In unserer dreiteiligen Reihe zum Thema „Break the Attack Chain“ (Unterbrechen Sie die Angriffskette) sehen wir uns an, wie Bedrohungsakteure Schutzmaßnahmen kompromittieren und sich lateral in Netzwerken bewegen, um Berechtigungen zu eskalieren und das Endspiel vorzubereiten. Wir kommen jetzt zur letzten Phase der Angriffskette, für die wir unsere Perspektive etwas erweitern müssen.
Externe Bedrohungsakteure folgen meist dem gleichen Szenario, doch sie sind nicht Ihre einzigen Gegenspieler. Heutzutage verlassen Daten in vielen Fällen das Unternehmen durch die Eingangstür, weil Mitarbeiter sie ganz einfach mitnehmen. Mehr als 40 % der Angestellten geben zu, dass sie Daten mitnehmen, wenn sie das Unternehmen verlassen. Gleichzeitig sind Angestellte, die fahrlässig handeln und Sicherheitsfehler machen, für mehr als die Hälfte der Datenverluste durch Insider verantwortlich.
Sie müssen also nicht nur Cyberkriminelle erkennen und abwehren, die Ihre Daten exfiltrieren wollen, sondern auch Ihre eigenen Anwender überwachen, da sie vertrauliche Daten aus böswilligen Motiven oder durch fahrlässiges Verhalten kompromittieren können.
In diesem dritten und letzten Artikel dieser Reihe erklären wir, auf welchen Wegen Unternehmen häufig Daten verlieren – und wie Sie vorgehen können, um sich vor den verschiedensten Risiken besser zu schützen.
Verstehen der Gründe für Datenverlust
Wie bei jeder Phase der Angriffskette müssen Sie zunächst die Bedrohungen verstehen, bevor Sie passende Schutzmaßnahmen implementieren können. Sehen wir uns zunächst einen Cyberkriminellen an, der einer typischen Angriffskette folgt. Das klingt zwar nicht nach einem klassischen Insider-Angriff, wird jedoch häufig durch fahrlässig oder sorglos handelnde Mitarbeiter unterstützt.
Anwender kompromittieren Daten und schaffen auf vielfältige Weise Kompromittierungsrisiken für ihre eigenen oder Unternehmensdaten, z. B. indem sie schwache Kennwörter verwenden, Anmeldedaten für mehrere Konten nutzen, bewährte Sicherheitsmethoden ignorieren oder auf schädliche Links oder Anhänge klicken. Jede dieser riskanten Aktionen gibt Cyberkriminellen eine Möglichkeit, in Ihre Netzwerke zu gelangen und sich dort lateral zu bewegen sowie ihre Rechte zu erweitern.
Zwischenfälle wie diese sind so häufig, dass fahrlässige oder kompromittierte Anwender mehr als 80 % aller Datenverluste durch Insider verursachen. Böswillige Anwender sind für die restlichen 20 % verantwortlich. Zu Insider-Bedrohungen gehören unzufriedene Mitarbeiter, die Ihrem Unternehmen schaden wollen, von Cyberkriminellen kompromittierte Anwender und zunehmend auch Mitarbeiter, die in Kürze Ihr Unternehmen verlassen werden.
In den meisten Fällen erfolgt Datenexfiltration in drei Stufen:
- Zugriff: Böswillige oder kompromittierte Anwender versuchen, auf so viele Informationen wie möglich zuzugreifen. Dazu übertragen sie große Datenmengen durch das Herunterladen oder Kopieren von Unternehmenslaufwerken bzw. durch das Exportieren über Weboberflächen oder Client-Anwendungen.
- Verschleierung (Obfuskation): Cyberkriminelle sind sich ebenso wie böswillige Insider bewusst, welche Aktivitäten wahrscheinlich einen Alarm auslösen. Um dies zu vermeiden, ändern sie häufig Dateinamen und -erweiterungen, löschen Protokolle und Browserverläufe und verschlüsseln Dateien.
- Exfiltration: Wenn die Ziele anvisiert und die Wege dorthin gefunden wurden, erfolgt die Datenexfiltration, indem Dateien in eine persönliche Cloud oder auf ein Wechselspeichermedium übertragen und an private oder Wegwerf-E-Mail-Konten gesendet werden.
Schutz vor Bedrohungen von innen
Wie wir in unserer Webinar-Reihe gezeigt haben, geht es in der ersten Phase der Angriffskette vor allem darum, böswillige Akteure vom Unternehmen fernzuhalten. In den letzten beiden Phasen liegt der Fokus jedoch mehr auf dem, was im Unternehmen geschieht.
Daher muss eine effektive Abwehr von innen nach außen wirken. Sie muss verdächtige Aktivitäten erkennen und stoppen, bevor Daten interne Schutzmaßnahmen überwinden und in die Welt außerhalb des Unternehmens gelangen. Daten können vieles, aber sie können Ihr Unternehmen nicht von allein verlassen.
Hinter jedem Datenverlust steht immer ein Anwender – ganz gleich, ob dieser fahrlässig handelt, sich böswillig verhält oder sein Konto kompromittiert wurde. Daher sind klassische Tools zur Datenverlustprävention (Data Loss Prevention, DLP) nicht mehr so effektiv wie in der Vergangenheit. Diese Tools konzentrieren sich auf den Inhalt eines Zwischenfalls und decken dadurch nur ein Drittel des Problems ab.
Für umfassenden Schutz vor Datenverlust müssen Sie stattdessen die Klassifizierung von Inhalten mit Telemetriedaten zu Bedrohungen und Erkenntnissen zum Anwenderverhalten kombinieren. Proofpoint Information Protection ist die einzige Lösung, die diese drei Kanäle auf einer einzigen, Cloud-nativen Oberfläche zusammenführt.
Anhand dieser Informationen können Sicherheitsteams feststellen, wer auf Daten zugreift und diese wann, warum und wohin bewegt. Durch die Einbindung von Bedrohungsdaten kann Proofpoint Information Protection E-Mail-Bedrohungen solchen Aktivitäten zuordnen, die Daten über die Cloud und in andere Umgebungen übertragen.
Diese Transparenz ist für die Abwehr von Cyberbedrohungen unverzichtbar. Je mehr Sie über Ihre Daten und die Mitarbeiter wissen, die darauf zugreifen können, desto besser sind Sie in der Lage, die Angriffskette zu unterbrechen.
Proofpoint Information Protection hilft Ihnen jedoch nicht nur, verdächtige Aktivitäten sichtbar zu machen, sondern erkennt und blockiert zusätzlich aktiv Datenexfiltrationsversuche. Deshalb vertrauen 45 % der Fortune 100 auf Proofpoint und diese Vorteile:
- Schutz von vertraulichen Daten und geistigem Eigentum
- Verhinderung von Datenverlust durch Personen, die das Unternehmen verlassen
- Schutz vor böswilligen, fahrlässigen und kompromittierten Anwendern
Weitere Informationen
Sehen Sie sich unser Webinar an und erfahren Sie, wie Sie Ihr Unternehmen von innen vor Risiken für Ihre Informationen schützen können.
Informieren Sie sich über Proofpoint Information Protection, die einzige Lösung, die Klassifizierung von Inhalten, Telemetriedaten zu Bedrohungen und Erkenntnisse zum Anwenderverhalten auf einer einzigen, Cloud-nativen Oberfläche zusammenführt.