Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Der Sony-Hack aus der Sicht von Varonis

Zur Vorgehensweise bei der Attacke auf Sony Pictures sind bisher noch nicht alle Details bekannt. Doch das Ausmaß dieses in den Medien stark thematisierten Sicherheitsvorfalls ist gewaltig. Der stets gut...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Inhalt

    Zur Vorgehensweise bei der Attacke auf Sony Pictures sind bisher noch nicht alle Details bekannt. Doch das Ausmaß dieses in den Medien stark thematisierten Sicherheitsvorfalls ist gewaltig. Der stets gut informierte, auf Sicherheitsthemen spezialisierte Journalist Brian Krebs weiß im Moment genauso viel wie wir: Eine mögliche Verwicklung Nordkoreas und der vermutete Einsatz zerstörerischer Schadsoftware zur Löschung großer Datenmengen. Sicher ist jedoch, dass uns diese Attacke wichtige Erkenntnisse über unsere kollektiven Datensicherheitsmaßnahmen beschert. Denken Sie nicht, dass der Vorfall bei Sony nichts mit Ihnen zu tun hat!

    Brian Krebs hat einen Link zur ellenlangen Verzeichnishierarchie von Sony zur Verfügung gestellt. Einen Teil davon haben wir unten abgebildet. Dies sollte alle Zweifel über das Ausmaß der Sache ein für alle Mal ausräumen.

    Verzeichnishierarchie von Sony

    Dazu möchte ich einige Punkte anmerken.

    Im Gegensatz zu den Vorfällen bei Einzelhandelskonzernen geht es bei dieser Attacke nicht vorrangig um personenbezogene Daten. Sicher wurden auch Sozialversicherungsnummern von Mitarbeitern, E-Mail-Adressen, Passwörter und Gesundheitskennzahlen entwendet, die nun die ganze Welt sehen kann. Doch beim Sony-Hack wurden nicht Millionen von Kundendatensätzen gestohlen, es mussten weder neue Kreditkartennummern ausgestellt noch Dienstleistungen zur Kreditüberwachung in Anspruch genommen werden.

    Dagegen zielte diese Attacke auf sensible Daten ab, vielleicht sogar wertvolles geistiges Eigentum, das sich in den 25 Gigabyte an Dateien befand, die sich die Hacker unter den Nagel gerissen haben. Die gestohlenen Informationen sollten jedem Mitarbeiter eines größeren Unternehmens nur allzu bekannt vorkommen: lesbare Dateien und E-Mails oder, wie wir sie gerne nennen, unstrukturierte, nutzergenerierte Daten. Dazu gehören Mitarbeitergehälter, Finanzdaten, interne Präsentationen, hoch geheime Unternehmensinformationen, juristische Dokumente, private Notizen des CEO und vieles mehr.

    Es sollte nicht unerwähnt bleiben, dass sich unter den entwendeten Daten auch Passwörter befanden, die in normalen Textdateien unter dem Namen „passwords“ gespeichert waren. Meine Kollegin Cindy Ng hat dazu diesen Artikel gefunden. Damit hat das Unternehmen zweifellos gegen die grundlegendsten Regeln für den Umgang mit Zugangsdaten verstoßen. Am besten informieren Sie sich zusätzlich diesem E-Book von Varonis, das weitere No-Gos zur Passwortvergabe enthält.

    Insgesamt gehen wir davon aus, das dies nur ein öffentlich gewordener Fall eines grundlegenden Problems von Unternehmen weltweit ist. Die Menge der von Menschen lesbaren Informationen steigt exponentiell an. Diese Dokumente befinden sich auf Laufwerken, im Intranet und in E-Mail-Anhängen, auf die viel zu viele Personen weitaus umfassendere Zugriffsrechte besitzen, als dies eigentlich nötig wäre. Zudem wird selten überwacht wie die Dateien verwendet werden oder potenzieller Missbrauch überprüft.

    Dabei sollte keiner den ersten Stein werfen: Wir alle waren oder sind Sony.

