8 Wege, (unabsichtlich) Daten zu leaken

Mitarbeiter werden (hoffentlich) regelmäßig über die Risiken, die mit Phishing-Mails, gestohlenen Logins und unzureichenden Passwörtern verbunden sind, aufgeklärt. Ein Thema, das dabei oft ausgeklammert wird: die Gefahr, dass Mitarbeiter unabsichtlich sensible Informationen über sich selbst, ihr Unternehmen oder ihre Tätigkeit offenlegen.

Wir haben acht Möglichkeiten zusammengetragen, wie Mitarbeiter versehentlich Daten leaken und sagen Ihnen, wie Sie die Risiken abmildern.

1. Brillenreflexionen

Videokonferenzplattformen wie Zoom und Microsoft Teams sind inzwischen fester Bestandteil von Remote- und Hybrid-Work-Szenarien. Allerdings zeigt eine wissenschaftliche Stude, dass Brillenträger in Videokonferenzen Gefahr laufen, durch die Screen-Reflexionen ihrer Sehhilfen unabsichtlich Informationen offenzulegen.

Eine Gruppe von Forschern der Cornell University stellte im Rahmen der Forschungsarbeit "Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing" eine Methode zur Rekonstruktion von Bildschirmtext vor, der durch die Brillen der Teilnehmer und andere reflektierende Objekte in Videokonferenzen sichtbar wird. Mithilfe mathematischer Modellierung und Experimenten mit menschlichen Versuchspersonen wurde untersucht, inwieweit Webcams erkennbare Text- und Grafikinformationen erkennen lassen, die von Brillengläsern reflektiert werden.

"Unsere Modelle und experimentellen Ergebnisse in einer kontrollierten Laborumgebung zeigen, dass es möglich ist, mit einer 720p-Webcam Bildschirmtexte, die nur 10mm groß sind, mit einer Genauigkeit von über 75 Prozent zu rekonstruieren und zu erkennen", schreiben die Forscher. "Wir haben dieses Bedrohungsmodell auch auf Textinhalte im Internet mit unterschiedlichen Angriffsfähigkeiten angewandt, um Schwellenwerte zu ermitteln, ab denen der Text erkennbar wird." Weil schon heutige 720p-Standard-Webcams für Angreifer ausreichten, um Textinhalte auf Websites mit großer Schrift zu rekonstruieren, werde die Entwicklung hin zu 4K-Kameras die Schwelle für Text-Leaks so weit verschieben, dass die meisten Header-Texte rekonstruiert werden könnten, meinen die Wissenschaftler.

Im Rahmen der Studie werden auch kurzfristige Abhilfemaßnahmen vorgeschlagen, beispielsweise ein Software-Prototyp, mit dem die Benutzer ihre Brillengläser mit Unschärfe versehen können. "Geht es um mögliche langfristige Abwehrmaßnahmen, befürworten wir ein individuelles Reflexionstestverfahren, um die Bedrohungen unter verschiedenen Bedingungen zu bewerten und die Bedeutung des Least-Privilege-Prinzips für datenschutzsensible Szenarien zu begründen", konstatieren die Studienautoren.

2. LinkedIn-Karriere-Updates

Auf dem Business-Netzwerk LinkedIn ist es üblich, sein Profil zu aktualisieren, wenn man eine neue Stelle antritt. Dabei werden Informationen wie der letzte Karriereschritt, Berufserfahrung oder der Arbeitsort angegeben. Allerdings durchforsten längst auch böswillige Angreifer LinkedIn nach solchen Posts und nehmen Mitarbeiter, die gerade einen beruflichen Neustart wagen, gezielt mit SMS-Phishing-Nachrichten ins Visier. Dabei geben sie sich häufig als Führungskräfte aus.

Laut Rachel Tobac, Social-Engineering-Expertin und Geschäftsführerin von SocialProof Security, versuchten die Angreifer so Geschenkgutscheine zu erlangen oder Überweisungen zu fingieren - es sei aber auch schon vorgekommen, dass Anmeldedaten oder sensible Daten auf diese Weise kompromittiert wurden. Insbesondere in letzter Zeit häuften sich Angriffe dieser Art, konstatiert die Expertin via Twitter:

I’ve seen an increase in the New Hire SMS Phish attack method recently:
- new hire starts at org, they or the org announce new role on LinkedIn
- attacker looks up new hire’s phone number on data brokerage sites
- sends SMS phish pretending to be Exec to new hire in first month https://t.co/PnaXO8Y75J

— Rachel Tobac (@RachelTobac) September 10, 2022

Um das Risiko solcher SMS-Phishing-Betrügereien für neue Mitarbeiter zu reduzieren, empfiehlt Tobac Unternehmen, neue Personalien nicht mehr öffentlich auf LinkedIn zu verkünden und Mitarbeitern, Postings zum neuen Job zu begrenzen. "Außerdem sollten Sicherheitsteams neue Mitarbeiter über diese Angriffsart aufklären. Eine weitere Maßnahme wäre, die Kontaktdaten von Mitarbeitern von Data-Broker-Webseiten zu entfernen", rät Tobac.

