bomgar vendor vulnerability research de · as us-amerikanische einzelhandelsun ternehmen target war...
TRANSCRIPT
as US-amerikanische Einzelhandelsunternehmen Target war zwischen November und Dezember 2013 Ziel eines der größten Cyber-Angriffe der Geschichte. Hacker infizierten während der umsatzstärksten Saison des Einzelhandels das Kartensystem in
beinahe 1.800 Target-Niederlassungen mit Maiware. Sie fingen auf diese Weise die Kredit- und Bankkartendaten von etwa 40 Millionen Kunden ab.
Wie gelang den Hackern der Angriff auf ein so umfassendes System und wie konnten sie eine so große Menge wertvoller Daten abschöpfen? Die Antwort ist bei Fazio Mechanical Services (FSM), einer Heizungs-, Belüftungs- und Klimaanlagenfirma aus Pittsburgh zu finden. FSM stellte elektronische Abrechnungs-, Vertragsübermittlungs- und Projektmanagementdienste für einige der TargetNiederlassungen zur Verfügung und hatte
Zugang zu deren Netzwerk. Die Hacker stahlen die Anmeldeinformationen von FSM und verwendeten diese, um Zugang zu Targets Systemen zu erhalten.
Dieser Sicherheitsverstoß zeigt sehr anschaulich, wie Unternehmen jedes Sektors durch die Zusammenarbeit mit externen Dienstleistern potenziellen Risiken ausgesetzt sind. Aufgrund einer fehlenden ausgereiften Lösung für die Verwaltung, Kontrolle oder Überwachung der Netzwerkzugriffe durch Dritte, hielt Target die Hintertür für Hackern weit offen.
Wie viel wurde tatsächlich seit dem Jahr 2013 unternommen, um die Verwaltung von Netzwerkzugriffen seitens Lieferanten anzugehen und sicherer zu gestalten? Handelt es sich bei dieser Frage um ein Thema, das von Unternehmen aktiv behandelt und für das IT Lösungen eingesetzt werden? Oder ist es schon längst in Vergessenheit geraten und Unternehmen und deren sensible Daten sind überaus
69°/o DER BEFRAGTEN GEBEN AN, DASS SIE INNERHALB DES LETZTEN JAHRES TATSÄCHLICH ODER WAHRSCHEINLICH EINEN SICHERHEITSVERSTOß VERZEICHNETEN, DER SICH DURCH DEN ZUGRIFF VON EXTERNEN DIENSTLEISTERN AUF DAS UNTERNEHMENSNETZWERK EREIGNETE. gefährdet?
Wir befragten hunderte IT- und Sicherheitsbeauftragte, die über eine Aufsichtsfunktion über die Netzwerkzugriffe Dritter verfügen, um genau das herauszufinden. Wir stellten fest, dass die Verwaltung von Netzwerkzugriffen durch externe Dienstleister bei vielen Unternehmen ein Thema ist. Allerdings haben nur wenige
Unternehmen Lösungen implementiert, die die Sicherheit ihrer sensiblen Geschäftsdaten vor dem möglichen Angriff Dritter garantieren. Und mit einer erwartungsgemäß stark steigenden Anzahl von externen Dienstleistern in den kommenden Jahren bleibt nicht mehr viel Zeit, um sich vor dieser sehr realen Gefahr zu schützen.
• VENDDR Wl.NERRBIUTY: WIE lßSSEN SICH SICHERHEITSRISIKEN DURCH DIE ZUSRNNENRRBEIT Nil EXTERNEN DIENSREISTIRN VERMEIDEN
Innerhalb der im Februar 2016 durchgeführten Studie nahmen 608 IT-Entscheidungsträger an der Umfrage teil. Befragt wurden IT-Experten, die Einblick in die Prozesse im Zusammenhang mit dem Fernzugriff von externen Dienstleistern auf das interne Unternehmensnetz haben. Die IT Ex�erten waren unterschiedlichen Bereichen zugeordnet, wie u.a. IT Support/Helpdesk, lli Sicherheit oder Netzwerk/allgemeine IT-P.ositionen. Die iTeilnehme� stammten aus eine� Reihe verschiedener Branchen, einschließlich Fachdienstleistern, Finanzwesen, Produktion, Gesundheit, Einzelhandel und öffentlicher Dienst. Die Umfrage wurde in Deutschland, Großbritannien, Frankreich und den USA durchgeführt.
