Erkennen und Reagieren auf unbefugten Zugriff

Die einfachste Art, über Datensicherheit nachzudenken, besteht darin, den Zugriff und den unbefugten Zugriff zu kontrollieren. Entweder in Form eines unbefugten Datenzugriffs oder eines unbefugten Zugriffs auf ein Computernetzwerk, ist es der Archetyp des Datensicherheitsrisikos. Die Idee ist einfach, aber die Herausforderung besteht darin, zu definieren, was ein unberechtigter Zugriff ist, wie man ihn verhindern kann und wie man einen unberechtigten Zugriff erkennt und darauf reagiert, wenn er unvermeidlich auftritt.

Was ist unbefugter Zugriff? Definition und wichtige Erkenntnisse

Unerlaubter Zugriff bedeutet, dass eine Person - ein interner oder externer Akteur - ohne Genehmigung auf Daten, Netzwerke, Endpunkte, Anwendungen oder Geräte zugreift. Es gibt mehrere häufige Ursachen oder Szenarien für unbefugten Datenzugriff und unbefugten Zugriff auf Computernetzwerke - von schwachen Passwörtern, die leicht zu erraten oder zu hacken sind, über ausgeklügelte Social-Engineering-Methoden wie Phishing, die autorisierte Benutzer zur Preisgabe von Anmeldedaten verleiten, bis hin zu kompromittierten Konten, die gehackt und von unrechtmäßigen Akteuren übernommen wurden.

Was sind die Risiken eines unbefugten Datenzugriffs?

Sobald sich eine Person unbefugten Zugang zu Daten oder Computernetzwerken verschafft hat, kann sie einem Unternehmen auf verschiedene Weise Schaden zufügen. Sie können direkt Dateien, Daten oder andere Informationen stehlen. Sie können den unbefugten Zugriff nutzen, um weitere Konten zu kompromittieren. Sie können Informationen zerstören oder Systeme und Netzwerke sabotieren. Alle diese Szenarien sind mit Risiken, Kosten und potenziellen Geldstrafen für das Unternehmen verbunden. Der langfristige Schaden, der durch unberechtigten Zugriff entsteht, kann sich jedoch schleichend in Form eines beschädigten Rufs und Vertrauens sowie anhaltender Umsatzeinbußen fortsetzen.

5 Strategien zum Schutz vor unbefugtem Zugriff

1. Verabschiedung des Grundsatzes der geringsten Privilegierung (POLP)

Ein Bericht aus dem Jahr 2020 hat ergeben, dass die Hälfte der Unternehmen Benutzer mit mehr Zugriffsrechten haben, als für die Erledigung ihrer Aufgaben erforderlich sind. Der POLP-Ansatz zielt darauf ab, die Zugriffsrechte interner Benutzer regelmäßig zu überprüfen, um sicherzustellen, dass der Zugriff auf Daten, Systeme, Netzwerke und Geräte auf das minimal notwendige Maß beschränkt ist, damit die betreffende Person die Kernaufgaben ihrer Rolle erfüllen kann. Ein Schlüssel dazu ist die Konzentration auf das Konzept der "Kernzuständigkeiten". In Ausnahmefällen kann vorübergehender Zugang gewährt werden, während für die tägliche Arbeit der am wenigsten privilegierte Zugang beibehalten wird.

2. Führen Sie eine strenge Passwortrichtlinie ein

Starke Passwörter sind einer der besten Schutzmaßnahmen gegen unbefugten Zugriff. Das bedeutet, dass Sie eine Richtlinie für sichere Passwörter entwickeln und durchsetzen müssen, die von allen Benutzern verlangt, dass sie die bewährten Verfahren zur Erstellung - und regelmäßigen Änderung - sicherer Passwörter befolgen und sicherstellen, dass Passwörter nicht für verschiedene Geräte, Anwendungen oder andere Konten wiederverwendet werden. Eine der einfachsten Möglichkeiten, Ihre Benutzer bei der Pflege sicherer Passwörter zu unterstützen, ist die Verwendung eines Passwortmanagers, der Passwörter mit einer viel höheren Komplexität und Zufälligkeit generieren (und sich merken) kann, als es ein Mensch jemals könnte.

