Theale (UK) 19. Juli, 2017 – 

Laut einer aktuellen Untersuchung des Datensicherheitsspezialisten Clearswift haben Cyber-Sicherheitsvorfälle, deren Ursprung im Unternehmen selbst liegt, in Deutschland und Großbritannien jetzt einen geringeren Anteil an den gesamten Sicherheitsereignissen als noch vor einem Jahr. Sowohl in Deutschland als auch Großbritannien gelten jetzt die Bestimmungen der DSGVO. In den Vereinigten Staaten, die nur indirekt zum Geltungsbereich der DSGVO gehören, nehmen die Bedrohungen dagegen zu.

Für die Untersuchung wurden 400 führende IT-Entscheider aus Unternehmen mit mehr als 1.000 Mitarbeitern in Deutschland, Großbritannien und den USA befragt. Wie die Untersuchung zeigte, beträgt der Prozentanteil der echten internen Bedrohungen – also der unbeabsichtigten und böswilligen Bedrohungen aus dem erweiterten Unternehmen (Mitarbeiter, Kunden, Zulieferer und ehemalige Mitarbeiter) – in Deutschland jetzt 75%, verglichen mit 80% in 2017. Ähnlich stellten auch die führenden IT-Entscheider in Großbritannien einen Rückgang fest: von 73% im Vorjahr auf jetzt 65%. Im Gegensatz dazu beobachteten die Umfrageteilnehmer aus den USA sogar einen Anstieg der internen Bedrohungen auf 80 %; 2017 waren es 72 % gewesen.

Direkte Bedrohungen durch einen Mitarbeiter im Unternehmen – unbeabsichtigt oder böswillig – machen jetzt 38 % der Vorfälle aus. Damit ist der 2017 und 2015 (42 % bzw. 39 %) verzeichnete Anstieg solcher Bedrohungen zum Stillstand gekommen. 13 % aller Cyber-Sicherheitsvorfälle gehen auf Bedrohungen durch ehemalige Mitarbeiter zurück, was deutlich macht, dass die Prozesse beim Ausscheiden von Mitarbeitern verbessert werden müssen.

„Wenngleich die Zahl der Vorfälle in der EMEA-Region leicht sinkt, unterstreichen die Resultate einmal mehr, dass interne Bedrohungen die Hauptursache für Cyber-Sicherheitsvorfälle sind. Immer noch haben drei Viertel aller Vorfälle ihren Ursprung im Unternehmen beziehungsweise erweiterten Unternehmen. Diese Gefahren sind also weitaus zahlreicher als diejenigen, die von externen Hackern ausgehen. Die Unternehmen müssen ihren Fokus nach innen richten“, so Dr. Guy Bunker, SVP Products, Clearswift.

„Ich denke, die DSGVO hat mindestens zwei positive Effekte: Die Unternehmen wissen besser, wo sich ihre kritischen Daten befinden, und den Mitarbeitern wird nachdrücklich vor Augen geführt, dass das Thema Datenschutz jetzt höchste Bedeutung hat. Das könnte der Grund sein, warum die Insider-Bedrohungen in den EU-Ländern abgenommen haben. Wenn ein Unternehmen weiß, wo seine kritischen Informationen gespeichert sind und wie sie in das Netzwerk hinein und aus diesem herausfließen, dann kann es diese Daten am besten vor den zahlreichen Bedrohungsvektoren schützen, mit denen wir es heute zu tun haben.“

Wenngleich interne Bedrohungen für die meisten Unternehmen die größte Gefahr darstellen, glauben die Arbeitgeber, dass die Mehrzahl der Zwischenfälle (62 %) unbewusst oder unabsichtlich verursacht wird und nicht mit Vorsatz. Diese Zahl ist gegenüber 2017 leicht gesunken (65 %).

In Unternehmen mit mehr als 3.000 Mitarbeitern war die Zahl der Insider-Bedrohungen etwas geringer (36 %) als in Unternehmen mit 1.000 bis 3.000 Beschäftigten. Dies könnte darauf hindeuten, dass die internen Prozesse und Kontrollen in größeren Unternehmen robuster sind.

