Datenschutz-Compliance und DatAdvantage, Teil I: Wichtige Berichte für die Risikobewertung

Über die letzten Jahre veröffentlichte ich verschiedenste Artikel zu unterschiedlichen Datensicherheitsstandards, Datenschutzgesetzen und Datenschutzbestimmungen. Daher kann ich mit gutem Gewissen behaupten, dass es einige Ähnlichkeiten zwischen der Datenschutz-Grundverordnungder EU, den HIPAA-Vorschriftender USA, dem PCI DSS, den NIST 800 Kontrollen und weiteren Standards gibt.

Als Ausgangspunkt für die Auswertung dieser Ähnlichkeiten stehe ich im wahrsten Sinne des Wortes auf den Schultern von Riesen; und zwar insbesondere den Schultern der Verantwortlichen für Sicherheitsstandards am National Institute of Standards und Technology (NIST). Diese Experten sind der beste Ansprechpartner für die Datensicherheitsstandards der US-Regierung: für sowohl interne Behörden (NIST 800-53) als auch externe Vertragspartner (NIST 800-171). Zusätzlich beeinflusst das NIST mit seinem freiwilligen Rahmenwerk für kritische Infrastruktursicherheit gleichzeitig aber auch Datenschutzideen für den privaten Sektor.

Eine deren wichtigsten Ideen dieses Rahmenwerks ist die Unterteilung von Sicherheitskontrollen, die jeder Standard und jede Bestimmung in irgendeiner Form umfasst, in fünf Funktionsbereiche: Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung. Kurz gesagt können Sie mir einen Datenstandard nennen und ich kann dessen Kontrollen diesen fünf Kategorien zuordnen.

blog1

Das NIST-Gesamtbild der Sicherheitskontrollen.

Die Idee der Ähnlichkeiten führte mich zu dieser Reihe an Posts darüber, wie unsere eigenen Produkte, insbesondere Varonis DatAdvantage, ohne Ausrichtung auf einen bestimmten Datenschutzstandard bei der Erfüllung der wichtigsten Kontrollen und gesetzlichen Vorgaben helfen können. Tatsächlich ist die vorkonfigurierte Berichterstattungsfunktion in DatAdvantage eine ideale Ausgangsposition, um diese Funktionalitäten genauer zu betrachten.

In diesem ersten Blogeintrag konzentrieren wir uns auf die DA-Funktionen zur Berichterstattung, die sich grob mit der Kategorie zur Identifizierung vergleichen lassen. Das allein ist schon ein relativ großer Bereich, der sich mit der Identifizierung, Governance und Risikobewertung befasst:

Vermögenswerte: Benutzer, Dateien und mehr

Für DatAdvantage sind Benutzer, Gruppen und Ordner die wesentlichen Bausteine, die in allen Formen in der Berichterstattung verwendet werden. Wenn Sie jedoch reine Vermögensinformationen von Dateisystemen einsehen wollen, werden Sie in den nachstehenden drei Hauptberichten von DatAdvantage fündig.

Der 3a-Bericht stellt IT-Personal eine Liste aller Gruppenzugehörigkeiten innerhalb von Active Directory bereit. Anfänglich könnten Sie den Bericht auf einer allumfassenden Domain-Benutzergruppe ausführen, um eine globale Benutzerliste zu erhalten (siehe unten). Sie können den Bericht aber auch mit jeglichen AD-Eigenschaften ausfüllen, die mit einem Benutzer in Verbindung stehen (E-Mail, Manager, Abteilung, Standort etc.).

2

Für Ordner bietet der 3f-Bericht den Zugriffspfad, Größe, Anzahl an Unterordnern und Freigabepfad.

3

Über eine Nullachtfünfzehn-Liste an Ordnern hinaus braucht das IT-Sicherheitspersonal meist auch tiefgreifende Informationen über die Dateistruktur, um sensible oder kritische Daten identifizieren zu können. Die Definition kritischer Daten ist je nach Unternehmen/Organisation anders, aber grundsätzlich geht es um personenbezogene Daten (PII), wie Sozialversicherungsnummern, E-Mail-Adressen und Kontonummern sowie auch geistiges Eigentum (proprietärer Quellcode, wichtige Rechtsdokumente, Verkaufslisten usw.).

