agsandrew
Datenleak

Sensible Daten im Netz – was sollten Unternehmen tun bei Datenverlust?

Von Stefan Bange
Am

Wer im Web sucht, wird fündig - das gilt leider auch bei sensiblen Daten. Allein in den ersten drei Monaten dieses Jahres fanden Sicherheitsexperten über 1,5 Milliarden Unternehmens- und Kundendokumente im Netz – frei zugänglich über offene Cloud-Storage Lösungen, falsch konfigurierte Websites oder NAS-Laufwerke. Das Ganze ist ein Albtraum für Datenschützer.

agsandrew

Kontinuierliches Monitoring ist beim Datenschutz sehr wichtig. Foto: ©agsandrew/Depositphotos.com

Bei der Suche nach personenbezogenen Daten stießen die Analysten nach einem Bericht auf eine Datenmenge von über 12.000 Terabyte. Um das Ausmaß zu verdeutlichen: Bei den Panama Papers handelte es sich gerade einmal um 2,6 Terabyte. Dabei geht es nicht „nur“ um Login-Daten, Passwörter, Datenbank-Backups, Konfigurations-Files oder Programmquellcode. Zu den Dokumenten gehören auch Gehaltsabrechnungen, Steuererklärungen, Kreditkarteninformationen und sogar Krankenakten einzelner Personen – persönlicher kann es also kaum werden.

Mit 537 Millionen Dokumenten (36,5%) ist die EU am stärksten betroffen. Deutschland, das sich oft seines Datenschutzes rühmt, ist dabei Spitzenreiter mit insgesamt über 122 Millionen Dokumenten (22%). Die Dateien sind über offene Amazon Simple Storage Service (S3), rsync, SMB bzw. FTPserver, falsch konfigurierte Websites und Network Attached Storage (NAS)-Laufwerke zugänglich. Besonderes technisches Know-how, eine Authentifizierung oder bestimmte Hacker-Methoden, um an die Daten zu gelangen, sind damit nicht nötig. Vielmehr überraschte es die Experten, wie einfach auf diese zugegriffen werden konnte.

Unwissenheit schützt nicht vor Strafe

Die Schlussfolgerung daraus ist so ernüchternd wie zynisch: Es braucht keine Hacker mehr, die über Phising Kampagnen und Netzwerkeinbrüche mühsam versuchen an personenbezogene Dokumente zu gelangen. Unternehmen und Organisationen gelingt es auch ohne fremde Hilfe, Daten von Mitarbeitern, Partnern, Zulieferern und Kunden öffentlich zugänglich zu machen. Dass dies in den meisten Fällen unbeabsichtigt zu sein scheint, macht die Entdeckung nicht besser und schützt die Verantwortlichen im Ernstfall nicht vor Strafen.

Durch die Datenschutzgrundverordnung (DSGVO) wird sich die Lage aller Voraussicht nach verschärfen. Das Thema Datenverlust ist ein zentraler Schwerpunkt der EU-Verordnung. Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten oder speichern, müssen in der Lage sein, Datenschutzverletzungen wie Datenverlust oder Datendiebstahl nicht nur umgehend zu erkennen, sondern auch angeben können, welche Daten betroffen sind. Dabei sind sie verpflichtet, die Aufsichtsbehörden unverzüglich, binnen 72 Stunden nach Bekanntwerden über den Vorfall zu benachrichtigen. Gelingt Unternehmen dies nicht, drohen hohe Sanktionen, wobei Bußgelder von bis zu zwanzig Millionen Euro oder vier Prozent des weltweiten Umsatzes pro Vorfall möglich sind.

Blick über den Tellerrand hinaus

Während Unternehmen derzeit fieberhaft den Status ihrer Systeme überprüfen, Konfigurationsänderungen vornehmen und neue Strategien für das Datenmanagement und die Datenspeicherung durchspielen, werden personenbezogenen Daten, die bereits im Internet sowie im Deep und Dark Web im Umlauf sind, oft schlichtweg übergangen. Gerade aber dieser digitale Fußabdruck außerhalb des eigenen Unternehmensnetzwerks birgt ein hohes Sicherheitsrisiko und kann Marken- wie und Unternehmensnamen beträchtlich schaden.

Mit der DSGVO wird es wichtiger denn je personenbezogene Daten nicht aus den Augen zu verlieren. Das gilt – wie das Beispiel der 1,5 Milliarden öffentlich gewordener Daten zeigt – insbesondere für externe Services wie Cloud-Storage, Webseiten und Laufwerke. Auch wenn Mitarbeiter, Auftragnehmer oder andere Dritte die unternehmenseigenen Daten in ihren Heimnetzwerken sichern und archivieren oder Cloud-Storage-Lösungen verwenden, müssen Unternehmen sicherstellen, dass die entsprechenden Daten über alle Systeme hinweg geschützt sind.

Datenverlust ist nicht gleich Kontrollverlust

Um festzustellen, ob und wo es zu einem möglichen Datenverlust gekommen ist, empfehlen sich für Unternehmen vier grundlegende Schritte:

  1. Identifizieren von kritischen Assets: Verschaffen Sie sich einen Überblick der für Ihr Unternehmen am wichtigsten digitalen Assets, Daten und Firmengeheimnissen, die geschützt werden sollen.
  2. Kontinuierliches Monitoring: Nutzen Sie Scanning- und Monitoring-Tools, um das Open, Deep und Dark Web nach diesen Informationen zu durchkämmen, öffentlich gewordene Daten frühzeitig aufzuspüren und weiteren Datenschutzverletzungen vorzukommen.
  3. Detailanalyse durch Experten: Filtern Sie im Rahmen einer Threat Intelligence Analyse die Informationen heraus, die für Ihr Unternehmen tatsächlich relevant sind und oberste Priorität besitzen.
  4. Remediation-Maßnahmen: Nutzen Sie die Ergebnisse der Analyse als Ausgangsbasis, um Gegenmaßnahmen zu überprüfen, zu bewerten und durchzuführen, bevor die Daten von Dritten missbraucht werden können.

Mit diesen Schritten lässt sich der Verlust personenbezogener Daten auch über die unternehmenseigenen Netzwerke und Systeme hinaus nachverfolgen. Gleichzeitig erlaubt die proaktive Überprüfung im Ernstfall schneller zu reagieren und frühzeitig Maßnahmen zu ergreifen, um die Folgen auf ein Minimum zu reduzieren. Eine der Hauptursachen für die enorme Menge an Daten waren laut Bericht ehemalige Mitarbeiter, Auftragnehmer und Dritte, die die Daten unbeabsichtigt öffentlich machten. In Zeiten, in denen täglich enorme Datensätze gespeichert, verschoben und zur Verarbeitung geteilt werden, reicht es nicht mehr aus, die IT-Security gegen Angriffe von außen zu verteidigen. Vielmehr müssen Unternehmen den Überblick behalten, wie und wo ihre Daten auch außerhalb der eigenen Systeme genutzt und gefunden werden. In diesem Sinne lässt sich DSGVO auch als Chance verstehen, digitale Risiken zu prüfen, zu ermitteln und zu managen.

Über den Autor

Stefan Bange Stefan Bange ist Country Manager Deutschland bei Digital Shadows. Er ist seit mehr als zehn Jahren im Bereich IT- und Cybersicherheit tätig und verfügt über umfassende Kontakte im Bereich Vertrieb und Management. Als Country Manager Deutschland unterstützt er Unternehmen ein digitales Risikomanagement aufzubauen und dieses als proaktive Strategie für Cybersicherheit zu etablieren. www.digitalshadows.com
Zum Autorenprofil

Kommentare

Kommentar schreiben:

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.