Betrachtet man das große Netzwerk an externen Dienstleistern, übe� das die meisten Unternenmen verfügen, ist die Diskussion rund um das Thema Datensicherheitsverletzungen durcn Lieferantenzugriffe überaus wichtig._D_i""'e _ _ Befragten berichteten, dass durchschnittlich 89 Lieferanten J>ro Woche autdas Netzwerk inres Unternehmens zugreifen. Die Teilnehmer gaoen an, dass 45% der Drittunternehmen, die Zugang zu ihrem internen Netzwerk haben, sich im vergangenen Jah� auch dort eingeloggt haoen.
BOMGAR"
DURCHSCHNITTLICH VERBINDEN SICH 89
EXTERNE DIENSTLEISTER PRO WOCHE MIT
DEM NETZWERK DIESER UNTERNEHMEN.
Lieferanten und Drittunternehmen sind für Unternehmen zweifelsohne wichtig. Sie sind Tell des Systems, In dem sich moderne Unternehmen bewegen müssen, und dieses System wird an Umfang und Bedeutung weiter zunehmen. Etwa Dreiviertel (7196) der Befragten erwarten, dass Ihre Unternehmen In den kommenden zwei Jahren noch stärker auf Drittunternehmen angewiesen sein werden.
Parallel zur Vergrößerung des komplexen Netzwerks an Lieferanten und Drittunternehmen, steigt Jedoch auch das Risiko. Ohne ausreichende Richtlinien für die Kontrolle und Verwaltung der Zugriffe von Lieferanten auf Ihr Unternehmensnetzwerk, steht nicht nur die Sicherheit Ihres Unternehmens auf dem Splel, sondern auch die Ihrer Mitarbeiter und Kunden. llIII]
O VEIDIII WllDIIIBIUTY: WIE lßSSEI SICH SIIJIBIHDISRISIKEII DURCH DIE nl!BIMEIRRBBT MIT EIIERIEI DIEISTlBSTERN VERNEIIEI
[JlD VERÄNDERUNG DER ANZAHL AN EXTERNEN DIENSTLEISTERN INNERHALB DER LETZTEN ZWEI JAHRE
bllll! Verlnderung
44% s1111g ..... um
bis ;ai 20')(,
2o/o RlidlgMg
1
1
Es ist nicht so, dass Unternehmen diese Risiken nicht nachvollziehen können. Die Befragten waren sich im Allgemeinen der Gefaliren bewusst, die durch ineffiziente Verwaltung und unzureichende Nachvollziehbarkeit von Netzwerkzugriffen durch Lieferanten entstehen. Daraus ergab sich jedoch ganz klar, dass keine ausreichenden Maßnahmen ergriffen werden, um die Risiken und Bedenken rund um das Thema Sicherheitsverstöße durch Lieferantenzugriffe anzugelien.
BOMGAR.
WIE WIRD MAN DURCH EXTERNE DIENSTLEISTER ANGREIFBAR?
X OFFENER, NICHT EINGESCHRÄNKTER ZUGANG ZUM NETZWERK
Knapp die Hälfte (44%) der Teilnehmer gaben an bei Netzwerkzugriffen von Lieferanten mit einem Zweipunkt-Ansatz (ON/OFF), anstatt mit verschiedenen Zugriffsebenen für verschiedene Lieferanten zu arbeiten. Dies läuft darauf hinaus, dass etwa jedes zweite Unternehmen externen Dienstleistern entweder Zugriff auf das gesamte Netzwerk gewährt, oder diese vollständig davon ausschließt.
Dieser Ansatz bringt große Risiken mit sich. Die meisten Lieferanten benötigen keinen Zugriff auf Ihr gesamtes Netzwerk. Sie sollten ihnen lediglich Zugang zu spezifischen Systemen oder Anwendungen gewähren, je nachdem welche Dienstleistung für Ihr Unternehmen übernommen wird. Dieses Vorgehen sollte mit Individuellen Zugangsdaten, entsprechenden Unternehmensrichtlinien und sicheren Tools für den Fernzugriff einhergehen.
X HOHES MAß AN {UNGERECHTFERTIGTEM) VERTRAUEN IN EXTERNE DIENSTLEISTER
Viele haben zu großes Vertrauen in die externen Dienstleister, mit denen sie zusammenarbeiten. Die erstaunliche Anzahl von 92% der Befragten gibt an, dass sie ihren externen Dienstleistern vollkommen oder meistens vertraut. Die Erkenntnis nimmt zu, dass die Entscheidung der Netzwerkfreigabe für Ihre externen Dienstleister auf mehr als nur blindem Vertrauen basieren muss. Mehr als zwei Drittel (67%) der Befragten glauben, dass sie ihren Lieferanten tendenziell zu sehr vertrauen.
