Samstag, 20. April 2024

Software und Strategien für den erfolgreichen Mittelstand

Sensible Daten liegen nicht nur auf den Produktivsystemen

Test- und Entwicklungsdaten gehören geschützt

Test- und Entwicklungsdaten
Datenlecks lauern überall. Quelle: Informatica

Kopien der Produktivdaten kommen in vielen Unternehmen für Tests, Trainings und die Entwicklung zum Einsatz. Sind diese Informationen unzureichend geschützt, entsteht ein großes Gefährdungspotenzial: Datenlecks sind zu befürchten – und schlimmer noch: Die Lecks werden gar nicht erkannt.

Produktivdaten-Kopien

Adam Wilson, Informatica
Adam Wilson, Senior Vice President und General Manager für Information Lifecycle Management bei Informatica: „Interne Mitarbeiter beziehungsweise Insider wie Consultants gelten derzeit als das größte Gefährdungspotenzial, wenn es um Datenlecks in Unternehmen geht.“ Quelle: Informatica

Es gibt kaum mehr Unternehmen, bei denen nicht schon einmal ein Datenleck aufgetreten ist. Neben den realen Kosten für diese Vorkommnisse kämpfen Organisationen danach auch mit einem enormen Imageschaden. Adam Wilson, Senior Vice President und General Manager für Information Lifecycle Management bei Informatica, sieht vor allem die Mitarbeiter eines Unternehmens oder andere Insider – wie etwa Consultants, die von einem Unternehmen für eine gewisse Zeitspanne verpflichtet werden – als eine große Gefahrenquelle:

„Diese Personen müssen aufgrund der geschäftlichen Aufgabenstellung Zugriff auf die Stammdaten eingeräumt bekommen. Allerdings gehen sie manchmal recht sorglos mit diesen Informationen um, oder sie führen Aktionen aus, die man mit diesen Daten nicht durchführen darf.“

Dunkelziffer lässt Schlimmes befürchten

Dabei erweist sich die Dunkelziffer als ein weiteres Problem, so Wilson: „95 Prozent aller von uns befragten Unternehmen wissen gar nicht, ob sie unter Umständen ein derartiges Datenleck gehabt haben.“ Daraus zieht Wilson eine klare Konsequenz: „Die Herangehensweise an die Absicherung von Daten muss sich ändern.“ Denn trotz aller heutzutage üblichen technischen Absicherungen, wie Firewalls, IDS und IPS sowie Antivirenlösungen, zeigt sich in den meisten Fälle: Jeder Angreifer kommt irgendwie rein, es steckt viel Geld dahinter.

Daher müsse sich die Verteidigungsstrategie ändern. Es reicht nicht mehr, den Perimeter abzusichern, sondern es gilt den Datenfluss im Unternehmen genau zu beobachten. Wenn Daten “von innen nach außen“ gehen, sei größte Vorsicht geboten: „Die Sicherheit muss näher an die Daten ran, sie darf nicht nur für die Endpoints gelten. Sicherheit muss sozusagen ‚Data Aware‘ werden.“

Testdaten

Sicherheitsstrategie für Test- und Entwicklungssysteme

Die sensiblen Daten auf den Produktivsystemen haben viele Firmen noch gut im Griff. Doch für die Bedrohung durch Insider kommen andere Bereiche noch dazu: die „Non Production-Systeme“. Viele Unternehmen haben Trainings-, Test- oder Entwicklungssysteme im Einsatz. Das ist zum Beispiel im ERP-Umfeld – etwa bei großen SAP-Installationen – gang und gäbe.

Allerdings arbeitet man dort recht häufig mit „nicht anonymisierten Daten“ oder mit Informationen, bei denen sich recht einfach der Personenbezug wiederherstellen lässt. Bei diesen Trainings- oder Testsystemen werden zudem gerne die Sicherheitsvorkehrungen außer Betrieb genommen – es geht ja „nur“ darum, schnell mal etwas auszuprobieren und das muss mit wenig Aufwand und komfortabel über die Bühne gehen. Da stören Sicherheitsvorkehrungen nur.

Dem Datenschlendrian vorbeugen

Für Adam Wilson ergibt sich daraus ein großes Gefahrenpotenzial: „Unsere Erfahrungen haben gezeigt, dass viele Unternehmen für jedes Produktivsystem acht bis zwölf Kopien der Daten vorhalten, die in ihren Test-, Trainings-, Entwicklungs- oder Sicherungssystemen liegen.“ Diese Daten kommen zum Einsatz, wenn es zum Beispiel um Tests geht, die die „Usability Acceptance“ sicherstellen sollen. Bei den meisten dieser Zusatzdaten ist laut Wilson eine Eigenschaft zu vermelden: „Sie enthalten in vielen Fällen eine vollständige Kopie der Produktivdaten.“

Die Auslagerung von IT-Arbeiten im Zuge des Offshorings oder Outsourcings der Systeme sowie der Softwareentwicklung verstärkt das Problem. Daher muss sich der Sicherheitsverantwortliche im Unternehmen immer die Frage nach der Anzahl der Datenkopien stellen. Erst dann kann er das Gefährdungspotenzial für sein Unternehmen klar einschätzen.

Rainer Huttenloher

Datenfokussierung

Raimund Genes, Trend micro. Quelle: Controlware

Künftig in erster Linie die Daten schützen

Viel Geld steckt hinter Angriffen, der Schutz durch Perimeter allein reicht nicht mehr. Diese Meinung vertritt Raimund Genes, CTO bei Trend Micro. Zudem macht die „Consumerization“ der IT mit Konzepten wie BYOD (Bring Your Own Device) die Umgebungen noch komplexer. In einer Umfrage von Trend Micro haben 52 Prozent aller Unternehmen zugegeben, dass bei ihnen im Jahr 2011 ein Sicherheitsvorfall aufgetreten ist. Dabei hatten alle diese Firmen Antivirus-Lösungen, IPS und IDS sowie Firewalls im Einsatz hatten.

Das Beispiel bei Sony zeigt es deutlich: Da verschwanden 110 Millionen Datensätze – und das passiert nicht in Millisekunden. Da wurde ein Server gehackt – der Server war eine vertrauenswürdige Ressource. Daher ist es nicht damit getan, die Daten zu verschlüsseln. Einen ähnlichen Vorfall hat es bei RSA gegeben. Auch dort hat Malware – zuerst gezielt ausgebracht – Daten abgefischt.

Ansätze wie Data Leak Prevention helfen da nicht, so Genes: „Beim Transfer der gestohlenen Daten aus dem Unternehmen kann der Angreifer die Daten wieder selbst verschlüsseln. Somit bekommen interne Überwachungssysteme – wie DLP – nichts vom Datenklau mit. Erst auf dem externen Rechner des Angreifers werden dann die abgezogenen Daten entschlüsselt.“

Rainer Huttenloher

Anmeldung

Passwort vergessen

Sie haben ein falsches Passwort oder einen nicht vorhandenen Usernamen eingegeben, haben Sie vielleicht Ihr Passwort vergessen?
Passwort zurücksetzen

Zurück zum Anmeldeformular 

Logo Solutions for Business

Tel: +49 8191 9649-0
Fax: +49 8191 70661
E-Mail: service@itp-verlag.de