Image taken from: https://unsplash.com/photos/YF7iYfmF488

Das traditionelle Sicherheitsmodell überdenken: Warum ein datenorientierter Ansatz jetzt wichtig ist

Daten werden längst nicht mehr nur in den eigenen Rechenzentren gespeichert, sondern immer häufiger in On-Premises- und Cloud-Speichern, auf die Mitarbeiter von überall aus zugreifen können. Auf diese Weise nimmt die Bedeutung des klassischen Perimeters und seines Schutzes immer mehr ab. Stattdessen müssen die wertvollen Daten ins Zentrum der Sicherheitsstrategie gerückt und damit das traditionelle Sicherheitsmodell auf den Kopf gestellt werden.
15. April 2022

Wir wissen es schon lange: Daten sind das neue Gold. Und dieses Gold befindet sich längst nicht mehr ausschließlich in den stark geschützten Tresoren, also den Rechenzentren, sondern in On-Premises- und Cloud-Speichern, auf die Mitarbeiter von überall aus mit Telefonen, Tablets und Laptops zugreifen können. Der klassische Perimeter hat sich dadurch immer stärker aufgelöst. Ebenso spielen die Endpoints eine immer geringere Rolle, da kaum mehr Daten ausschließlich auf ihnen „leben“.

Die digitale Transformation und die zunehmende Cloud-Nutzung haben das traditionelle Sicherheitsmodell, das sich auf den Perimeter und die Endpunkte konzentrierte, auf den Kopf gestellt. Anstatt sich auf das „Außen“ zu konzentrieren, müssen Unternehmen damit anfangen, „von innen nach außen“ zu denken und die Sicherheit der Daten in den Mittelpunkt ihrer Sicherheitsstrategie zu stellen. Denn letztlich sind die Daten selbst der neue Perimeter.

Im Kern geht es bei der Datensicherheit um drei einfache Fragen:

  • Wissen wir, wo unsere wichtigen Daten gespeichert sind?
  • Haben nur die richtigen Personen Zugang zu den Daten?
  • Und ist gewährleistet, dass die Daten korrekt verwendet werden?

Nur wenn man alle drei zu jedem Zeitpunkt mit „Ja“ beantworten kann, sind die Daten sicher. Ist die Antwort auf nur eine der Fragen ein „Nein“, steht man vor einem Problem. Eine positive Beantwortung wird dabei auch deshalb immer schwieriger, da die Menge der Daten sowohl vor Ort als auch in Cloud-Anwendungen und -Datenspeichern wächst, die alle ihre eigenen Sicherheitsmodelle haben.

Wo befinden sich die wertvollen Daten?

Blicken wir nun etwas genauer auf die drei Fragen, um die jeweiligen Herausforderungen zu ergründen. Um die erste Frage zu beantworten, muss man zunächst wissen, welche Daten überhaupt wichtig sind. Blenden wir das gewaltige Problem der Schatten-IT einmal aus, müssen wir erkennen, dass selbst im Bereich der sanktionierten Anwendungen die Angriffsfläche groß, schwer zu visualisieren und das Risiko schwer zu bewerten ist. In vielen Unternehmen werden die Mitarbeitenden deshalb angehalten, Dateien zu kennzeichnen, oder oftmals werden Bord-Mittel zur Automatisierung eingesetzt.

Es ist sicherlich sinnvoll, ein riesiges Problem in kleinere Teile zu zerlegen, aber das Problem ist so groß geworden, dass selbst die kleineren Teile überwältigend sein können. Die meisten Unternehmen sind überrascht über die Anzahl der sensitiven Dateien, die sie finden. Tausende von Dateien hier, Zehntausende dort. Und die Liste ändert sich ständig, da Mitarbeitende ja weiterhin Dateien erstellen und diese bearbeiten. Ohne einen klaren Plan ist man hier schnell verloren. Radikale Ansätze, wie die rigorose Beschränkung des Zugriffs auf eine sehr kleine Gruppe, sind kein geeigneter Ausweg und riskieren die Geschäftskontinuität nachhaltig. Ebenso wenig lösen sie das Kernproblem, nämlich sicherzustellen, dass nur diejenigen Zugriff auf die Daten haben, die ihn auch tatsächlich für ihre Arbeit benötigen. Um diesen Least-Privilege- oder auch Zero-Trust-Ansatz umsetzen zu können, muss man zunächst feststellen, wer überhaupt Zugang zu den Daten hat. Was sich einfach anhört, stellt sich in der Realität als große Herausforderung dar, insbesondere in der Cloud.

Wer hat und wer benötigt Zugriff auf die Daten?

Der Zugriff auf Daten wird über Berechtigungen oder Zugriffskontrolllisten geregelt. Während die Logik in allen Anwendungen und Datenspeichern ziemlich einheitlich ist, unterscheidet sie sich in den unterschiedlichen Anwendungen jedoch recht deutlich. Die spezifischen Aktionen, die Benutzer durchführen können, werden in jeder Applikation anders beschrieben, auch wenn sie meist in die Kategorien Erstellen, Lesen, Aktualisieren, Löschen oder gemeinsame Nutzung von Daten fallen.

