Das Phänomen ist nicht neu: Externe Dienstleister stellen ein weithin unterschätztes Sicherheitsrisiko dar. Das bestätigte jüngst eine Umfrage bei der im Rahmen des „Vendor Vulnerability Survey 2016“, die Computerwoche berichtete, annähernd 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA befragt wurden. Demnach vertrauen erstaunlicherweise gerade die als besonders sicherheitsaffin geltenden Deutschen ihren Partnern mehr als die Befragten aus den anderen Nationen. Nur wenige überprüfen, wer von welchen Dienstleistern wie in ihre Systeme gelangen kann, geschweige denn welche Zugriffsberechtigungen an dieser Stelle vergeben worden sind. Gleichzeitig sagen 83 % der befragten deutschen Firmenvertreter, dass sie damit rechnen innerhalb der kommenden zwei Jahre Opfer eines Cyberangriffs zu werden.
Das mutet widersprüchlich an, deckt sich aber mit unseren Erfahrungswerten. Und das keineswegs nur in kleinen und mittelständischen Unternehmen. Großkonzerne, darunter selbst Banken und Versicherungen, machen hier keine Ausnahme. Gerade Providern werden an dieser Stelle weitreichende Zugriffsrechte eingeräumt. In manchen Fällen haben sie exakt dieselben Rechte wie die IT-Administratoren selbst. Warum gerade bei den Deutschen der Anteil der Vertrauensseligen so hoch ist, darüber kann man nur spekulieren. Bei der zitierten Umfrage sind es jedenfalls satte 92 % der Befragten, die ihren Dienstleistern so weit vertrauen, dass sie ihnen weitreichende Privilegien einräumen. Und das, obwohl bei Externen erwiesenermaßen eines der wesentlichen Einfallstore für Angriffe liegt.
Es scheint als würden gerade die deutschen Unternehmen an dieser Stelle einer folgenschweren, weil falschen, Gleichsetzung erliegen.
Es liegt in der Natur des Menschen, anderen Menschen tendenziell vertrauen zu wollen. Das ist eine Grundlage des Social Engineerings.
Dabei mag es durchaus zutreffend sein, einem renommierten Dienstleister nicht per se kriminelle Energie zu unterstellen. Darum geht es aber nicht, sondern viel mehr darum, dass externe Partner oftmals selbst längst nicht so gut abgesichert sind wie das Unternehmen, das sie beliefern oder für das sie bestimmte Services anbieten. Experten schätzen die davon ausgehende Gefahr als durchaus sehr real ein.
Selbst wenn man einen Dienstleister im Rahmen des Auswahlprozesses auf Herz und Nieren geprüft hat sollte ein Vertrag entsprechende Klauseln enthalten. Um dann noch den gesetzlichen Anforderungen an die Auftragsdatenbearbeitung zu entsprechen, empfehlen Berater einen separaten Vertrag abschließen. Stellt man Unternehmen allerdings direkt die Frage, ob sie von den gesetzlichen Regelungen betroffen sind, erntet man nicht selten ein Kopfschütteln als Antwort. Freie Mitarbeiter, externe Dienstleister oder nur projektweise mit bestimmten Daten befasste Berater werden dabei gerne vergessen. Betroffen sind allerdings mehr Beteiligte als gemeinhin angenommen. Eine Datenverarbeitung im Auftrag liegt dann vor, wenn Daten im Auftrag durch eine andere Stelle erhoben, verarbeitet und genutzt werden und die Verantwortung dafür beim Auftraggeber verbleibt. Wie der Fall der Datenübermittlung bewertet wird ist nicht ganz trivial. Hier existieren unterschiedliche Auffassungen welche Kriterien angelegt werden sollten.
Eine gute Richtschnur bei der Auswahl des Dienstleisters bieten unter anderem Zertifizierungen wie die nach den Normen der ISO 27001/27002-Serie und den Vorgaben des BSI-Grundschutz, denen beispielsweise IT-Dienstleister unterliegen. Das BSI selbst bewertet den IT-Grundschutz als eine einfache Methode, dem Stand der Technik entsprechend Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Allerdings kann das in der Praxis vor allem wenn es um das Einbinden externer Dienstleister geht deutlich anders aussehen. Nicht immer ist der IT-Grundschutz dann so ganz einfach zu überprüfen oder zu realisieren. Trotzdem lohnt es sich innerhalb und außerhalb des Unternehmens einen genaueren Blick auf die Voraussetzungen zu werfen.