Mit dem 4g-Bericht von DatAdvantage ermöglicht Varonis Sicherheitspersonal einen Einblick in die Ordner mit sensiblen PII-Daten, die häufig über die gesamten riesigen Dateisysteme des Unternehmens verteilt sind. Im Hintergrund scannt die Varonis Classification Engine Dateien mithilfe von PII-Filtern nach verschiedenen Gesetzen und Bestimmungen und stuft diese Dateien basierend auf der Anzahl an Treffern ein – beispielsweise amerikanische Sozialversicherungsnummern oder kanadische Führerscheinnummern.

4

Der 4g-Bericht listet diese sensiblen Dateien von der höchsten bis zur geringsten Trefferzahl auf. Das ist übrigens auch der Bericht, den unsere Kunden häufig als erstes ausführen und dabei überraschende Einsichten erhalten – vor allem dann, wenn sie bis dato überzeugt waren, dass Millionen an Kreditkartennummern nicht einfach als Reintext zu finden sind.

Bewertung der Risiken

Gerade haben wir gesehen, wie wir die detailliertesten Informationen über Vermögenswerte abfragen können, viel relevanter ist jedoch die Nutzung dieses Vermögensbestands, um Sicherheitsexperten bei der Aufdeckung der speziellen Risiken einer Organisation zu helfen.

In anderen Worten handelt es sich um den Beginn einer offiziellen Risikobewertung.

Der andere, entscheidende Teil der Bewertung ist aber natürlich das (kontinuierliche) Durchsuchen der Bedrohungsumgebung und die Jagd nach speziellen Schwachstellen und Missetätern. Damit befassen wir uns in einem der nächsten Posts.

Verwenden wir jetzt DatAdvantage zur Risikobewertung – ausgehend von den Benutzern.

Veraltete Benutzerkonten sind eine unterschätzte Gefahrenzone mit erheblichem Risikopotential. In der Regel werden Benutzerkonten nur selten deaktiviert oder entfernt, wenn ein Mitarbeiter das Unternehmen verlässt oder die Zeitarbeit eines Auftragnehmers zu einem Ende gekommen ist.

Dabei ist es nicht ungewöhnlich, dass häufig auch missmutig eingestellte ehemalige Mitarbeiter weiterhin Zugriff auf diese Konten haben. Auch Hacker können somit auf ein nicht länger genutztes Konto von externen Auftragnehmern zugreifen und über dieses Konto dann an das wahre Ziel gelangen.

Im 3a-Bericht von DatAdvantage können wir eine Liste veralteter Benutzerkonten basierend auf der letzten Anmeldungszeit erstellen, die von Active Directory verzeichnet wird.

5

Der Bericht der sensiblen Daten, den wir zu Beginn gesehen haben, formt die Grundlage für einen weiteren Bericht zur Risikobewertung. Wir müssen lediglich Filter mit „Jeder“-Berechtigungen herausfiltern.

Sicherheitsexperten wissen aufgrund der aktuellen Bedrohungsumgebung, dass Phishing oder SQL-Einschleusungsangriffe das Einholen von Zugangsdaten für Insider-Konten umfassen. Ohne besondere Berechtigungen hätte der Hacker in diesem Fall automatisch Zugriff auf alle Ordner mit globalen Berechtigungen.

Aus diesem Grund stellt es ein erhebliches Risiko dar, sensible Daten in diesen offenen Ordnern zu speichern (sofern es keine anderen ausgleichenden Kontrollen gibt).

Der 12L-Bericht von DatAdvantage zeigt übersichtlich, wo diese Ordner liegen.

6

Das sollte fürs Erste genügen.

Im nächsten Post werden wir unseren Weg durch DatAdvantage fortsetzen, indem wir den Bereich der Risikobewertung abschließen und uns auf die Kategorien Schutz und Verteidigung konzentrieren.

Für auf Compliance ausgerichtete IT-Experten und andere Compliance-Liebhaber gibt es zum Abschluss noch eine kurze Liste der Vorschriften und Standards (basierend auf unseren Kundenanfragen), die von den oben erwähnten Berichten unterstützt werden:

  • NIST 800-53: IA-2,
  • NIST 800-171: 3,51
  • HIPAA:  45 CFR 164.308(a)(1)(ii)(A)
  • GLBA: FTC Safeguards Rule (16 CFR 314.4)
  • PCI DSS 3.x: 12,2
  • ISO 27001: A.7.1.1
  • New York State DFS Cybersecurity Regulations: 500,02
  • EU-DSGVO: Sicherheit der Verarbeitung (Artikel 32) und Datenschutz-Folgenabschätzung (Artikel 35)