Bunker fügte hinzu: „Unternehmen brauchen ein Verfahren, um eingehende sowie ausgehende Datenflüsse im Geschäft zu verfolgen und klar sehen zu können, wer wann auf die Daten zugreift. Außerdem müssen die Unternehmen erreichen, dass ihre Mitarbeiter wirklich von der geschäftskritischen Bedeutung des Datenschutzes überzeugt sind. Für eine erfolgreiche Cyber-Sicherheitsstrategie ist es unerlässlich, die Mitarbeiter darüber aufzuklären, welchen Wert Daten haben, welche verschiedenen Formen von Daten es gibt, was geteilt werden darf und was nicht.“

„Trotzdem können immer Fehler passieren, und Technologien können sowohl die erste als auch die letzte Verteidigungslinie bilden. Insbesondere sind Lösungen für Adaptive Data Loss Prevention in der Lage, sensible Informationen und böswillige Inhalte innerhalb eines Unternehmensnetzes automatisch zu entfernen.“

******

Hinweise für die Redakteure:

Diese Untersuchung wurde von dem Technologie-Marktforschungsunternehmen Vanson Bourne im Auftrag von Clearswift durchgeführt.

Dafür wurden 400 leitende IT-Entscheider in Unternehmen mit mehr als 1.000 Mitarbeitern in Großbritannien, Deutschland und den USA befragt.

Die Daten für 2017 wurden von dem Technologie-Marktforschungsunternehmen Vanson Bourne im Auftrag von Clearswift erhoben. Mehr als 600 Geschäftsentscheider sowie 1.200 Beschäftigte in Großbritannien, den USA, Deutschland und Australien wurden befragt, um die Einstellungen von Unternehmen und Mitarbeitern zur Cybersicherheit zu ermitteln.

Die Daten für 2015 wurden von dem Marktforschungsunternehmen Loudhouse erhoben. Clearswift befragte weltweit mehr als 500 IT-Entscheider und 4.000 Mitarbeiter, um Meinungen zur Sicherheit zu ermitteln, sowohl auf der Entscheider-Ebene als auch bei denjenigen, von denen die Einhaltung der Bestimmungen erwartet wird.

Für weitere Informationen oder zur Vereinbarung eines Briefings wenden Sie sich bitte an:

EMEA
C8 Consulting
+44 118 334 0220
[email protected]

Über Clearswift, by Fortra:

Weltweit vertrauen Unternehmen auf Clearswift, um kritische Informationen zu schützen und ihnen die Freiheit zu geben, sicher zusammenzuarbeiten und das Geschäftswachstum voranzutreiben. Die einzigartige Technologie unterstützt eine einfache und "adaptive" Data Loss Prevention-Lösung, die das Risiko von Betriebsunterbrechungen vermeidet und Unternehmen eine 100%ige Transparenz ihrer kritischen Informationen ermöglicht. Als globales Unternehmen hat Clearswift seinen Hauptsitz in Großbritannien, mit Niederlassungen in den USA, Deutschland, Australien und Japan und einem umfangreichen Partnernetzwerk auf der ganzen Welt.

 Geschäftliches Problem

Wir leben in einer datenzentrierten Welt. Unternehmen stellen ihren Mitarbeitern Zugang zu Daten zur Verfügung, damit sie ihre Arbeit erledigen können; um mit internen Mitarbeitern und externen Organisationen zusammenzuarbeiten. Es muss auch sichergestellt werden, dass die kritischen Daten, die sich auf Laptops, Servern und in Cloud-Diensten befinden, nur von den Personen genutzt werden, die sie benötigen und dass sie für die richtigen Zwecke verwendet werden.

Wir haben jedoch zu viele Fälle von versehentlichem Datenverlust gesehen, darunter:

• Laptops, die mit kritischen Informationen in unverschlüsseltem Zustand gestohlen werden
• USB-Sticks, die in Taxis zurückgelassen werden
• DVDs mit personenbezogenen Daten (PII), die auf dem Postweg verloren gehen
• Tragbare Festplatten, die nicht angemessen gesichert sind.

Neben dem versehentlichen Verlust können Mitarbeiter versucht sein, Unternehmensdaten mitzunehmen, wenn sie ihren Arbeitsplatz verlassen, oder sie können Daten absichtlich gegen Geld weitergeben oder entscheiden, dass die ethischen Vorstellungen ihres Arbeitgebers zweifelhaft sind und zum Whistleblower werden.

Die Herausforderung für Unternehmen besteht heute darin, die effektivste Sicherheitstechnologie für Laptops, Desktops und Geräte zu finden, die es den Anwendern ermöglicht, effizient zu arbeiten, aber mit dem heute erforderlichen Schutzniveau.