3. Verwenden Sie die Multi-Faktor-Authentifizierung (MFA)

Unerlaubter Zugriff ist oft auf ein single kompromittiertes Passwort oder einen Zugangscode zurückzuführen. Wenn die Person jedoch nur das Passwort erraten, gehackt oder sich anderweitig unrechtmäßig verschafft hat, kann die Multi-Faktor-Authentifizierung den unbefugten Zugriff problemlos verhindern. Der unrechtmäßige Akteur hat mit Sicherheit keinen Zugriff auf die sekundäre (oder tertiäre) Form der Identitätsüberprüfung (z. B. einen einmaligen Passcode, der an das Mobilgerät des rechtmäßigen Benutzers gesendet wird). 

4. Halten Sie Sicherheits-Patches auf dem neuesten Stand

Externe Akteure verschaffen sich oft über bekannte Schwachstellen unbefugten Zugang. Glücklicherweise bedeutet dies, dass Sie diese Eindringlinge abwehren können, indem Sie einfach sicherstellen, dass Sie Ihre Software regelmäßig aktualisieren, Sicherheits-Patches auf dem neuesten Stand halten und Sicherheits-Updates so weit wie möglich auf automatisch stellen.

5. Vergessen Sie die physische Sicherheit nicht

Auch wenn der meiste unbefugte Zugriff digital erfolgt - der Unbefugte verwendet einen kompromittierten Berechtigungsnachweis, um von seinem eigenen Gerät ausauf Daten oder Computernetzwerke zuzugreifen -ist die physischeSicherheit an Ihrem Arbeitsplatz nach wie vor unerlässlich. Ganz gleich, ob es sich um einen böswilligen internen Akteur oder einen externen Akteur handelt, der Ihren Arbeitsplatz besucht: Wenn Sie Ihre Geräte unverschlossen lassen oder aufgeschriebene Passwörter offen sichtbar sind, ist dies ein einfaches Rezept für unbefugten Zugriff.

So erkennen Sie unbefugten Zugriff

Prävention ist die erste Verteidigung gegen unbefugten Zugriff. Aber wenn es zu solchen Vorfällen kommt, ist Zeit das A und O, um den Schaden zu begrenzen. Je unmittelbarer Sie einen unbefugten Zugriff erkennen und je effizienter Sie den Vorfall untersuchen können, desto schneller können Sie effektiv reagieren, um den Zugriff zu sperren, den unrechtmäßigen Akteur auszuschließen und die Kontrolle über Ihre Daten, Systeme und Netzwerke zurückzugewinnen.

Es gibt viele konventionelle Sicherheitstechnologien, wie DLP und CASB, die versprechen, Sicherheitsteams bei unbefugtem Datenzugriff oder unbefugtem Zugriff auf ein Computernetzwerk zu alarmieren. Leider gibt es drei große Probleme, mit denen herkömmliche Sicherheitstools typischerweise zu kämpfen haben:

Großes Problem Nr. 1: Die meisten unbefugten Zugriffe erfolgen durch Insider

Unbefugte Zugriffe als "Eindringlinge" zu bezeichnen, ist ein gängiger Irrtum. Das liegt daran, dass etwa zwei Drittel der Datenschutzverletzungen von Insidern verursacht werden. Dabei handelt es sich um Mitarbeiter, Dritte, wie z.B. Lieferantenpartner, und andere interne Akteure, die bereits über erhebliche Zugriffsrechte innerhalb Ihres Unternehmens verfügen. Es ist also nicht so einfach, nach der roten Fahne eines fremden Akteurs zu suchen, den Sie nicht kennen.

Großes Problem #2: Viele unberechtigte Zugriffe werden nicht erzwungen

Der Begriff "sich unerlaubt Zugang verschaffen" bedeutet, dass man sich in ein System oder Netzwerk einhackt oder einbricht. Die meiste Zeit ist es gar nicht so schwer: Dateien und Informationen sind nicht richtig gesichert, sei es, dass Informationen für interne Benutzer überhaupt nicht gesichert sind oder dass das Prinzip der geringsten Rechte nicht befolgt wird. Und der Teil "ohne Erlaubnis" bei der Definition von unbefugtem Zugriff ist ebenfalls schwammig: Wenn es nicht gesichert ist oder wenn ein Mitarbeiter auf die Daten oder das Netzwerk zugreifen kann, muss er dann um eine spezielle Erlaubnis bitten? Herkömmliche richtlinienbasierte Sicherheitstools haben mit dieser Art von unbefugtem Zugriff ihre Schwierigkeiten, da die internen Benutzer keine Regeln verletzen, die einen Alarm auslösen würden. Aber unabhängig von der Absicht ist das Risiko immer noch vorhanden.

