Perimetersicherheit hat Grenzen

Restriktive Zugriffsrechte und Überwachung von Datenzugriffen können es Angreifern schwerer machen, sensible Daten abzuleiten. (Foto: CafeCredit.com, cc by 2.0, https://creativecommons.org/licenses/by/2.0/ www.flickr.com)

Es ist eine Binsenweisheit in der IT-Sicherheit, dass es den absoluten Schutz nicht gibt. Manche Experten meinen sogar, es sei eine gute Herangehensweise an das Sicherheitsmanagement, davon auszugehen, dass bereits Angreifer im eigenen Netz sind. Hintergrund dieser Zuspitzung ist die Tatsache, dass professionelle Hacker sich häufig im Laufe von Monaten unbemerkt in Netzwerken ausbreiten, nachdem sie einmal Zugriff über eine Schwachstelle bekommen haben. Das betrifft längst nicht nur Netze kleiner Institutionen mit beschränkten Ressourcen für die Absicherung. Auch besonders gut gehärtete Netze nicht absolut gefeit, wie der kürzlich bekannt gewordene erfolgreiche Angriff auf die Bundesregierung zeigt.

Ziel waren offenbar Dokumente auf dem Auswärtigen Amt. Dieses wurde aber nicht direkt attackiert. In einer professionellen Aktion hatten die Hacker wohl schon vor über einem Jahr begonnen, sich schrittweise im Regierungsnetz auszubreiten. Zunächst hatten sie sich Zugang über die Bundesakademie für öffentliche Verwaltung verschafft, wie verschiedene Medien berichteten. Mittels manipulierter elektronischer Unterlagen eines E-Learning-Kurses für Mitarbeiter des Auswärtigen Amts seien dann deren Rechner gekapert worden. Bei den Betroffenen soll es sich um Mitarbeiter der Abteilung 2 (Politische Abteilung) gehandelt haben, die abgeflossenen Dokumente hätten alle Bezug zu Russland und der Ukraine gehabt.

Daten im Mittelpunkt

Auch wenn die Aufklärungsarbeit noch längst nicht abgeschlossen ist, scheint also eines sicher: das Ziel waren Daten. “Somit unterscheiden sich staatliche Institutionen nicht wesentlich von Unternehmen. Auch hier sind die Daten letztlich das wertvollste Asset”, erklärt Thomas Ehrlich, Country Manager DACH von Varonis. “Deshalb müssen sie ins Zentrum der Sicherheitsstrategie gestellt und an ihrem Schutz sämtliche Maßnahmen ausgerichtet werden.”

Sinnvoll ist es daher, nicht nur die Systeme und Netze auf dem Stand der Technik abzusichern, sondern den Zugriff auf Daten innerhalb einer Institution auf das Nötige zu beschränken. Zugriffsrechte können technisch so umgesetzt werden, dass Mitarbeiter nur an die Daten herankommen, die sie tatsächlich brauchen (Need-to-Know-Prinzip). “Die Anzahl zu entwendender Dateien sinkt hierdurch schon deutlich, insbesondere wenn man bedenkt, wie weitgefasst derzeit oftmals Zugriffsrechte sind”, betont Ehrlich. Eine Studie von Varonis zeige, dass in vielen Organisationen durchschnittlich 20 Prozent der Ordner für alle Mitarbeiter zugänglich seien. In fast der Hälfte der Fälle habe die Mehrzahl der Mitarbeiter Zugriff auf über 1.000 sensible Daten.

Restriktivere Zugriffsrechte sollten um die Überwachung von Datenzugriffen ergänzt werden. Automatische, intelligente Analysen können abweichendes Verhalten erkennen. Wenn beispielsweise in einem Nutzerkonto plötzlich zu ungewöhnlichen Zeiten oder von ungewöhnlichen Orten aus auf Daten zugegriffen wird, könnte dahinter ein Angreifer stecken, der sich Zugriffsrechte eines Mitarbeiters verschafft hat. Gegenmaßnahmen können dann im besten Fall schon ergriffen werden, bevor es zum Abfluss von Daten kommt.