Architektur

Der Schutz der Endpunkte erfordert zwei Komponenten, um effektiv zu sein:

• Eine skalierbare Serverarchitektur, die eine granulare Richtlinienkontrolle von Benutzern und Gruppen über
• Die Produktkonsole. Diese Architektur darf keine Single Points of Failure haben und muss auf Tausenden von Endpunkten skalierbar sein
• Einfache, funktionsreiche Endpunkte, die die Richtlinien für Device Control, Data at Rest und Data in Use durchsetzen und bei Verstößen an die Server zurückmelden, aber auch dem Endbenutzer ein Feedback geben, um ihn zu informieren, wenn ein Fehler gemacht wurde.

Gerätekontrolle

Die Möglichkeit, Benutzer zu kontrollieren, die persönliche USB-Geräte oder Smart Devices mit dem Unternehmensnetzwerk verbinden, ist zu einer kritischen Sicherheitsanforderung geworden. Durch die unkontrollierte Nutzung von Wechselmedien können sensible Daten verloren gehen und bösartige Anwendungen in Netzwerke eingeschleust werden. Die Clearswift Endpoint DLP-Lösung bietet eine granulare Verwaltung von Wechseldatenträgern und ermöglicht so die legitime, produktivitätssteigernde Nutzung dieser Geräte bei gleichzeitiger Reduzierung von Netzwerkrisiken und Supportkosten - was zu einer erhöhten Datensicherheit führt.

Kontextabhängige Data In Use (DIU)-Richtlinien

Flexible Richtlinien und eine kontextbezogene Inhaltskontrolle bedeuten, dass Sie nicht mehr zwischen der produktiven Nutzung von Wechselmedien, Netzwerkfreigaben und Cloud-Speicher und einem inakzeptablen Risiko wählen müssen. Eine zu restriktive Richtlinie bedeutet, dass Mitarbeiter entweder nicht effektiv arbeiten können oder Wege finden, die Sicherheitsrichtlinie zu umgehen. Es können Regeln erstellt werden, die verhindern, dass alle textbasierten Office-Dateien, die bestimmte Schlüsselbegriffe enthalten, auf externe Geräte, Netzwerkfreigaben und Cloud-Speicher kopiert werden. Alternativ können Dateien bei der Übertragung verschlüsselt werden - was sicherstellt, dass der Inhalt eines USB-Sticks nicht gelesen werden kann, wenn er in einem Taxi oder an einem anderen öffentlichen Ort zurückgelassen wird.

Adaptive Redaction mit DIU

Adaptive Redaction ist eine einzigartige und preisgekrönte Technologie für einen proaktiven Ansatz zum Schutz kritischer Informationen. Sie verhindert, dass sensible Daten versehentlich außerhalb oder innerhalb eines Unternehmens weitergegeben werden und entschärft eingehende gezielte Angriffe. Adaptive Redaction bietet einen Mechanismus, mit dem das traditionelle "Stoppen und Blockieren" herkömmlicher Data-Loss-Prevention-Lösungen überwunden werden kann, indem nur genau die Inhalte automatisch entfernt werden, die gegen die Richtlinien verstoßen - der Rest der Kommunikation kann ungehindert fortgesetzt werden.

Erkennung von Data At Rest (DAR)

Im Zusammenspiel mit der Clearswift Deep Content Inspection Engine können kritische Daten überall dort entdeckt werden, wo sie auf Desktops, Notebooks, Servern und gemeinsam genutzten Netzwerken gespeichert sind. Dies ermöglicht es Unternehmen, die Bereinigung kritischer Informationen in Data at Rest zu prüfen und zu verwalten. Wie bei den Data-in-Use-Richtlinien sind integrierte und anpassbare lexikalische Ausdrücke enthalten, die die Erkennung kritischer Informationen wie PII, PCI und anderer sensibler Daten ermöglichen. Clearswift Endpoint DLP läuft im Hintergrund und erkennt kritische Informationen, ohne die Aktivitäten der Endbenutzer zu unterbrechen. Dies bietet einen beispiellosen Einblick in potenzielle Datenschutzschwachstellen, die in Ihren Netzwerken und Systemen vorhanden sind.

Bereitstellung

Die Clearswift Endpoint DLP-Konsolenkomponente wird auf einem Windows-Server installiert und erfordert Zugriff auf einen SQL-Server oder eine MySQL-Datenbank. Sie wird mit dem Active Directory des Unternehmens synchronisiert, um die Liste der Computer und Benutzer zu sammeln, so dass Richtlinien auf Domänenebene, auf Ebene der Organisationseinheit oder bis hinunter zu einer Ebene pro Benutzer erstellt werden können. Für eine hohe Verfügbarkeit können mehrere Konsolenserver mit den Endpunkt-Agenten verbunden sein.