3. Geteilte Bilder

Viele Mitarbeiter haben nicht auf dem Schirm, dass Bild-Postings auf ihren sozialen Kanälen und Messaging-Apps ein Risiko für sensible Unternehmensdaten darstellen können.

Allerdings ist die versehentliche Offenlegung von Daten über soziale Apps wie Instagram, Facebook und WhatsApp eine sehr reale Gefahr, wie Dmitry Bestuzhev, leitender Bedrohungsforscher bei BlackBerry, erklärt: "Die Leute machen gerne Fotos, vergessen dabei aber manchmal ihre Umgebung. So findet man hier häufig sensible Dokumente auf dem Tisch, Diagramme an der Wand, Passwörter auf Klebezetteln, Authentifizierungsschlüssel und ungesperrte Screens mit geöffneten Anwendungen. All diese Informationen sind vertraulich und könnten für schändliche Aktivitäten genutzt werden." Dabei würden Mitarbeiter leicht vergessen, dass ein nicht gesperrter Bildschirm beispielsweise Auskunft darüber geben könne, welcher Browser verwendet und welche Security-Produkte eingesetzt werden, ergänzt Bestuzhev.

Keiron Holyome, VP bei BlackBerry, unterstreicht an dieser Stelle die Bedeutung von Security Awareness: "Unternehmen können nicht verhindern, dass Mitarbeiter Fotos machen und teilen - aber sie können auf die Risiken hinweisen und die Mitarbeiter dazu bringen, darüber nachzudenken, was sie posten."

4. Falsche Datenbanknutzung

Tom Van de Wiele, leitender Bedrohungsforscher beim Sicherheitsanbieter WithSecure, berichtet von einigen ungewöhnlichen Fällen, die er zusammen mit seinem Team behandelt hat. Dabei führten einfache Tippfehler bei einer IP-Adresse oder URL für ein Dateneingabeskript dazu, dass falsche Datenbanken genutzt wurden. "Das kann dazu führen, dass Datenbanken bereinigt oder zurückgesetzt werden müssen - und zwar bevor der Backup-Prozess einsetzt. Anderenfalls riskieren Unternehmen einen Verstoß gegen die europäische Datenschutzgrundverordnung. Es kommt regelmößig zu solchen Datenvermischungen in Unternehmen. Wenn solche Vorgänge zu weit in der Vergangenheit liegen, sind sie irreversibel", erklärt Van de Wiele.

Der Sicherheitsexperte rät daher dazu, so weit wie möglich auf den Authentifizierungsaspekt von TLS zu setzen, schränkt jedoch ein: "Das verringert das Risiko einer Verwechslung von Servern und Datenbanken. Aber man muss sich darüber im Klaren sein, dass sich das Risiko nicht vollständig beseitigen lässt. Daher sollten Sie sicherstellen, dass Protokolle vorhanden sind, die im Rahmen einer umfassenderen Detection- und Monitoring-Strategie eine Rolle spielen."

Van de Wiele plädiert zudem dafür, strikte Regeln, Prozesse und Security-Kontrollen einzuführen, wenn es darum geht, Produktions-, Vorproduktions-, Staging- und Testing-Umgebungen zu nutzen: "So lassen sich Datenvermischungen reduzieren und sicherstellen, dass jede Art von Aktualisierung oder Änderung infolge der Entdeckung eines Sicherheitsproblems in Vorproduktionsumgebungen gründlich getestet werden kann." Mit der Bennenung von Servern, um sie voneinander unterscheiden zu können und Sicherheitstests in der Produktion nennt der Experte zwei weitere, hilfreiche Maßnahmen und konstatiert: "Investieren Sie in Detection und Monitoring und testen Sie, ob das gemäß Ihrer Erwartungen funktioniert."

5. Zertifikatstransparenzprotokolle

Certificate-Transparency-Protokolle ermöglichen es Benutzern, mit einem höheren Trust-Level durch das Internet zu navigieren und erlauben Administratoren und Sicherheitsexperten, Zertifikatsanomalien zu erkennen und Trust-Chains schnell zu verifizieren.

Allerdings speichern diese Protokolle alle Details öffentlich in einem Zertifikat ab. Das kann für Unternehmen zum Risiko werden, wie Art Sturdevant, VP of Technical Operations beim Attack-Surface-Management-Anbieter Censys, erklärt: "Eine schnelle Prüfung der Zertifikatsdaten von Censys zeigt Benutzernamen, E-Mails, IP-Adressen, interne Projekte, Geschäftsbeziehungen, Vorabversionen von Produkten, Organisationsstrukturen und mehr. Diese Informationen können von Angreifern genutzt werden, um das Unternehmen ausfindig zu machen, eine E-Mail-Adressliste für Phishing-Zwecke zu erstellen und in einigen Fällen Entwicklungssysteme zu kompromittieren. Letztere weisen möglicherweise weniger Sicherheitskontrollen auf und ermöglichen dem Angreifer, sich lateral durch das Netzwerk zu bewegen."

