DIGITAL RISK MANAGEMENT (DRM) – Automatisiertes Sammeln, Analysieren und Bewerten von - Prof. Dr. Norbert Pohlmann

J. Hörnemann, N. Pohlmann (Institut für Internet-Sicherheit),
„DIGITAL RISK MANAGEMENT (DRM) – Automatisiertes Sammeln, Analysieren und Bewerten von Unternehmensinformationen im Internet“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag,
2/2020

Ein professionelles Digital-Risk-Management-System scannt das Clearnet, Deep Net und Darknet nach auffälligen, potenziell sensiblen Dokumenten und Informationen, um Hinweise für technische oder menschliche Sicherheitsrisiken identifizieren zu können. Die Prävention von Cyberangriffen ist nach wie vor eine entscheidend wichtige Säule, um die Digitalisierung zu meistern, Geschäftswerte langfristig zu schützen und die Anzahl an kritischen Sicherheitslücken im Unternehmen gering zu halten. Im Rahmen eines Master-Projekts hat sich das Institut für Internet-Sicherheit – if(is) mit dem Thema DRM auseinander gesetzt und insbesondere das Tool RISKREX exemplarisch analysiert.

Im Laufe der Zeit produzieren Unternehmen, Behörden und andere Organisationen eine wachsende Menge an Informationen und Daten, die je nach Situation in den unterschiedlichen Bereichen des Internet (Clearnet, Deep Net und Darknet) gespeichert und oft nie wieder gelöscht werden. Hinzu kommen Informationen, die Dritte (Lieferanten, Partner, Kunden etc.) über das Unternehmen im Internet ablegen. An sich sind solche Informationen meist unkritisch – aus einzelnen Infos können Kriminelle in der Regel keine Angriffsziele entwickeln. Problematisch wird es aber, wenn die Menge der Daten immer größer wird und Angreifer intelligente Tools einsetzen, um die einzelnen Infos zu verketten. Mit der Kombination von Daten aus einem ständig wachsenden Pool sind Kriminelle eben doch in der Lage, die Erfolgsaussichten ihrer Angriffe drastisch zu erhöhen. Digital-Risk-Management-Systeme sollen Unternehmen dabei unterstützen, das Gefahrenpotenzial aus diesen Quellen besser einzuschätzen, potenzielle Angriffe zu verhindern und den Erfolg von Cybersicherheitsprojekten messen zu können.

Neue Ansätze – menschliche und technische Angriffsvektoren automatisiert zu erfassen, Datenpunkte sinnvoll zu kombinieren und Risiken datengetrieben zu reduzieren – ermöglichen neben der zielgerichteten Awareness-Kampagne auch die Erfolgsmessung von Cybersicherheitsprojekten. Ein Digital-Risk-Management-System fällt unter die Cybersicherheitsstrategie: „Vermeiden von Angriffen“. Gerade für den Mittelstand sind kosteneffiziente IT-Technologien ausschlaggebend, um den Bedarf zu ermitteln, welche Cybersicherheitsmaßnahmen zu welcher Zeit die richtigen sind. Die Durchführung von Awareness Kampagnen und Penetrationstests sind etablierte Formate zur Erhöhung des Cybersicherheitsniveaus. Es hängt jedoch vom Unternehmen ab, welche Cybersicherheitsmaßnahme eine erhöhte Priorität genießen sollte. Eine datengetriebene Analyse unterstützt Cybersicherheitsverantwortliche bei der Entscheidung.

DIGITALE RISIKEN ENTDECKEN, REDUZIEREN UND VERMEIDEN
Das weltweit größte Geschäftsrisiko 2020 sind Cybervorfälle. Inbegriffen sind Cyberkriminalität, IT-Ausfälle, Datenschutzverletzungen und
Wirtschaftsspionage. Diese Bewertung ist angemessen, da zum Beispiel moderne Ransomware-Angriffe vor der Verschlüsselung Unternehmensdaten abgreifen und bei Nichtzahlung des Lösegeldes die Daten veröffentlichen. Mit der zunehmenden Digitalisierung rückt also auch die digitale Gefahr in den Mittelpunkt.
Doch die abstrakte, unsichtbare Bedrohung ist schwer zu greifen.
Instagram, Facebook, LinkedIn und XING sind soziale beziehungsweise Berufsnetzwerke, die von ausgefüllten Profilen, einer regen Diskussion
und fleißig geteilten Beiträgen leben. Daten, die nicht in den Händen der Betreiber bleiben, werden zur Gefahr für alle Beteiligten. Eine frühzeitige Erkenntnis über den Abfluss von Daten (sicherheitsrelevante Informationen, wie Nutzername/Passworte, Antworten von Sicherheitsfragen etc.) und den notwendigen, anschließenden Maßnahmen, wie zum Beispiel die Änderung der Sicherheitsfragen, Software-Tokens und Passwörter, kann von einem Digital-Risk-Management-System erkannt und angestoßen werden.
Unternehmen, die nicht für einen ausreichenden Schutz gesorgt haben, droht im Anschluss an den Datendiebstahl noch zusätzlich ein hohes Bußgeld, wenn es sich um datenschutzrelevante Informationen handelt.
2019 allein wurden 8,5 Milliarden Datensätze gestohlen. Dass diese Datengrundlage als Basis für kriminelle Aktivitäten herhält, ist Cybersicherheitsspezialisten längst bekannt. Betroffene spüren die negativen Auswirkungen häufig erst dann, wenn die Daten von Fremden aktiv ausgenutzt werden. Dabei ist der Umfang und die Gültigkeit der Daten häufig ausschlaggebend für den potenziellen Schaden, der verursacht werden kann.
Gerade die Zusammenführung von gestohlenen Datensätzen kann zu einer Identifizierung einzelner Personen führen. Besonders existenzbedrohend für die betroffene Mitarbeiter, und eine Vorlage für Erpressungen, ist der Zustand, wenn dieser Mitarbeiter auf einer Fremdgeh- oder
Pornografie-Website, die von einem Datendiebstahl betroffen war, registriert gewesen ist. Dieses Wissen ermächtigt Angreifer dazu, Druck auf die betroffenen Mitarbeiter auszuüben. Dieser menschliche Risikofaktor kann durch die Verwendung eines Digital Risk Management Tools vorhergesehen und seine Ausnutzung durch Kriminelle verhindert werden. Handlungsempfehlungen und weitere Informationen zu zahlreichen Betrugs- und Erpressungsmaschen werden den Verantwortlichen bei Entdeckung oder Bedarf bereitgestellt.

…