Datenschutztag: Und jährlich grüßt das Murmeltier

Bernard Montel - Tenable,
Linkedin
Datenschutz in der Cloud (Bild: Shutterstock)

Jedes Jahr sprechen wir über Datenschutz und jedes Jahr steigt die Zahl der Menschen, deren Daten kompromittiert wurden, sagt Bernard Montel von Tenable.

Das Recht des Einzelnen auf Datenschutz ist ein fundamentales Gut, aber wenn Hacker in der Lage sind, Daten zu stehlen, auszulesen und zu veröffentlichen, gibt es de facto keinen Datenschutz. Datenschutz muss in der Praxis gelebt werden – oder er existiert nicht.

IT Governance zufolge wurden im letzten Jahr rund 8,2 Milliarden Datensätze geleakt. Auch wenn nicht jeder Datensatz einzigartig ist, ist das doch eine ganze Menge persönlicher Daten in den falschen Händen. Und erst kürzlich wurde der laut Experten bislang vielleicht größte Leak überhaupt bekannt: 26 Milliarden personenbezogene Datensätze sind betroffen. Leider wissen Bedrohungsakteure nur zu gut, wie lukrativ das Geschäft mit sensiblen Daten ist – und wie gering die Wahrscheinlichkeit, gefasst oder bestraft zu werden.

Credential Stuffing

Bedrohungsakteure können die im Rahmen zahlreicher Breaches geleakten Daten in einer einzigen großen Datenbank zusammenfassen und mit Querverweisen versehen, um weitere Angriffe zu lancieren. Beim sogenannten „Credential Stuffing“ etwa wird die Kombination aus Benutzername und Passwort eines Services verwendet, um einen anderen zu kompromittieren. Indem sie sensible Daten aus verschiedenen Quellen kombinieren – zum Beispiel Passwörter, PINs, Sozialversicherungsnummer, Geburtsort et cetera – und ein umfassendes Profil einer Person erstellen, verfügen sie mitunter über genügend Informationen, um Sicherheitsfragen beantworten und sich Zugang zu Bankkonten verschaffen zu können. Je mehr Daten Hackern zur Verfügung stehen, desto größer ist das Risiko.

Cloud Computing bringt neue Schwachstellen

Wir müssen damit beginnen, Schutzmaßnahmen noch engmaschiger zu spannen, um Datendiebstahl zu verhindern. Wir wissen, dass die Angriffsmethoden der Bedrohungsakteure weniger innovativ oder gar einzigartig als vielmehr opportunistisch sind. Sie sehen viele Wege in und durch IT-Umgebungen. Die flächendeckende Einführung von Cloud Computing bringt neue Schwachstellen und komplexeres Management mit sich – beides machen sich böswillige Akteure zunutze.

In den meisten Fällen sind es bekannte Schwachstellen, die Bedrohungsakteuren Tür und Tor zu Unternehmensinfrastrukturen öffnen. Sobald sie sich Zugang verschafft haben, werden sie versuchen, Fehlkonfigurationen in Active Directory auszunutzen, um Rechte auszuweiten, Daten abzugreifen, Systeme zu verschlüsseln oder das Business anderweitig zu beeinträchtigen. Wenn wir nicht sorgfältiger vorgehen und diese Angriffsvektoren identifizieren und blockieren, stehen wir am nächsten Datenschutztag wieder vor demselben Dilemma.

 

Bernard Montel

ist EMEA Technical Director and Security Strategist bei Tenable.