Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Unerwartet stürmisch: Non-Compliance und Wirtschaftskriminalität “nach NSA“

Von Cyril Simonnet Seit einigen Jahren klettern die Zahlen für Wirtschaftskriminalität, Dunkelziffer inbegriffen. Die Materie ist komplex und kommt es denn tatsächlich zu einer Strafverfolgung, hat man es nicht selten...
Michael Buckbee
4 minute gelesen
Veröffentlicht 15. Juli 2016
Letzte aktualisierung 28. Oktober 2021

Von Cyril Simonnet

Seit einigen Jahren klettern die Zahlen für Wirtschaftskriminalität, Dunkelziffer inbegriffen. Die Materie ist komplex und kommt es denn tatsächlich zu einer Strafverfolgung, hat man es nicht selten mit sehr großen Datenmengen zu tun. Die beweisrelevanten Daten werden in aller Regel nicht nur bei dem oder den Beschuldigten sichergestellt, sondern auch bei Arbeitgebern, Providern, Banken und Versicherungen, meist noch vor Ort und in der sogenannten „gerichtsverwertbaren“ Art und Weise.

Bei diesen Daten kommt es besonders auf die Inhalte an, Terabyte-große Datenvolumina müssen dann schnell vereinheitlicht und sinnvoll reduziert werden, um Muster und Beziehungen zwischen den unstrukturierten Daten zu erkennen. Datennutzer, Ort, Ereignisse und die Verbindungen aller drei untereinander werden identifiziert, nachvollzogen und visualisiert.

Digital und kriminell? Nur was für die Großen?

Globale, digitale Beziehungen und die zunehmend unübersichtlicher werdenden Geschäftsprozesse haben zu einem höheren Risiko von wirtschaftskriminellen Handlungen geführt. Dabei wird betrogen, veruntreut, unterschlagen, Bilanzen werden gefälscht, es wird bestochen, spioniert und korrumpiert. Kurz, die ganze Palette des Möglichen.

Dabei kann es jedes Unternehmen treffen, auch wenn nur die großen, spektakulären Fälle das mediale Interesse auf sich ziehen.

Aber die Unternehmen reagieren: Laut einer aktuellen Befragung von Price Waterhouse Coopers bemühen sich die Unternehmen um stärkere Compliance- und Präventionsprogramme, nicht zuletzt nach der NSA-Affäre. Zwischen 2009 und 2013 meldeten denn statt der ursprünglichen 61%, nur noch 45% mindestens einen Schadensfall im Untersuchungszeitraum. Drei Viertel der befragten Unternehmen setzen systematische Kontrollen und Präventionsmechanismen ein (mehr zur PwC-Studie, die man kostenlos bestellen kann, unter http://www.pwc.de/de/risiko-management/wirtschaftskriminalitaet-2013.jhtml).

Trotzdem. Neben den großen Skandalen, die es in die Headlines schaffen, sind es gerade die Wettbewerbsdelikte, die auch Mittelständlern schwer zu schaffen machen; prozentual beanspruchen diese Delikte laut PwC zwar nur einen vergleichsweise geringen Anteil innerhalb der gesamten Wirtschaftskriminalität, sie richten aber die mit Abstand höchsten Schäden an. Dabei werden beispielsweise vertrauliche Kunden- und Unternehmensdaten gestohlen, Produkte aufgrund dessen gefälscht, gegen das Patent- und Markenrecht verstoßen oder wettbewerbswidrige Absprachen getroffen. Neben den sofort quantifizierbaren Schäden ist es besonders der Ruf eines Unternehmens der Schaden nimmt und natürlich die Geschäftsbeziehungen.

Und: seit den Enthüllungen von Edward Snowden schätzt inzwischen jedes vierte Unternehmen generell das Risiko von Wirtschafts- und Industriespionage höher ein als vor dem Bekanntwerden der Spähaffäre, und plant entsprechende Maßnahmen. Das geht von der Verschlüsselung der E-Mails und der Mobilfunkkommunikation, über das Einstellen interner Fachkräfte bis hin zu komplett überarbeiteten Schutzkonzepten für IT- und TK-Systeme.

Szenenwechsel auf der Attackenbühne – oder: nichts bleibt wie es ist

Ob 2014 das Jahr der Cyberattacken wird (eine Frage, die Andy Green an dieser Stelle auch schon ein Mal gestellt hat http://blog.varonis.com/2014-year-get-serious-cyber-attacks/ )?

Auf jeden Fall sind sich praktisch alle IT-Sicherheitsfirmen einig, wenn es um die Grundtendenzen geht:

