Informationssicherheit

von

Daten dürfen nicht als zusammenhängender Block fallen

Die Daten sollen nicht zusammenhängend in einer Tabelle angelegt sein.

In professionellen Umgebungen steuern Berechtigungen den Zugriff auf Systeme, Systemkomponenten und Datenbanken.

Es geht also nicht primär darum, ein perfektes System zu entwerfen, in das eine Migration des Legacy-Systems oder der bestehenden Datenbank nahezu unmöglich wäre. Es geht vielmehr darum, ein gehärtetes System zu schaffen, das eine schrittweise und kontrollierte Migration möglich macht.

Die Bedrohungslage ist keine Ausnahme mehr

Realität ist die ständige Bedrohungslage. Daher spreche ich nicht von einer „aktuellen Bedrohungslage“. Die aktuelle Bedrohungslage ist die neue ständige Wahrheit.

Und diese Bedrohungslage reicht von der einfachen Kompromittierung eines Accounts mit niedrigsten Rechten, der aber einen Datenbankzugriff erlaubt, bis hin zur totalen Aussperrung und Finsternis innerhalb einer Organisation.

Das Bild zeigt ein Rechte-Kontext-Auswahl, mit der sich ein Datensatz je nach Privilegien im RAM zusammensetzen lässt.
Rollenwahl-Ansicht aus der Shard X6 Demo

Sprich: Ransomware, in deren Folge Insolvenz und persönliche Haftungsrisiken für die Organisationsleitung stehen können.

Sorgfaltspflichten, Haftung und Stand der Technik

Haftung setzt natürlich eine merkbare Verletzung von Sorgfaltspflichten voraus, insbesondere dann, wenn der Stand der Technik ein System erlaubt hätte, das diesen Schaden hätte abwehren oder zumindest erheblich begrenzen können.

Sie können sich mit einer Cyber-Police absichern. Aber Sie können bereits eines mit Sicherheit sagen: Im Schadensfall wird der Versicherer sorgfältig prüfen, ob Obliegenheiten, Sicherheitsanforderungen und Ausschlussklauseln eingehalten wurden.

Dazu hatte ich bereits die Tendenz anhand eines öffentlich zugänglichen Dokuments aus einer vergangenen Allianz-Tagung beschrieben.

Nur kurz dazu: Nicht einfach „Ja“ ankreuzen und sich sicher fühlen. Die Unterschrift sagt zunächst nur, dass ein Vertrag abgeschlossen wurde und dass Deckung im Schadensfall unter Berücksichtigung der Versicherungsbedingungen und Ausschlussklauseln geprüft wird.

Mehr ist die Cyber-Police zunächst nicht.

Informationssicherheit als Schutz der Organisation

Die Informationssicherheit Ihrer Organisation und die mögliche Haftung nach einem Schadenseintritt sind enorm wichtig, um mögliche Regressforderungen in einem überschaubaren Rahmen zu halten.

Das primäre Ziel einer Organisationsleitung kann nur noch sein, das Risiko einer möglichen persönlichen Haftung nach eigenen Risiko-Vorlieben zu gestalten. Dazu gehören insbesondere:

  1. Sicherheitsmaßnahmen sollten nach aktuellem Stand der Technik eingesetzt werden.
  2. Die Wirksamkeit der Maßnahmen sollte regelmäßig überprüft und verbessert werden.
  3. Bei der Bewertung der Wirksamkeit sollte ein Externer hinzugezogen werden.

Punkt 1 und 2 sind Pflicht. Punkt 3 ist eine klare Empfehlung, denn die Praxis mit der strikten Unabhängigkeit eines in der Organisation vollzeitbeschäftigten Informationssicherheitsbeauftragten verhält sich im Punkt Weisungsgebundenheit ähnlich wie bei einem möglicherweise in der Organisation etablierten Betriebsrat.

Wir befinden uns bereits mitten in der neuen Realität

Wir steuern nicht auf eine neue Ära der Cyber-Bedrohung zu. Wir befinden uns bereits mitten darin.

Wenn der Gesetzgeber reagiert hat, und das hat er, dann sollten bei Ihnen eigentlich schon die Alarmglocken schrillen.

Sie sollten nicht überlegen, was Sie tun müssen, sondern was Sie darüber hinaus unternehmen sollten, damit Ihr Unternehmen am Super-GAU vorbeischrammt und Sie im Fall eines totalen Ausfalls neben Ihrem Ansehen nicht auch noch Ihr persönliches Vermögen verlieren.

Denn der Gesetzgeber fordert hier ein Mindestmaß an Sicherheit, damit möglichst ein einheitliches und relativ hohes Sicherheitsniveau erreicht wird.

Sie aber müssen an sich selbst denken, an Ihre Familie, Ihre Belegschaft und die Sicherheit Ihrer Kunden – möglicherweise sogar noch an die Kunden Ihrer Kunden.