Die Konsole wird verwendet, um die Installationsprogramme für die unterstützten Client-Typen zu erstellen und per Fernzugriff bereitzustellen:

• Windows 7 und 10
• Windows Server 2012 R2 und 2016
• Citrix-Umgebungen

Umfassende Berichte über die gesamte Bereitstellung sind über die Konsole verfügbar.

Für Unternehmensbereitstellungen können mehrere Administratoren definiert werden, um eine regionalisierte Verwaltung zu ermöglichen.

Funktionen

Die Clearswift Endpoint DLP-Lösung wurde für die Skalierung auf Unternehmensimplementierungen entwickelt und bietet:

• Granulare Richtlinienkontrolle - ermöglicht Kontrollen auf Benutzer-/OU-Ebene
• Gerätemanagement - Kontrolle nach Bus und Gerätetyp
• Cloud-Zugriffskontrolle - kontrolliert den Zugriff auf Standard-Cloud-Sharing-Dienste wie OneDrive, Dropbox, Box, etc.
• Data in Use - stellt sicher, dass Daten, die auf externe Geräte, Netzwerkfreigaben und Cloud-Speicher geschrieben werden, einer Inhaltsprüfung unterzogen wurden und nur geeignete Dateitypen verwendet werden können
• Data at Rest scanning - periodisches Scannen der lokalen Festplatte und Freigaben kann auf Dateitypen und -inhalte überprüft werden
• Syslog-Unterstützung - zentralisierte Protokollierung von Ereignisdaten kann an SIEM-Systeme exportiert werden.

Einfach zu bedienende GUI

Die Clearswift Endpoint DLP-Verwaltungsoberfläche ist in logische Abschnitte unterteilt, in denen Richtlinien auf Organisationseinheiten angewendet werden können, die aus Active Directory entnommen wurden. Diese Ansicht macht es auch einfach zu sehen, welche Zugriffskontrollregeln sowie Inhaltsrichtlinien angewendet werden.

Funktionen können je nach Bedarf für die Organisation lizenziert werden oder ein Benutzer wird automatisch angemeldet. Features can be licensed as needed for the organization, or a user automatically enrolled.

Listen mit lexikalischen Ausdrücken werden mit Wörtern, Phrasen, Token (wie Kreditkarte, IP-Adresse usw.) und regulären Ausdrücken erstellt.

Diese Phrasen werden gewichtet und können zusammen verwendet werden, um sinnvolle Suchkriterien zu bilden. Diese Ausdruckslisten werden verwendet, um DIU- und DAR-Richtlinien zu bilden.

DIU-Scans zeigen, wann Versuche unternommen wurden, sensible Daten zu exfiltrieren und welche Sicherheitsrichtlinien genau verletzt wurden.

DAR-Scans können in Echtzeit angezeigt werden, um den Fortschritt zu zeigen und ob Objekte gefunden wurden.

Eine schnelle Einführung in Adaptive DLP – 2 Minuten mit Dr. Guy Bunker.

Es ist keine leichte Aufgabe, seine Cyber-Verteidigungsstrategien stets auf dem neuesten Stand zu halten, vor allem, wenn Organisationen fortlaufend mit der Verbreitung von pemanent  neuartigen Cyber-Angriffen konfrontiert sind.  Persistente Bedrohungen (Advanced Persistent Threats, APTs) sind für Cyber-Sicherheitsexperten besonders besorgniserregend, da die Malware, sobald sie einmal in die Organisation eingedrungen ist, auf "niedrigem und langsamem Niveau" operiert und im Laufe der Zeit Aufgaben ausführt, um einer Entdeckung zu entgehen und das oft mit schwerwiegenden Konsequenzen.

Information ist das A und O

Die Beweggründe für APT-Angriffe sind vielfältig. Staatlich organisierte Wirtschaftsspionage und gezielte Angriffe sind in erster Linie nicht darauf ausgerichtet, Störungen zu verursachen, sondern Informationen zu stehlen. In einer Welt der digitalen Zusammenarbeit verfügen Unternehmen und die von ihnen verwendeten Anwendungen über riesige Datenmengen, von denen sich einige leicht monetarisieren lassen (geistiges Eigentum oder Finanzdaten) oder zur Unterstützung eines Cyber-Angriffs verwendet werden können (detaillierte Unternehmensinformationen).