Hinzu kommt, dass die Berechtigungen für spezifische Objekte recht komplex sein können und oftmals von Datenspeicher zu Datenspeicher stark variieren. Attribute wie objektspezifische Berechtigungen, Gruppenbeziehungen, hierarchische Vererbung, Rollen und Rollenhierarchien sowie systemweite Einstellungen erhöhen die Komplexität. Um die Zugriffsrechte eines jeden Benutzers richtig zu verstehen, müssen alle diese Attribute und funktionalen Beziehungen über Datenspeicher und Anwendungen hinweg normalisiert werden. Ohne diese Art der Automatisierung ist die Feststellung, wer Zugriff auf Daten hat, eine äußerst zeitaufwändige Aufgabe.

Und damit ist nur die eine Hälfte der Fragestellung beantwortet. Um für die Zukunft die richtigen Entscheidungen hinsichtlich der Berechtigungen zu treffen, muss man vor allem erkennen können, wer den Zugang auch tatsächlich benötigt. Hier helfen intelligente Analysen des Nutzerverhaltens, die deutlich machen, wer auf welche Daten in welchem Umfang zugreift.

Werden die Daten korrekt verwendet?

Eben jene Analysen des Nutzerverhaltens sind auch in der Lage zu erkennen, ob auf die Daten in „normalem“ Umfang zugegriffen wird. Allerdings ist die Überwachung der Nutzung nicht trivial. Einige Anwendungen und Systeme erfassen nicht einmal standardmäßig die Datennutzung. Andere erfassen diese zwar, allerdings oftmals unpräzise und unvollständig. Besonders gravierend ist jedoch, dass in den meisten Fällen der Kontext fehlt, wie wichtig die Daten sind oder wer auf sie zugreift. Ohne ein Verständnis für die normale Nutzung ist die Erkennung einer abnormalen Nutzung unmöglich.

Deshalb muss die Erkennung des Verhaltens alle Dateiaktivitäten einbeziehen, ganz gleich ob diese on-premises oder in der Cloud stattfinden. Hierbei spielt der Kontext eine entscheidende Rolle: So müssen die Aktivitäten immer mit weiteren Kontextinformationen wie verwendete Geräte, Geolokation oder Uhrzeit verknüpft werden. So gibt es im Zeitalter des mobilen Arbeitens legitime Gründe dafür, dass ein Mitarbeitender von einem bislang noch nicht genutzten Rechner auf das Unternehmensnetzwerk zugreift. Hier sollte schon eine erste Warnung ausgegeben werden. Meldet sich ein Nutzer dann noch plötzlich aus einem ganz anderen Land an, sollte dies umgehend genauer betrachtet und gegebenenfalls entsprechende Maßnahmen eingeleitet werden. Gleiches gilt für das Nutzerverhalten: Öffnet ein Projektmanager plötzlich reihenweise HR-Dateien, ist dies ein ernsthaftes Anzeichen für einen Sicherheitsvorfall.

Drei scheinbar einfache Fragen, die in der Praxis jedoch häufig schwierig zu beantworten sind. Zudem müssen für eine effektive Datensicherheit alle drei Fragen zu jedem Zeitpunkt positiv beantwortet werden können: Nur zu wissen, welche Daten wichtig sind, bietet einem keinen Überblick darüber, welche Daten exponiert sind. Hierzu muss man die entsprechenden Zugriffsrechte kennen. Ohne Überwachung der Nutzung weiß man nicht, wer Zugang benötigt und wie man eventuelle Offenlegungen sicher beheben kann. Ohne Überwachung der Nutzung lässt sich auch nicht feststellen, ob wichtige Daten gestohlen oder bei einem Ransomware-Angriff verschlüsselt werden. Das Ganze ist also größer als die Summe seiner Teile.

Die unzähligen erfolgreichen Ransomware-Angriffe der letzten Jahre machen uns mehr als deutlich, dass unsere bisherigen Sicherheitsansätze nicht mehr der Bedrohungslage entsprechen. Deshalb ist es höchste Zeit umzudenken und lange Zeit bewährte Ansätze zu hinterfragen. Um die Daten zu schützen, müssen wir sie ins Zentrum unserer Sicherheitsstrategie stellen und Sicherheit nicht mehr „von außen nach innen“, sondern „von innen nach außen“ denken.

Michael Scheffler verfügt über eine mehr als 20-jährige Erfahrung im Bereich beratungsintensiver Security-Lösungen und verantwortet seit April 2020 als Country Manager DACH und Osteuropa das Wachstum und die Positionierung des Datensicherheits-Spezialisten Varonis in dieser Region.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

26281

share

Artikel teilen

Top Artikel

Ähnliche Artikel