  • APT’s (Advanced Persistent Threats) nehmen weiter zu, private Daten, Geschäftsdaten, Kundendaten sind das Ziel. Dabei kann man durchaus vermuten, dass die Malware-Autoren, die schon immer finanzielle Interessen hatten, sich nun Struktur und Vorgehensweise der spektakulären Fälle von Regierungs- und Industriespionage zum Vorbild nehmen und ihre eigenen Attacken entsprechend perfektionieren.
  • Was die Autoren jüngst auftretender Malware besonders schnell gelernt haben: den Angriff möglichst gut maskieren, so dass er entsprechend lange unentdeckt bleibt. Das gelingt nicht selten, in dem die Autoren fast schon traditionelle Schadsoftware mit Malware kombinieren, die es ganz besonders auf wirtschaftliche und finanzielle Daten abgesehen hat. Varonis hat in eigenen Befragungen aus dem letzten Jahr bereits festgestellt, dass solche Attacken manchmal Monate, bis hin zu Jahren unentdeckt bleiben. Werden sie dann aufgedeckt, dann erschreckenderweise oftmals nicht von den Unternehmen selbst.
  • Das bestätigt auch der Verizon Data Breach Report 2013. 69% der befragten Unternehmen geben an, von einer dritten Stelle über eine Datenschutzverletzung informiert worden zu sein, bei 66% dauerte es Monate oder gar Jahre (immerhin noch 4% der Betroffenen) bis das Datenleck entdeckt wurde, verglichen mit 56% im Jahr 2012 (http://www.verizonenterprise.com/DBIR/2013/ ).

Zu diesen Dritten gehören neben der generellen Fraud Detection (24%), Anwender und Kunden, beide mit etwa 10%, aber auch Überprüfungen der gesetzlichen Datenschutz-regelungen tragen hier mit 8% zur Aufdeckung bei.

Fazit:

  • es werden mehr Attacken
  • sie sind auf dem aktuellen Stand der Technologie, wenn ihr nicht sogar einen entscheidenden Schritt voraus
  • sie richten sich gezielt auf sensible und wertvolle Daten
  • und vor allem: Datenschutzverstöße und ihre Folgen bleiben viel zu lange unentdeckt

Forensische Analyse und Datenmanagement, betrifft mich nicht?

Die Konsequenzen aus Datenschutzverstößen sind mittlerweile fast so vielfältig wie die Art der Verstöße selbst und reichen von Schadensersatzansprüchen, über Bußgelder bis hin zu Geld- und Freiheitsstrafen. Dass die jeweils verantwortlichen Organe oder Führungskräfte persönlich zur Verantwortung gezogen werden können ist nicht grundsätzlich neu. Zunehmend passiert es aber tatsächlich. Willkommen in der richtigen Welt.

Mehr zielgerichtete, komplexe Attacken und noch mehr unübersichtliche Compliance-Regelungen, beschäftigen neben den internen IT-Sicherheits- und Datenschutzbeauftragten, und in naher Zukunft vielleicht insbesondere die CDOs, die Chief Data Officers, auch die Beratungsunternehmen. Immer häufiger werden ihre Dienste von Firmen in Anspruch genommen, wenn es darum geht forensische Analysen und Maßnahmen einzusetzen, um Angriffe oder Verstöße frühzeitig zu erkennen. Wie eingangs erwähnt: wenn forensisch untersucht wird, Ansprüche geltend gemacht und regulatorische Anforderungen erfüllt werden müssen, stehen zunehmend die elektronisch gespeicherten und verarbeiteten Daten im Mittelpunkt.

Die forensische Analyse von Daten untersucht Datenbestände beispielsweise im Hinblick darauf wo es möglicherweise Ansätze für Datenschutzverletzungen gibt. Aber auch, wenn bereits ein konkreter Verdacht besteht. Zugriffsmöglichkeiten auf Daten und Datentransaktionen geben oftmals genau die Hinweise, um einen Verdacht zu bestätigen oder zu widerlegen. In einem konkreten Rechtsstreit oder Ermittlungsverfahren, bei dem es um einen möglichen Compliance-Verstoß geht, stehen Unternehmen dann vor einer Flut an unstrukturierten Daten in E-Mails und Dokumenten, gespeichert auf Servern, Laptops, Tablet-PCs und Smartphones. Im Data Breach Report 2013 von Verizon, der uns schon häufiger als Datenquelle gedient hat, ist das ATM-Übertragungsprotokoll mit über 30% am häufigsten von Datenschutzverletzungen betroffen, Desktops, Fileserver und Laptops folgen nahezu gleichrangig mit 25% beziehungsweise zwei Mal 22%, Web-Apps als Einfallstor notieren bei 10%. Tendenz auch hier steigend (http://www.verizonenterprise.com/DBIR/2013/ ).

Um diese Daten schnell zu strukturieren, zu sichten und auszuwerten, spielen technische, juristische und konkret organisatorische Fragen eine Rolle. Fragen, mit denen sich gerade die größeren Beratungsunternehmen beschäftigen. Nicht selten entstehen bei der ganz normalen Geschäftstätigkeit eines solchen Beratungsunternehmens ebenfalls riesige Datenmengen, die kundenbezogene forensische Daten enthalten. Gleichzeitig müssen genau diese extrem sensiblen Informationen im Rahmen einer laufenden forensischen Analyse verschiedenen Mitarbeitern des jeweiligen Teams zur Verfügung stehen.

Entscheidend wieder ein Mal: wer greift wann auf welche Daten zu und wie kann ich sicherstellen, dass bei diesen hochsensiblen Informationen nur diejenigen zugreifen, die es tatsächlich müssen und dass diese Daten an einem hochsicheren Ort aufbewahrt werden.

Wer regelmäßig dieses Blog liest, dem wird die Thematik fatal bekannt vorkommen.

(Rund 8.500 Zeichen)

 

 

 

 

 

 

The post Unerwartet stürmisch: Non-Compliance und Wirtschaftskriminalität “nach NSA“ appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?