Zum Beispiel dann, wenn ein Unternehmen lediglich einige wesentliche Voraussetzungen in der eigenen Infrastruktur schaffen muss, ohne gleich komplette Geschäftsprozesse umzukrempeln. Das sind beispielsweise
Prozesse, die betreffen, wer auf welche Daten zugreifen darf, kann, sollte oder muss. Ein weiterer Bereich betrifft das komplette Management der Zugriffsrechte. Dazu kommen spezielle Richtlinien, die in Branchen berücksichtigt werden müssen, die mit besonders sensiblen und vertraulichen Daten agieren. Beispielsweise Unternehmen innerhalb der Finanzbranche wie Banken und Versicherungen und natürlich alle Akteure im Gesundheitswesen. Hier geht man von einem potenziell höheren Risiko aus als in anderen Branchen. Und die Konsequenzen potenzieller Datenschutzverstöße sind ungleich weitreichender. Und das gilt ganz genauso, ob es sich um ausgelagerte IT-Dienstleister, Provider, Personaldienstleister oder externe Berater handelt, die nur für einen bestimmten abgegrenzten Projektzeitraum im Unternehmen beschäftigt waren.
Hat man die Möglichkeit neben den Zugriffsaktivitäten auch die zugehörigen Metadaten zu erheben, sie zusätzlich zu analysieren und zu klassifizieren sowie diese Informationen mit einer Analyse des Nutzerverhaltens zu kombinieren, ergibt sich ein weit kompletteres und vor allem aktuelles Bild. Anomalien beim Zugriffsverhalten oder verdächtige Aktivitäten sind frühzeitig zu erkennen, und damit potenzielle Datenschutzverstöße, Leaks und Insider-Aktivitäten im Anfangsstadium.
Was die praktische Umsetzung anbelangt sind sehr kleinteilig gesetzte Regeln ein probates Mittel. Mit ihrer Hilfe identifiziert man bestimmte abweichende Verhaltensmuster gegenüber vorher definierten Normalwerten.
Allerdings ist es nicht ganz einfach zu ermitteln, welche Informationen ein externer Partner tatsächlich braucht und für wie lange er auf diese Ressourcen zugreifen darf. Je nach dem, wen man dazu in einem Unternehmen befragt, fallen die Antworten durchaus unterschiedlich aus. Die Beantwortung dieser Fragen alleine in die Verantwortlichkeit der IT-Abteilung und/oder der ausgewählten technischen Tools zu legen, reicht nicht aus. Ist ermittelt, wer auf welche Daten zugreifen kann, ist es sinnvoll diejenigen in die Vergabe der Zugriffsrechte einzubinden, die den inhaltlichen Kontext zu den Daten haben. Diese Fachverantwortlichen zu ermitteln und anschließend am Vergabeprozess zu beteiligen reduziert das Risiko zu weit gefasster Zugriffsrechte. Der Prozess schließt ein, dass die Zugriffsrechte, inklusive der Rechte, die an externe Dienstleister vergeben werden, so vergeben sind, dass sie einerseits den Sicherheitsanforderungen genügen und andererseits die Arbeitsläufe als solche gleich mit optimieren.
Wenn man die bei der Analyse des Benutzerverhaltens ermittelten Daten mit den gleichzeitig erhobenen Metadaten kombiniert, profitieren davon nicht nur Unternehmen und Institutionen selbst, sondern auch externe Dienstleister wie Service Provider:
§ Sie bieten ihren Kunden einen Benachrichtigungsservice in Echtzeit
§ Sie identifizieren Malware-/Ransomware-Infektionen wie beispielsweise Cryptolocker frühzeitig und können sie blockieren (in etwa 5 Minuten)
§ Sie erkennen Anomalien, die bei Zugriffsaktivitäten auf sensible Daten auftreten tatsächlich als solche, und können frühzeitig Gegenmaßnahmen ergreifen (wie bestimmte Konten sperren zum Beispiel)
§ Sie sind in der Lage Datenschutzverletzungen oder das Herausschleusen von auf dem Server gespeicherten Daten zu erkennen und zu stoppen.
Viele der massiven Datenschutzverletzungen insbesondere dieses und des zurückliegenden Jahres weisen strukturelle Ähnlichkeiten auf. In zahlreichen Fällen ist es den Angreifern gelungen, sich in den Besitz der Login-Daten eines Mitarbeiters zu bringen. Unabhängig davon ob Mitarbeiter oder ehemaliger Angestellter, externer Dienstleister oder Hacker, was alle Bedrohungen dieser Art gemeinsam haben ist, dass sie schwer zu entdecken und noch schwerer zu verhindern sind.
An vielen Stellen sind die Zugriffsaktivitäten der Schlüssel will man potenzielle Datenschutzverletzungen frühzeitig verhindern. Nur, dazu braucht man zweierlei: Man muss wissen, wer welche Zugriffsrechte hat und man muss wissen, was er damit tatsächlich tut, respektive tun kann.
Gerade bei Großunternehmen und Konzernen besteht Handlungs- wenn nicht Nachholbedarf. Und der Automatisierungsgrad ist in diesem Bereich längst nicht so weit fortgeschritten wie es die schiere Größe eines Unternehmens nahelegen würde.