Hacken leicht gemacht: Ewige Passwörter, abgestandene Daten und Ghost Users

Das Hacken von Unternehmungen und das Stehlen von Daten ist oft nur zu einfach. Illoyale Mitarbeiter oder  frustrierte ehemalige Angestellte können mit ihren Zugangsrechten riesige Schäden anzurichten. Umso wichtiger wäre der systematische Schutz von sensiblen Daten innerhalb von Unternehmen. Damit steht aber noch vieles im Argen. Exzessive Zugriffsrechte, veraltete Konten und ungenutzte Daten sind  kurz vor dem Inkrafttreten der DSGVO in vielen Unternehmen ein grosses Problem.

Das Risiko steigt, wenn zuviele Mitarbeiter Zugriff auf sensible Daten haben.
                                                                                                        Bild Pixabay

Ein neuer Report des Datensicherheitsspezialisten Varonis zeigt, dass in zu vielen Unternehmen zu viele Mitarbeiter Zugriff auf sensible Daten haben. Durchschnittlich sind 21 Prozent der Folder eines Unternehmens für jeden Mitarbeiter zugänglich, in 41 Prozent der Unternehmen haben sämtliche Mitarbeiter Zugriff auf mindestens 1000 sensible Dateien. Dazu gehören personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen. Bei 58 Prozent der untersuchten Firmen unterliegen mehr als 100‘000 Ordner keiner Zugriffsbeschränkung. Bei 34 Prozent der Benutzerkonten handelt es sich um sogenannte “Ghost Users“, also veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten. Beinahe in jedem zweiten Unternehmen verfügen mehr als 1000 Benutzer über zeitlich unbegrenzt gültige Passwörter!
Die zitierten Zahlen basieren auf Risikobewertungen für 130 bestehende und potenzielle Kunden von Varonis aus den unterschiedlichsten Branchen. Insgesamt wurden hierfür 6,2 Milliarden Dateien in 459 Millionen Foldern analysiert. Dabei deckt der Bericht verschiedene Probleme auf, welche die Gefährdung durch Datenschutzverletzungen, Insider-Bedrohungen und Ransomware-Angriffe deutlich vergrössern:

• Zu weitreichende Zugriffsgruppen, die zu vielen Mitarbeitern den Zugang zu sensiblen Daten ermöglichen,
• mangelhaft verwaltete sensible und ungenutzte Daten (stale data), die verschiedenen Datenschutzvorschriften unterliegen,
• Inkonsistente und fehlerhafte Berechtigungen, die Sicherheitslücken für Eindringlinge öffnen,
• veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten (ghost users)
• und Benutzerkennwörter, die zeitlich unbegrenzt gültig sind.

Angesichts der jüngsten Datenschutzverletzungen zum Beispiel bei Uber und Netflix, sowie der nahenden DSGVO, seien die Ergebnisse des Datenrisiko-Reports erschreckend, erklärt Thomas Ehrlich von Varonis. Daten sind das bevorzugte Ziel von Cyberkriminellen, weil sie das wertvollste Asset der Unternehmen sind. Dennoch vernachlässigen zahlreiche Unternehmen das Management und die Kontrolle der Zugriffsrechte und setzen sich damit Insider-Bedrohungen, Ransomware-Angriffen und dem Risiko von Datendiebstählen aus.