Sicherheit ist keine Garantie, sondern eine nachweisbare Härtung

Wenn Sie sich Systeme erklären lassen, seien Sie gewiss:

100 % Sicherheit gibt es nicht. Wohl aber gibt es eine nachweisbare, angemessene und am Stand der Technik ausgerichtete Härtung.

Es gibt Sensibilisierung, auch wenn auch diese keine 100 % Sicherheit bedeutet.

Schulung und Sensibilisierung sorgen dafür, dass jedes Mitglied Ihrer Organisation je nach Kontext die erforderliche Sorgfalt erfährt, die Bedrohungslage einordnen kann und sich auf einem ordentlichen und maßvollen Informationssicherheits-Bewusstseinsniveau bewegt und dementsprechend agieren und reagieren kann.

Wer Kundendaten hortet, trägt besondere Verantwortung

Bild zeigt eine

Wer Daten seiner Kundschaft hortet, für den gelten besondere Vorsichtsmaßnahmen.

Sie sind nicht nur für Ihre Organisation verantwortlich, sondern auch für alle Schäden und deren Konsequenzen, wenn aus einer Verletzung Ihrer Sorgfaltspflichten ein Schaden entsteht – wie auch immer dieser Schaden aussehen mag.

Von Netzwerksegmentierung zu Datensegmentierung

Der aktuelle Stand der Technik sieht bereits nicht nur Netzwerksegmentierung vor. Es gibt auch das Thema Datensegmentierung, auch genannt Sharding.

Ohnehin müssen Daten nach Sensibilität und Kontext klassifiziert sein.

Die Daten werden dann entweder nach Klassifizierung getrennt oder durch eine scheinbar sinnlose Teilung auf verschiedene Datenbanktabellen verteilt.

Eine physische Trennung kann je nach Schutzbedarf das stärkste Mittel sein. Mindestens aber sollte eine nachvollziehbare logische Trennung umgesetzt und begründet werden.

Die Daten werden bei einer einfachen Kompromittierung der Datenbank nur dann komplett exfiltriert, wenn die Daten zusammenhängend vorliegen.

Wir betrachten hier nicht den Fall eines Insider-Angriffs, sondern einen Angriff durch Dritte.

Exfiltration verhindern heißt: Daten nie bequem zusammenhängend anbieten

Um eine Exfiltration zu erschweren oder zu vermeiden, muss man:

  1. die Daten immer verschlüsselt halten,
  2. sie optimalerweise auf physisch getrennten Servern lagern,
  3. zumindest nach Sensibilität getrennte Datenbanken betreiben.

Wenn Sie noch mehr Sicherheit anstreben, dann sollten Sie zusätzlich über Möglichkeiten sprechen, die einen vollständigen Datensatz nur im Moment der Verarbeitung im RAM zusammensetzen und eine Bearbeitung ermöglichen.

Also eine Just-in-Time-Assemblierung des Datensatzes.

Betriebsabläufe dürfen Sicherheit nicht aushebeln

Möglicherweise verhindern die üblichen Arbeitsweisen im Betrieb eine solche Architektur.

Ja, EDR-Systeme erfassen Angriffe am Endpunkt. Ein SIEM korreliert inzwischen vielleicht innerhalb kurzer Zeit. Aber wenn ein User-Account kompromittiert wird, in dessen Berechtigungsrahmen der Datenbankzugriff legitim ist und Zugriffe normal erscheinen, benötigt ein Angreifer für die Exfiltration einer Datenbank mit 1 Mio. Datensätzen, in denen PII, Gesundheitsdaten und/oder sogar Zahlungsdaten enthalten sind, unter Umständen weniger als eine Minute.

In der Praxis bedeutet das: Ihr System wird erst den nächsten Angriff abwehren – jedoch höchstwahrscheinlich nur dann, wenn der nächste Angriff dem gleichen Muster folgt und einen Account mit ähnlichen Berechtigungen kompromittiert.

Wenn die üblichen Betriebsabläufe Sie daran hindern, Ihre Sicherheit zu gewährleisten, dann steht eines fest:

Die Abläufe müssen verbessert werden.

Sharding und RBAC Visualisierung

Powered by
Notwendige Cookies aktivieren wesentliche Website-Funktionen wie sichere Logins und Anpassungen der Zustimmungspräferenzen. Sie speichern keine persönlichen Daten.
Keine
Funktionale Cookies unterstützen Funktionen wie das Teilen von Inhalten in sozialen Medien, das Sammeln von Feedback und die Nutzung von Drittanbieter-Tools.
Keine
Analytische Cookies verfolgen Besucherinteraktionen und liefern Einblicke in Metriken wie Besucheranzahl, Absprungrate und Verkehrsquellen.
Keine
Werbe-Cookies liefern personalisierte Anzeigen basierend auf Ihren vorherigen Besuchen und analysieren die Effektivität von Werbekampagnen.
Keine
Powered by