Unternehmen benötigen solide Kontrollen, um die Sicherheitsrisiken durch externe Dienstleister zu mindern. Wissen Sie, welche Technologie und Tools Drittunternehmen nutzen, um Ihr Netzwerk aufzurufen? Können Sie sehen, wann sie Ihr System betreten und was sie dort tun? Nutzen die Mitarbeiter Ihrer externen Dienstleister einfache Passwörter gemeinsam oder werden Best Practices in Sachen Sicherheit angewandt, wie z.B. mehrstufige Authentifizierung und Rotation von Anmeldeinformationen? Es ist in der heutigen Zeit nicht mehr ausreichend darauf zu vertrauen, dass ein externer Dienstleister Sicherheitsrichtlinien zum Schutz vor Bedrohungen anwendet. l[IJJ
X MANGELNDE TRANSPARENZ BEI NETZWEKZUGRIFFEN DURCH EXTERNE DIENSTLEISTER
Es ist angesichts der hohen Anzahl an wöchentlichen und jährlichen Netzwerkzugriffen von externen Dienstleistern absolut unumgänglich zu wissen, welche Dienstleister sich wann einloggen. Befragt man die Teilnehmer gezielt, kennen nur 35% sicher die tatsächliche Anzahl der Netzwerkzugriffe von Lieferanten und nur 34% kennen die Anzahl individueller Anmeldungen, die auf externe Dienstleister zurückzuführen sind.
Das womöglich schockierendste Ergebnis der Umfrage ist wohl Folgendes: 69% der Befragten geben an, dass sie innerhalb des letzten Jahres tatsächlich oder womöglich einen Sicherheitsverstoß verzeichneten, der sich durch den Zugriff von externen Dienstleister auf das Unternehmensnetzwerk ereignete. Die Tatsache, dass viele Unternehmen nicht einmal mit Sicherheit sagen können, ob ein Datensicherheitsverstoß Ergebnis eines Lieferantenzugriffs ist, ist ernüchternd. Zudem beweist es, dass Transparenz der Zugriffe eine Schlüsselrolle spielen muss.
Diese Zahlen weisen beim Thema Schutz vor Datensicherheitsverletzungen auf ein erhebliches Defizit auf Seiten vieler Unternehmen hin. Ohne Prüfprotokoll, das genau nachweist, welche Lieferanten Zugriff auf Ihr Netzwerk hatten, können Sie nie sicher sein, ob eines dieser Benutzerkonten kompromittiert wurde. Fall es dazu kommt, wird Ihr Unternehmen jegliche Verantwortung für eine Datensicherheitsverletzung tragen müssen.1[!11
O VENDDR WI.NERRBllßY: WIE UIS S EN SICH SICHERHEITSRISIKEN DURCH DIE ZUSAMMENARBEIT MIT EXTERNEN DIENSilEISTIRN VERMEIDEN
l[IJJ VERTRAUEN IN EXTERNE DIENSTLEISTER
7%
meistens
vollltindlg
1[!11 CYBER·ANGRIFFE AUFGRUND VON
NETZWERKZUGRIFFEN DRITTER
,
Ich weißes nicht/keine Ahnung
OL
J-. w•hnchelnllch
35% J-. definitiv
BOMGAR"
X VERALTETE RICHTLINIEN UND UMSETZUNG RUND UM DAS THEMA
DRITT ANBIETER ZUGRIFFE
Zwei Drittel der Befragten berichten, dass sie es als schwierig empfinden, den sich wandelnden Sicherheitsbedrohungen für ihre Unternehmen entgegenzuwirken. Dies spiegelt sich in der Tatsache wider, dass mehr als die Hälfte (55%) der Teilnehmer ihre Richtlinien für Netzwerkzugriffe von externen Dienstleistern in den vergangenen zwei Jahren nicht überprüft haben. Lediglich 51 % sagten, sie setzen Richtlinien für Netzwerkzugriffe Dritter um.