    Wie andere Sicherheitsvorfälle bereits gezeigt haben, können große Mengen sensibler Daten offengelegt werden, sobald das E-Mail-Konto eines einzigen Mitarbeiters gehackt wird. Wahrscheinlich gelangten die Hacker mithilfe von „Pass-the-Hash“- und anderen Techniken an Zugangsdaten, die nicht unbedingt von Administratoren mit erweiterten Berechtigungen oder Power-Usern stammten. Die so ergatterten Gruppenmitgliedschaften und Zugriffsrechte, kombiniert mit einem Dateisystem mit lockerer Berechtigungsstruktur, bescherte den Hackern einen Panoramablick auf die Datenlandschaft von Sony.

    Wie geriet die Situation derart außer Kontrolle? Betrachten wir dazu die beiden folgenden Szenarien, die so oder ähnlich in vielen Unternehmen zu beobachten sind.

    Szenario 1: Ein Ordner mit sensiblen Daten ist für eine große Nutzergruppe zugänglich
    Ein Ordner auf Ihrem Netzlaufwerk wird von der Personalabteilung verwendet – von einigen vielleicht sogar als „Stammverzeichnis“. Eines Tages gibt jemand den Ordner für eine große Nutzergruppe frei (was häufig vorkommt) und vergisst, diese Berechtigungen wieder aufzuheben. Die Informationen zur Nutzung dieses Ordners (also, wer diese Dateien öffnet, erstellt, löscht, ändert und verschiebt) werden weder überwacht noch analysiert (dies ist die Norm).

    Mit der Zeit sammeln sich vertrauliche Dateien, zum Beispiel mit Gehalts- und Finanzdaten usw., in diesen öffentlich zugänglichen Ordnern an. Niemand denkt wirklich darüber nach, aber jeder weiß, dass eine bestimmte Präsentation oder Tabellenkalkulation einfach dort herumliegt und die Daten nicht offiziell vom entsprechenden Data Owner angefordert werden müssen. Ein Sicherheitsvorfall ist hier beinahe vorprogrammiert, denn ein Hacker muss nur die Zugangsdaten eines ganz normalen Nutzers in die Finger bekommen – eine einfache Phishing-E-Mail reicht dafür oft schon aus.

    Szenario 2: Über den Webbrowser abrufbare Unternehmens-E-Mails werden gehackt
    Sie haben den Webbrowser-Zugriff auf Ihr E-Mail-System aktiviert (gehen Sie doch mal zu mail.yourcompany.com oder owa.yourcompan.com), so dass alle Mitarbeiter ihre E-Mails von überall aus nur mit ihrem Passwort abrufen können. Die Nutzungsinformationen zu Ihrem E-Mail-System werden weder dokumentiert noch analysiert (Sie können also nicht sehen, wer E-Mails liest oder versendet, wer sie liest und als ungelesen markiert etc. – dies entspricht ebenfalls der Norm). Ein Hacker gelangt an das E-Mail-Passwort des CEO, vielleicht durch simples Raten. Jetzt kann sich der Angreifer bequem von zu Hause aus anmelden und sämtliche E-Mails (einschließlich der Anhänge) der Geschäftsleitung lesen und keiner wird es bemerken. Auch hier können ausgesprochen wertvolle Informationen, zum Beispiel zu Fusionsverhandlungen, neuen Kunden und viele weitere mehr, in einem lesbaren Format abgegriffen werden.

    Wieder eine Lehre
    Die Sony-Hacker verschafften sich nicht nur Zugang zu Passwörtern, sondern auch zu Filmetats, Gehältern, Sozialversicherungsnummern, Gesundheitsinformationen und vielem mehr. Und auch aus diesem Sicherheitsvorfall können wir vieles lernen. Er erinnert uns daran, wie wichtig es ist, angemessene Zugriffskontrollen einzuführen, sensible Daten zu identifizieren – wer darauf Zugriff hat, wer sie verwendet, wem sie gehören und auf welche davon die Berechtigungsgruppe „Jeder“ zugreifen kann – und die Ausgabe von Echtzeit-Warnungen einzurichten.

    The post Der Sony-Hack aus der Sicht von Varonis appeared first on Varonis Deutsch.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?