Der im Artikel Dr. Datenleck (C‘T Ausgabe 25, 2019 - https://www.heise.de/select/ct/2019/25/1575649819093453) beschriebener Fall der Kompromittierung der hoch sensiblen Daten von ca 30.000 Patienten zeigt deutlich, wie wichtig die ständige Überprüfung der Sicherheitseinstellungen ist. Bei dem konkreten Fall handelt es sich um Daten der Patienten einer Arztpraxis, die für alle aus Internet eine zeit lang offen zugänglich waren. Der Server, auf dem die Daten gespeichert worden sind, sollte nur über Port 443 aus Internet erreichbar sein. Der Server war jedoch über Ports 440 bis 449 erreichbar. Damit war die SMB Schnittstelle des Servers offen aus Internet zugänglich. Nach dem Hinweis der Redaktion hat der zuständige IT-Techniker die Konfiguration des Routers korrigiert. Für die Arztpraxis und den IT-Techniker war somit der Fall erledigt. Die C‘T Redakteure haben nach einigen Tagen wiederholt die Einstellung überprüft und stellten fest, dass auf die Daten auf dem Server wieder jeder aus Internet zugreifen kann. Nach weiterer Recherche fand man heraus, dass das Problem auf einen Fehler in der Firmware des Routers zurückzuführen ist.
Dieser Fall ist typisch. Sehr oft
werden präventive Sicherheitsmaßnahmen etabliert und im besten Fall gleich nach
dem Aufsetzen nur einmal getestet. Man nimmt an, dass diese Maßnahmen dann
immer richtig wirken. Das ist leider sehr oft nicht der Fall. Das zeigt der
gerade beschriebene Vorfall sehr deutlich.
Was kann in solchen Fällen helfen?
Was muss man tun, um das Risiko des Datenverlustes zu minimieren?
Man muss bei der Einrichtung der präventiven
Maßnahmen immer das „Zero Trust“ Prinzip anwenden. Man muss also davon
ausgehen, dass unter gewissen Umständen unsere Prävention versagt und nicht
mehr richtig funktioniert. Man muss neben den präventiven Maßnahmen sofort auch
entsprechende Überwachung einrichten. Ziel dieser Überwachung ist die
ständige Überprüfung der Wirksamkeit der eingesetzten präventiven Kontrollen.
In dem geschilderten Fall muss man zumindest ständig Portscans machen und
alarmieren, falls unnötige offene Ports gefunden werden.
Ähnliche Situation betrifft auch zum
Beispiel das Patching von Sicherheitsschwachstellen. Sehr viele Unternehmen
patchen ihre IT-Systeme nur teilweise. Es werden Patches nur für bestimmte
Software-Produkte (sehr oft nur Produkte von Microsoft, weil diese in SCCM voll
integriert sind) eingespielt. Noch immer wird viel zu selten überprüft, ob alle
diese Patches tatsächlich auf allen IT-Systemen des Unternehmens richtig
installiert sind. Auch hier muss man das Prinzip „Zero Trust“ anwenden und mit
einem Vulnerabilty Scanner alle IT-Systeme auf fehlende Sicherheitspatches
überprüfen. Die Erkennung der Sicherheitsschwachstellen sollte erstens ständig
„continuous“ erfolgen und mit einem Risiko Assessment verknüpft sein.
Continuous Vulnerability Assessment ist ein Teil von CARTA (Continuous Adaptive
Risk and Trust Assessment), einen modernen, von Gartner vorgestellten Konzept.
Es ist eine der wichtigsten Sicherheitsmaßnahmen, welche CISO in nächster Zeit
im Unternehmen umsetzen muss:
“If you can do only two things in 2019, implement an intelligent, CARTA-inspired approach to vulnerability management project and MFA for admins.” –Brian Reed, Gartner Analyst
Der geschilderte Verlust der Daten
von 30.000 Patienten, zeigt deutlich wie wichtig die Befolgung des „Zero Trust“
Prinzip ist und mit welchen Konsequenzen Unternehmen zu rechnen haben - hohe
Strafen für die Verletzung von DSGVO.
Keine Kommentare:
Kommentar veröffentlichen