Die Bemühungen, jedem neuen Sicherheitsrisiko durch
die Aktualisierung der Richtlinien für Drittanbieterzugriffe zu begegnen, können vergeblich erscheinen. Veränderungen ergeben sich täglich, manchmal sogar stündlich. Tatsache ist, dass eine aktuelle Richtlinie für Netzwerkzugriffe Dritter grundlegend für den Schutz Ihres Unternehmens ist. Noch viel entscheidender ist, dass jede festgelegte Richtlinie über eine entsprechende Umsetzungsstrategie und Tools verfügen sollte, welche die Implementierung von weiterentwickelten Richtlinien einfach und wirksam gestaltet. ll!JII
74°/o SIND DER MEINUNG, DASS BEI DER AUSWAHL VON DRITTUNTERNEHMEN DEN HAUPTRISIKEN NICHT GENÜGEND BEACHTUNG GESCHENKT WIRD. 64°/o GEBEN AN, DASS IHRE UNTERNEHMEN SICH BEIM OUTSOURCING STATT AN SICHERHEIT MEHR AN KOSTEN ORIENTIEREN.
X SICHERHEIT WIR D NICHT ALS DAS WICHTIGSTE KRITERIUM BEI DER
LIEFERANTENAUSWAHL ANGESEHEN
Mehr als die Hälfte (56%) der Befragten denkt, dass die Bedrohung aufgrund von Netzwerkzugriffen von externen Dienstleistern in ihrem Unternehmen nicht ernst genug genommen wird. Tatsächlich glauben drei Viertel (74%), dass bei der Auswahl von Drittunternehmen den Hauptrisiken nicht genügend Beachtung geschenkt wird. 64% geben an, dass ihre Unternehmen sich beim Outsourcing statt an Sicherheit mehr an Kosten orientieren.
Diese Thematik ist nur sehr schwer zu lösen, da es neben
der Bereitstellung einer sicheren Lösung für die Verwaltung von Drittanbieterzugriffen gleichermaßen um eine Veränderung der Unternehmenskultur geht. Wenn Kosten so im Fokus der Geschäftsführung liegen, muss vielleicht folgendes erwähnt werden: Berichten zufolge hat die Sicherheitslücke bei Target zu Kosten in Höhe von 252 Mio. Dollar geführt. Wenn die Bedrohung nicht ernst genommen wird, sind die anfallenden Kosten weit höher als die Kosten für die Risikovorsorge. llIIE
• VENDDR WLNERRBIUTY: WIE lßSSEN SICH SICHERHEITSRISIKEN DURCH DIE ZUSRNNENRRBEIT Nil EXTERNEN DIENSREISTERN VERMEIDEN
llIJII LETZE ÜBERPRÜFUNG DER NETZWERKZUGRIFFE DRITTER
Vor mehr •lsdrel J•hren
30°/o
Vor einem Jehr
lnnerh•lb des
letzten J•hres
lch-iß es nicht/
keine Ahnung
llIIE UMFANG DER SICHERHEITSRICHTLINIEN IM BEZUG AUF
N ETZWERKZUGRIFFE DRITTER
Ot
Unsere Rlchtllnlen decken dies •b
und wir setzen sie kon111quent um
Ich -18 es nicht ßO/o
39% Unsere Rlchtllnlen
decken dln •b, •ber wir setzen sie
nkht Immer um
BOMGAR.
Unsere Umfrageteilnehmer zeigen sich über zukünftige Sicherheitsverstöße besorgt. Mehr als zwei Drittel (77%) glauben, dass ihr Unternehmen innerhalb der nächsten zwei Jahre vor einem erheblichen Datensicherheitsprob-
lem aufgrund der Aktivität von Lieferanten in ihrem Netzwerk stehen wird. Besorgniserregend ist jedoch, dass 64% der Befragten befürchten, dass dies innerhalb des nächsten Jahres eintreten wird. IID
77°/o GLAUBEN, DASS IHR UNTERNEHMEN INNERHALB DER NÄCHSTEN ZWEI JAHRE VOR EINEM ERHEBLICHEN DATENSICHERHEITSPROBLEM AUFGRUND DER AKTIVITÄT VON EXTERNEN DIENSTLEISTERN IN IHREM NETZWERK STEHEN WIRD.
