Honeypots und Risikoträger

Ein Honeypot ist ein freigegebener Ordner, der aussieht wie ein lukratives Ziel für Datendiebe und der frei zugänglich ist. Er dient allein dazu, festzustellen, wer darauf zugreift. Das Rezept ist ziemlich einfach. Richten Sie zunächst einen freigegebenen Ordner ein, auf den jeder Nutzer zugreifen kann. So etwas wie: „X:\Freigabe\Gehälter“ oder „X:\Freigabe\CEO“. Dann lehnen Sie sich zurück und sehen zu, wer darauf anspringt. Vielleicht sind das nur neugierige Mitarbeiter, die ein bisschen stöbern – oder aber eine Malware ist in Aktion.

Es ist sehr wichtig zu wissen, wo sich die „Kronjuwelen“ eines Unternehmens befinden. Dazu ist es in der Regel erforderlich, die Daten per Software zu klassifizieren. Doch diese Information allein reicht nicht aus. Mit einer geeigneten Software lassen sich außerdem Fragen beantworten wie: Wem gehören die Dateien (nicht das Attribut Verfasser/Data Owner, sondern wer sie wirklich besitzt)? Wer hat Zugriff darauf? Wofür werden diese Daten verwendet? Wurden sie geöffnet? Kopiert? Von wem? Wann?

Mit diesen Metadaten wird es möglich, die Daten mit dem größten potenziellen Risiko ausfindig zu machen und entsprechende Maßnahmen zu ergreifen: Berechtigungsstruktur überwachen, Zugriffsrechte häufiger überprüfen und Warnungen einrichten.

Neben dieser Art von Daten sollte man auch Benutzer mit einem potenziell hohen Risiko (wie IT-Administratoren) überwachen. Die Kontrolle von Administratoren ist nicht ganz trivial, da es in der Natur der Sache liegt, dass sie normalerweise umfassende Zugriffsrechte benötigen. Bestimmte Verhaltensweisen wecken aber eindeutig Verdacht, etwa wenn ein Domain-Administrator E-Mails im Posteingang anderer Nutzer liest und diese anschließend als ungelesen markiert.

Dieser Artikel wurde von David Lin verfasst, Sales Manager Enterprise DACH beim Security-Dienstleister Varonis.