Datenklau im Gesundheitsministerium: "Um zu wissen, was verdächtig ist, muss Normalität definiert werden"

Der Umgang mit sensiblem Datenbestand bedarf gezielter Analyse- und Überwachungsmethoden
(PresseBox) (Maidenhead Berkshire, ) Nach Bekanntwerden des aktuellen Spionagevorfalls im Gesundheitsministerium werden nun Fragen laut, wie über Jahre hinweg teils sensible Daten – wie beispielsweise Informationen zu kommenden Gesetzesentwürfen – aus dem Intranet unbemerkt entwendet werden konnten und wieso ein externer Dienstleister scheinbar unkontrolliert allumfassenden Zugriff auf diese hatte.

Ralph Kreter, Director Central Europe and Middle East bei LogRhythm, einem der Marktführer im Bereich Cyber Threat Erkennung und Abwehr, kommentiert die aktuelle Datenpanne und erklärt, wie sie verhindert hätte werden können:

„Was Bundesverbraucherministerien Ilse Aigner am vergangenen Montag bei der Eröffnung des CyberCrime-Kongresses in München von der Wirtschaft gefordert hat, nämlich Verantwortung für eine sichere Informationstechnik zu übernehmen und nicht an der falschen Stelle zu sparen, gilt natürlich gleichermaßen für die staatliche und öffentliche IT-Infrastruktur. Ganz allgemein gesprochen, gilt es Schutzmechanismen einzurichten, die einen Datenmissbrauch – egal ob jahrelang oder einmalig – unterbinden und in Echtzeit nachvollziehbar machen. Dafür ist aber ein Umdenken vonnöten: Weg von den punktuell-wirksamen, rein reaktiven IT-Sicherheitswerkzeugen und hin zu proaktiven, in Echtzeit agierenden sowie allumfassenden Sicherheitslösungen.

Die klassischen und mittlerweile obligatorischen Sicherheitsvorkehrungen wie zum Beispiel Firewalls, Anti-Viren-Software oder Intrusion Detection Systeme sind nicht in der Lage hochkomplexe Cyberbedrohungen zu erkennen – und schon gar nicht Angriffe, die von innerhalb des Netzwerkes aus erfolgen. Um Daten wirklich zu schützen, bedarf es einer Lösung, die den kompletten Netzwerkverkehr permanent überwacht und den Normalzustand kennt. Von wo aus erfolgen gewöhnlich welche Zugriffe? Wie sind diese gerichtet? Von außen nach innen oder umgekehrt? Wie verhält sich der Traffic zu welcher Uhrzeit? Wer ist berechtigt, auf welche Dateien zuzugreifen? Das ist nur eine kleine Auswahl an Fragen die gestellt und vor allem beantwortet werden müssen. Denn diese charakterisieren die Normalität des Netzwerkverhaltens. Erst auf Grundlage des Normalen werden Abweichungen augenfällig.

Um Vorfällen wie im Gesundheitsministerium vorzubeugen, ist es wichtig, dass Organisationen die richtigen Schlüsse ziehen: Das A und O ist es, das Netzwerkgeschehen permanent automatisiert zu überwachen, um zu sehen, was eigentlich passiert. Des Weiteren spielen rollenbasierte Nutzerrechte und die gesonderte Überwachung sensibler Datenbestände eine essentielle Rolle. Nutzer mit besonderen Nutzungsrechten, sogenannte privilegierte User, bedürfen einer gezielten Überwachung ihres Verhaltens im Netzwerk. Zu diesem Personenkreis zählen interne IT-Administratoren, Buchhalter, die komplette Managementebene und – wie in diesem Fall – externe IT-Dienstleister. Es ist meist unumgänglich, dass zur Pflege und für Wartungs- oder Reparaturarbeiten Nutzer mit übergreifenden Rechten ausgestattet werden, aber gerade wenn solche Leistungen zugekauft werden, darf sicherheitstechnisch nicht nachlässig agiert werden. SIEM (Security Information and Event Management)-Lösungen der nächsten Generation können das Verhalten beliebiger Nutzergruppen mittels ‚privileged user monitoring’-Tools nachvollziehen, aufzeichnen und bei Anomalien oder unautorisierten Zugriffen proaktiv Warnhinweise ausgeben. Eine weitere Sicherheitsvorkehrung wäre gewesen, sensible Daten gesondert zu überwachen. Dafür bieten ‚SIEM 2.0’-Plattformen mit ‚file integrity monitoring’-tools eine effektive Möglichkeit, zu beobachten, was mit kritischen Daten passiert sowie Alarm zu schlagen, wenn nicht genehmigte Aktionen erfolgen, wie beispielsweise das Löschen, Verschieben, Kopieren oder nur das schlichte Lesen von einzelnen Dateien.

Neben all den technischen Möglichkeiten – um mit Ilse Aigners Worten zu enden – sollte zudem eine Kultur der Transparenz etabliert werden. Denn nur wenn rigoros alle Datenpannen, -lecks und Hackerangriffe öffentlich bekannt werden, kann dem Missbrauch von persönlichen, kritischen oder sensiblen Daten adäquat gegenüber getreten werden.“

Kontakt

LogRhythm
Balanstrasße 73
D-81541 München
Social Media