Parallel zur Vergrößerung des Netzwerks von Lieferanten und Drittunternehmen, steigt jedoch auch das Risiko potenzieller Datensicherheitsverletzungen. Lieferanten werden ihrerseits zunehmend Drittunternehmen beauftragen, um Arbeiten in Ihrem Namen durchführen zu lassen. 72% der Teilnehmer erachten dieses "Risiko durch Vierte" jedoch für die Zukunft als erhebliches Problem. Die Verwaltung von Netzwerkzugriffen für die externen
Dienstleister, die Sie kennen, ist schon schwierig genug, ganz zu schweigen von der Verwaltung für die, die Sie nicht kennen. Die wachsende Komplexität von Lieferantennetzwerken stellt dabei eine umfassende Herausforderung dar. Ein weiterer wichtiger Punkt ist, dass
die Anzahl der Geräte innerhalb Ihres Netzwerks in den kommenden Jahren exponentiell steigen wird. Knapp drei Viertel (74%) der Befragten zeigen
sich bereits für das kommende Jahr über Sicherheitslücken besorgt, die von diesen Geräten herrühren. Dabei handelt es sich nicht nur um Smartphones und andere mobile Endgeräte. Das "Internet der Dinge" und die starke Zunahme von internetfähigen Peripheriegeräten erhöhen erheblich die Anzahl der Angriffspunkte, über die ein Cyber-Angriff erfolgen könnte. [[l]I
IT-Manager, CIOs und CSOs wissen, was zur Minderung dieses Risikos unternommen werden muss. Mehr als die Hälfte (55%) nehmen an, dass ihr Unternehmen besser geschützt sein wird, wenn sie über eine Richtlinie verfügen, in der Lieferantenzugriffe entsprechend einer Risikoeinstufung klassifiziert sind. Beinahe acht von zehn Personen (78%) glauben, dass Datenschutzverletzungen Dritter nur durch Maßnahmen zur Zugriffskontrolle auf Personen-, Prozess- und Technologieebene effizient verringert werden können. Man ist sich darüber einig, dass bessere Kontrollen innerhalb des Lebenszyklus von externen Dienstleistern (57%). Effizienz bei der Verwaltung und Überwachung von Lieferanten (52%) und eine effiziente Kontrolle der Risiken durch Drittunternehmen (52%) wichtige Überlegungen für den Schutz vor Datensicherheitsverletzungen durch externe Dienstleister sein werden.
Nun bleibt nur noch der Übergang von der Bewusstwerdung hin zur Umsetzung.
• VENDDR WI.NERRBIUIY: WIE UISSEN SICH SICHERHEITSRISIKEN DURCH DIE ZUSRNNENRRBEIT Nil EXTERNEN DIENSilEISTERN VERMEIDEN
liD ZEITRAHMEN BIS ZU EINER SCHWERWIEGENDEN DA TE NS ICH ERH EITSVE RLETZU NG
24%
11%
Bereltl Weniger eingetreten als 1ech1
Monllte
%
Sechs MonateelnJahr
Einzwei
Jahre
Lilnger alnwel Jahre
[[l]I SCHLÜSSELFRAGEN FÜR DEN SCHUTZ VOR DATEN SI CH E RH E ITSVERSTÖSSEN
Höhere Qu.lltit/strllrtere Kontrollen wihrend des ges•rnten Lt!benszyklus
von Drittuntemehmen
Geschwindigkeit/Effizienz bei der Verwaltung & Überwachung von
Ueferanten
Effiziente Ob-.c:hung von Risiken durch externe Dlenstllllster
Elnheltllchkelt bei der Verw11ltung der Netzwerkzugriffe Dritter
Verringerung der Kosten & des Zeitllufwllnd1 bei der Verwaltung von
Ris iken durch extern e Dienstleister
Verbesserung der Einhaltung von Compll•nce-Rlchtllnlan
---�57°/o ____ 5 o,
52%
37%
19°/o
PRIVILEGED ACCESS MANAGEMENT
II Die Auflistung aller Lieferanten samt ihrem bestehenden Zugang
zu Systemen, Daten oder Anwendungen sowie dem Grund für deren Zugriffsbedarf. Diese Informationen sollten regelmäßig überprüft werden, um festzustellen, ob Lieferanten immer noch auf entsprechender Ebene Zugriff erhalten müssen.
II Einschränkung des Zugriffsindividueller Lieferanten (auch
individueller Personen innerhalb des Drittunternehmens), sodass sich diese nur in die Anwendung oder Systeme einloggen können, die für ihre Position erforderlich sind.
II Identifizierung, wenn einLieferantenkonto möglicherweise
kompromittiert wurde, sowie die sofortige Entziehung oder Einschränkung der Netzwerkzugriffsberechtigung von bestimmten Lieferanten.
G VENDDR Wl.NERRBIUTY: WIE lßSSEN SICH SICHERHEITSRISIKEN DURCH DIE ZUSRNNENRRBEIT Nil EXTERNEN DIENSREISTIRN VERMEIDEN
a Einführung und Umsetzung vonProzessen, die festlegen, wer in
Ihrem Unternehmen dazu berechtigt ist, externen Dienstleistern Zugriff zu gewähren.
II Kontrolle und Überwachung von zusätzlichen Lieferanten, die auf
Ihre Systeme zugreifen könnten, wie z.B. vierte Subunternehmer.