrechten wird häufig vernachlässigt.

Bei allen Empfehlungen - und das wurde in der Expertendiskussion deutlich - gilt es natürlich  immer besonnen zwischen Nutzerfreundlichkeit und IT-Sicherheit im Sinne der Akzeptanz abzuwägen. Schaffen Sie eine gesunde Feedbackkultur in Ihrem Unternehmen die es erlaubt diesen Ansatz in regelmäßigen Abständen stets neu zu hinterfragen, so die Meinung unserer Experten.

Wir bedanken uns an dieser Stelle nochmals recht herzlich bei Herrn Dr. Matthias Wübbeling, Founder und CEO der Identeco GmbH & Co. KG | Leak Intelligence, Account Security & Identity Management Solutions sowie bei allen Teilnehmern unseres monatlichen Cluster Stammtischs.