Finanzbranche sitzt auf erheblichen Datenrisiken

Zu weit gefasste Zugriffsrechte, ungenutzte Daten und veraltete Konten sind in der Finanzbranche weit verbreitet. Der neue Datenrisiko-Report von Varonis drängt Banken und Versicherungen, sich den daraus entstehenden Gefahren für die Datensicherheit zu stellen. Zugleich machen die Security-Experten Vorschläge, wie das Problem bewältigt werden kann.

Varonis, Anbieter von Lösungen zur Cybersicherheit, hat erstmals seinen Datenrisiko-Report auf einzelne Branchen heruntergebrochen. Für die Finanzbranche ergaben sich daraus alarmierende Zahlen. Interne Daten oder sensible Kundendaten sind in hohem Maße für einen breiten Mitarbeiterkreis zugänglich. So hat jeder Mitarbeiter durchschnittlich Zugriff auf knapp 11 Millionen Dateien, in größeren Unternehmen sogar auf rund 20 Millionen. In knapp zwei Dritteln (64 Prozent) der Unternehmen können zudem alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen.

Die größten Risiken

Insbesondere vier Probleme sind laut den Security-Experten weit verbreitet:

• Zu weit gefasste Berechtigungen ermöglichen Zugriff von zu vielen Mitarbeitern auf sensible Dateien und Ordner. In 64 Prozent der Unternehmen können alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen. Nicht nur das Entwenden von Daten zählt hier zu den Risiken, jede Zugangsberechtigung öffnet auch die Tür für einen Angriff per Ransomware.
• Durch zeitlich unbegrenzte Passwörter erhalten Cyberkriminelle viel Zeit für ihre Angriffe – durchschnittlich 233 Tage. So lange brauchen Banken und Versicherungen, einen Datenvorfall zu entdecken. 59 Prozent der Unternehmen verfügen über mehr als 500 unbefristete Nutzer-Passwörter.
• Ungenutzte Daten (stale data) erhöhen das Risiko für Verstöße gegen Vorschriften wie die DSGVO oder SOX. Dabei werden durchschnittlich mehr als zwei Drittel der Dateien (69 Prozent) nicht mehr genutzt.
• „Ghost User“, also veraltete, nicht deaktivierte Nutzerkonten ehemaliger Mitarbeiter und Partner gewähren unnötigen Zugang zu Informationen. Cyberkriminelle nutzen solche Accounts, um sich unauffällig in den Systemen zu bewegen. Gut 64 Prozent der Unternehmen verfügen über mehr als 1.000 solcher Konten.

Wege aus der Misere

Allein die schiere Zahl der Fälle macht deutlich, dass dieses Problem eine Dimension erreicht, die mit händischen Maßnahmen nicht mehr zu bewältigen ist. Pro Terabyte analysierter Daten seien 20.000 Dateien für jeden Mitarbeiter zugänglich – unabhängig von der Größe des Unternehmens, erklärte Michael Scheffler, Country Manager DACH von Varonis. Eine manuelle Lokalisierung und Entfernung der zu weit gefassten Zugriffsrechte würde seiner Einschätzung zufolge 6 bis 8 Stunden je Ordner benötigen. Scheffler empfiehlt daher Tools, die diese Aufgabe automatisiert erledigen. Kein Unternehmen dürfe sich von der Beseitigung der aufgezeigten Probleme ausnehmen.

„Jedes Finanz- und Versicherungsunternehmen muss sich dieser dringenden Aufgabe stellen, auch und gerade die kleineren, die oftmals denken, sie seien zu klein und uninteressant für Angreifer.“

Michael Scheffler, Varonis

Für den „2021 Financial Services Data Risk Report“ haben die Cybersecurity-Experten von Varonis rund vier Milliarden Dateien im Rahmen von Datenrisikobewertungen analysiert. Einbezogen wurden die Datenbestände bei 56 Unternehmen der Finanz- und Versicherungsbranche weltweit, unter anderem in den USA, Deutschland, Frankreich und UK. Für eine bessere Vergleichbarkeit wurden für den Report die Dateien pro Terabyte analysiert. So enthält durchschnittlich ein TB ca. 1,3 Millionen Dateien, von denen rund 2 Prozent sensible Daten wie personenbezogene oder Finanz-Informationen enthalten. Der Report steht auf der Website von Varonis zum freien Download bereit. hj