Großes Problem Nr. 3: Für immer mehr Daten gibt es keine festgelegten Berechtigungen

In einem typischen Unternehmen der "Wissensökonomie" besteht die "Arbeit" der Mitarbeiter aus Dateien und Daten, die sie den ganzen Tag über erstellen, austauschen und weiterverarbeiten. Diese unstrukturierten Daten befinden sich auf Endgeräten, in Cloud-Speichern und Synchronisierungs- und Freigabe-Apps wie Box oder Google Drive, in E-Mail-Anhängen, Slack-Chats und mehr. Der unrechtmäßige Zugriff auf diese Daten mag technisch gesehen nicht "unberechtigt" sein, da die Daten zu schnell erstellt und weiterentwickelt werden, als dass sie offiziell als sensibel, geschützt oder von hohem Wert eingestuft werden könnten. Wenn sich diese Dateien jedoch zu wertvolleren oder sensibleren Informationen entwickeln, müssen die Sicherheitsteams in der Lage sein, zu überwachen (und zurückzuverfolgen), wer wann und über welche Kanäle Zugriff auf was hatte.

Alle Daten sind wichtig - konzentrieren Sie sich auf Risikosignale

Da die Komplexität von Daten, Systemen und Netzwerken in modernen Unternehmen zunimmt, erfordert das Verhindern, Erkennen und Reagieren auf unbefugten Zugriff ein Umdenken: Alle Daten sind wichtig. Sicherheitsteams müssen alle Daten- und Dateiaktivitäten aller Benutzer und Geräte innerhalb und außerhalb des Netzwerks ständig im Blick haben.

Diese Grundlage der Datentransparenz wird es den Sicherheitsteams ermöglichen, das Rauschen der alltäglichen Aktivitäten auszublenden und ein eindeutiges Risikosignal zu erkennen, das auf einen unbefugten Zugriff hinweist, der von herkömmlichen Sicherheitstools nicht so leicht erkannt oder blockiert werden kann. Diese Risikosignale lassen sich in einige Hauptkategorien einteilen - Aktivitäten außerhalb der Geschäftszeiten, Aktivitäten von Mitarbeitern, die das Unternehmen verlassen, Aktivitäten mit hohem Dateivolumen oder Aktivitäten mit hochwertigen Dateien - aber alles läuft auf eine Idee hinaus: Benutzer greifen auf Systeme, Dateien oder Informationen zu, auf die sie normalerweise nicht zugreifen.

Gehen Sie bei der Reaktion auf unbefugten Zugriff richtig vor

Es gibt kein Patentrezept für die Reaktion auf einen unbefugten Zugriff. Die Reaktion hängt davon ab, worauf zugegriffen wurde, wer darauf zugegriffen hat und was dann passiert ist. Der Schlüssel zur Schadensbegrenzung liegt darin, sicherzustellen, dass Ihr Sicherheitsteam schnelle Antworten auf diese kritischen Fragen erhalten kann. Dieselbe Grundlage umfassender Einsicht in alle Benutzer-, Datei- und Datenaktivitäten ist die Basis für eine schnellere Untersuchung von Vorfällen. Sicherheitsteams erhalten kontextbezogene Informationen, um diese zentralen Fragen zu beantworten, und die forensischen Beweise, um mit der Personalabteilung, der Rechtsabteilung und der IT-Abteilung zusammenzuarbeiten und schnell und effektiv zu reagieren.

Erfahren Sie mehr darüber, wie Mimecast Incydr Ihnen helfen kann, unbefugten Zugriff auf Daten, Geräte, Systeme und Netzwerke in Ihrem Unternehmen zu erkennen und darauf zu reagieren.