Da die Daten in einem CT-Protokoll für immer gespeichert werden, empfehle es sich, Entwickler, Administratoren und andere Fachkräfte zu schulen. So könne beispielsweise auch ein allgemeines E-Mail-Konto genutzt werden, um Zertifikate zu registrieren, so Sturdevant und ergänzt: "Die Administratoren sollten auch die Benutzer darüber aufklären, welche Daten ein CT-Protokoll enthält und wie sie dazu beitragen können, eine versehentliche Offenlegung von Informationen zu vermeiden."

6. USB-Hardware

Es mag harmlos erscheinen, wenn Mitarbeiter kleine Gadgets wie USB-Ventilatoren oder -Lampen mit ihren Firmengeräten verwenden. Amir Landau, Leiter des Malware-Forschungsteams von CyberArk, warnt jedoch davor, die Gefahr, die davon ausgeht zu unterschätzen: "Solche Geräte können als Hintertür ins Unternehmensnetzwerk dienen."

Laut dem Security-Experten gibt es bei Hardware-Angriffen dieser Art in der Regel drei wesentliche Angriffsvektoren:

1. Sogenannte Malicious-by-Design-Hardware wird bereits mit vorinstallierter Malware ausgeliefert. "Ein Beispiel ist BadUSB: Die Geräte können ganz einfach auf AliExpress gekauft werden oder man stellt sie mit offenen Quellen wie USB Rubber Ducky einfach selbst her", offenbart Landau.

2. Wurminfektionen - auch als Replikation über Wechselmedien bezeichnet - bringen USB-Geräte zum Einsatz, die mit Würmern wie "USBferry" und "Raspberry Robin" infiziert sind.

3. Kompromittierte Hardware-Lieferketten. "Im Rahmen eines Angriffs über die Lieferkette wird Schadsoftware auf legitimer Hardware eingeschleust. Dazu kam es zum Beispiel im Jahr 2018, als bösartige Mikrochips in Motherboards verbaut wurden, die am Ende unter anderem in den Servern von Amazon und Apple gelandet sind."

Wie Landau erklärt, sei es schwierig, solche Angriffe am Endpunkt zu erkennen. Antivirus- und Endpoint-Lösungen könnten in einigen Fällen vor Bedrohungen schützen, indem sie den Exceution Flow von Extended Devices überwachten und Richtlinien zur Code-Integrität validierten. "Privileged-Access-Management-Lösungen sind an dieser Stelle ebenfalls wichtig, da sie die USB-Ports für nicht privilegierte Benutzer sperren und nicht autorisierten Code verhindern können", fügt der Malware-Experte an.

PSA: Amazon gift cards are never only "for items from this list of goods." This is a spearphishing scam trying to get high value targets to plug in a BadUSB or similar device and get pwnt. pic.twitter.com/3ydmMEFDfF

— Jim Salter (@jrssnet) January 7, 2022

7. Ausrangierte Hardware

Wenn ein alter Bürodrucker nicht mehr funktioniert oder durch ein neueres Modell ersetzt wird, können sich für Unternehmen weitere Risiken zur unfreiwilligen Datenexposition eröffnen. Das ist immer dann der Fall wenn ausrangierte Geräte nicht um die auf ihnen gespeicherten Daten (beispielsweise WLAN-Passwörter) erleichtert werden. Bedrohungsforscher Van de Wiele hat auch das aus erster Hand erfahren: "Kriminelle haben die Passwörter extrahiert und sich damit ins Netzwerk des Unternehmens eingeloggt, um personenbezogene Daten zu stehlen."

Um solche Szenarien zu verhindern, rät der Experte Unternehmen, Daten sowohl im Ruhe- als auch im Transportzustand zu verschlüsseln und Authentifizierungsverfahren zu nutzen: "Halten Sie Wechselmedien unter Kontrolle und stellen Sie sicher, dass eine Wiederherstellung von Daten durch einen formalen Prozess mit den erforderlichen Kontrollen möglich ist."

8. E-Mails an private Konten

Avishai Avivi, CISO beim Sicherheitsanbieter SafeBreach, berichtet von einem Vorfall, bei dem eine nicht böswillige E-Mail, die von einem Mitarbeiter zu Schulungszwecken verschickt wurde, beinahe zur Preisgabe von persönlichen Kundendaten geführt hätte: "Zu Schulungszwecken kam ein Spreadsheet mit echten Kundendaten zum Einsatz, bei denen die sensiblen Inhalte einfach versteckt wurden. Diese modifizierte Tabelle wurde dann an die Schulungsteilnehmer verteilt. Einer wollte sich zu Hause weiterbilden und schickte das Spreadsheet kurzerhand an sein persönliches E-Mail-Konto", erzählt Avivi und fährt fort: "Glücklicherweise verfügte das Unternehmen über reaktive Data-Leak-Protection-Maßnahmen, die alle E-Mails der Mitarbeiter überwachen. So wurden die enthaltenen Daten erkannt, die E-Mail blockiert und das SOC alarmiert. Dieser Vorfall verdeutlicht, dass vertrauliche Informationen selbst durch die harmlosesten Aktionen preisgegeben werden können."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.