Kein Unternehmen ist vor den Risiken, die APTs mit sich bringen, gefeit, obwohl diejenigen mit sehr sebsiblen Daten, wie z.B. große Organisationen, die im Verteidigungs-, Regierungs-, Gesundheits- und Finanzdienstleistungssektor tätig sind, häufig ins Visier genommen werden. Kleinere Organisationen, die in der Versorgungskette für diese Branchen tätig sind, sind ebenfalls häufig Ziel von Angriffen. Da sie als weniger gut verteidigt gelten, werden Cyberkriminelle diese kleineren Organisationen als Sprungbrett zu ihrem eigentlichen Ziel benutzen.

E-Mail-basierte erweiterte persistente Bedrohungen

E-Mail ist eine weit verbreitete Zustellungsmethode für fortgeschrittene Malware und Cyberkriminelle verwenden Spear-Phishing und Social Engineering-Techniken, um die Cyberabwehr zu durchbrechen. Spear-Phishing-E-Mails werden entwickelt und so gestaltet, dass sie aussehen, als käme sie von jemandem, der dem Empfänger bekannt ist - das kann ein Kollege, Kunde oder Lieferant sein. Sie enthalten  Anhänge (versteckt in einem Dokument oder Bild) oder bösartige URLs, die, wenn sie geöffnet oder angeklickt werden, die Malware in das Netzwerk freisetzen. 

Ein Beispiel ist die Dridex-Malware, die speziell für den Angriff auf Finanzdienstleistungsunternehmen und Banken entwickelt wurde. Sie kommt als Anhang einer Phishing-E-Mail an. Bei dem Anhang handelt es sich um einen vertrauenswürdigen Dateityp mit einem eingebetteten Makro oder Skript, das beim Öffnen aktiviert wird. Dridex ist für den Diebstahl von Hunderten von Millionen Dollar in Form von betrügerischen Transaktionen verantwortlich. 

Bedrohungen durch  APTs

APTs sind fast unmöglich zu erkennen, da sie entwickelt wurden, um herkömmliche E-Mail-Sicherheitsabwehrmechanismen wie Antiviren-Lösungen zu umgehen. Leider gibt es keine "Wunderwaffe", mit der sich Organisationen schützen können, jedoch kann eine Kombination aus mehrschichtigen Maßnahmen ergriffen werden, um die Bedrohung durch APTs zu minimieren.

Menschen können eine aktive Rolle dabei spielen, das Risiko des Erfolgs von APTs zu reduzieren. Allerdings reicht es allein nicht aus, die Benutzer darüber aufzuklären, wie sie eine verdächtige E-Mail erkennen können und was zu tun ist, wenn sie den Verdacht haben, dass eine E-Mail betrügerisch ist. Es ist nur eine Person erforderlich, die versehentlich ein Dokument öffnet oder auf eine URL klickt, damit Malware Zutritt erhält. Für die nächste Sicherungsebene müssen Unternehmen ihre E-Mail-Sicherheitstechnologie erweitern, um infizierte Dateien zu entfernen und URLs zu neutralisieren, bevor sie die Posteingänge der Benutzer erreichen.

Die Clearswift-Lösung

Mithilfe der Deep Content Inspection-Technologie analysiert die E-Mail-Sicherheitslösung von Clearswift alle eingehenden und ausgehenden E-Mails gründlich und prüft den Inhalt bis hin zu den einzelnen Bestandteilen. Sie verifiziert die Konformität der Dateistrukturen und prüft, ob Daten auf andere Dateien übertragen werden. Die Message Sanitization erkennt und redigiert automatisch bösartige URLs, Anhänge und HTML. Structural Sanitization erkennt und entfernt alle aktiven Inhalte innerhalb von Dateien, wie z. B. eingebettete Makros und Skripte, die beim Öffnen eines Dokuments aktiviert würden. Eine sichere, saubere Version des Inhalts wird dann neu erstellt und auf den Weg geschickt. Dieser Prozess erfolgt in Echtzeit, so dass es keine Verzögerung bei der Kommunikation gibt.

Die Technologie kann so konfiguriert werden, dass sie mit Sandbox-Lösungen zusammenarbeitet und nur aktive Inhalte zur weiteren Analyse sendet. Dies reduziert die Overhead-Kosten der Sandbox, die sonst alle Dateien kontinuierlich scannen würde.

Content Analyse anwenden

Um das Risiko zu verringern, dass Lösegeld-, Spyware- und andere hochentwickelte Malware durch Phishing-E-Mails verbreitet wird, können Unternehmen Deep Content Insepction und Sanitization anwenden, um bestehende E-Mail-Sicherheitslösungen zu erweitern.