Das Datenschutzgesetz (vgl.: DSG), wie auch die Datenschutz Grundverordnung (vgl.: DSGVO), sind gesetzlich verpflichtend. Datenschutz sollte als Teil des Dreigestirns GRC – governance, riskmanagement and compliance – über das interne Kontrollsystem nachvollziehbar und steuerbar sein. Eine Aussensicht über die Wirkweise und mögliche Verbesserungsfelder kann eine externe Prüfung gewährleisten. So eine Prüfung macht in diesem Fall das Red Team vom [i]Matrix. Diese Prüfung hat strengen Fokus auf den Datenschutz. Maßnahmen bezüglich Datensicherheit werden zwar teilweise mit in die Bewertung einbezogen sind aber nicht der Untersuchungsgegenstand.
Was gehört jetzt alles zum „Datenschutzprozess“
Personenbezogene Daten sind jede Art von Information, die ein eindeutige Identifikation und Zuordnung zu einer Person ermöglichen. In diesem Sinne wurde die Definition von personenbezogenen Daten maßgeblich erweitert und sie beinhaltet nun auch online Identifikationsmerkmale, IP Adresse, wirtschaftliche Indikatoren und noch viele mehr in diesem Sinne. In diesem großen Bereich gibt es einen festgelegten sensiblen Bereich von Daten mit Personenbezug, die besonderes Schutzinteresse geniessen.
Zusätzlich zu Betrug und Diebstahl von Daten – diese Themen behandelt die Datensicherheit in der Regel – ergänzt der Datenschutz (vgl.: im Rahmen DSG und DSGVO) den Aufgabenbereich um die Themen, Veränderung, Verlust, Verfügbarkeit, Zerstörung, unberechtigter Zugriff und Offenlegung.
Bewertung
Bevor der Datenschutz überprüft wird führt das Red Team eine Bestandsaufnahme durch. Im Rahmen der Bestandsaufnahme erhalten die Gruppenmitglieder einen Überblick über die öffentlich zugängliche IT und Netzwerkinfrastruktur. Die Gruppe übernimmt hier die Handlungs- und Denkweise eines externen Angreifers. Im konkreten Fall werden alle/ möglichst alle Vermögenswerte der betroffenen Organisation betrachtet. Das sind digitale und pyhsische Vermögenswerte/ Gegenstände/ Informationen und auch technische und organisatorische Abläufe und Prozesse.
Um in endlicher Zeit zu einer Aussage zu kommen geht das Red Team von folgenden Fragestellungen aus:
- Welche Auswirkungen können für die Organisation bei einer Datenschutzverletzung dieses Objektes entstehen? (Finanz/ Wert und Reputation)
- Hängen Verfahren/ Prozesse voneinander ab und ist ein Dominoeffekt absehbar?
- Was sind die wertvollsten Vermögenswerte und Prozesse, die kompromittiert werden können?
Aktivitäten
Nach einer ersten Erhebung legt das Red Team den Schwerpunkt der Analyse und der Angriffsinhalte fest. Diese Schwerpunktfestlegung kann zu jedem Zeitpunkt noch ergänzt und geändert werden. Angriffs Vektoren/ Parameter können situationsbedingt angepasst werden, wie auch Verhaltensmodelle angepasst werden können.
Das Red Team legt hier die taktische Vorgehensweise fest, um einen oder mehrere Eintrittspunkte in eine Organisation zu finden. Zur Anwendung kommen hier vor allem Techniken aus dem Social Engineering via eMail und Telefon. Ziel ist es Benutzernahmen und/ oder Passwörter zu erlagen. Die Taktik zielt auf drei Bereiche ab. Erstens Netzwerkdienste, zweitens physische Schicht (wie Türschliesser) und drittens die Anwendungsschicht (vgl.: Im Regelfall Webanwendungen) Das Ergebnis ist die Grundlage für die im folgendem Abschnitt beschriebenen Methoden.
Methoden
Die Methode, das Vorgehen, ist in fünf Schritte aufgegliedert. Diese feste Darstellung ist von Vorteil, um einerseits Tätigkeiten nicht zu vergessen und andererseits auch um eine Nachvollziehbarkeit zu gewährleisten.
Festlegen Tätigkeitsfeld:
In einem ersten Schritt wird eine Zieldefinition mit dem Auftraggeber (vgl.: AG) festgelegt. Diese Zieldefinition enthält die zur Anwendung kommenden Verfahren/ Angriffe. Eine Abklärung der Erwartungshaltung in der Form, dass auch dargestellt wird, was nicht dabei ist. (zB.: Security Audit). Ein Rahmenzeitplan anhand von Durchlaufzeiten der einzelnen Phasen. (Anm.: Phasen sind in der Form zusammenhängende Vorgänge, die mit möglichen Abhängigkeiten zu Ergebnissen anderer Phasen, unabhängig voneinander ausgeführt werden können.) Ergebnis ist eine vertragliche Vereinbarung zur Durchführung dieser oben beschriebenen Phasen/ Angriffe. Insbesondere ist auf Geheimhaltung und Vertraulichkeit über das Ende der Vertragslaufzeit, wie auch die Handhabung aller Artefakte diesbezüglich zu achten und zu vereinbaren.
Informationen sammeln:
Gesammelt werden Informationen über die IT Infrastruktur, wie IP Adressen, Informationen zu und über Schnittstellen von mobilen Geräten. Auch werden teilweise Informationen über Mitarbeiter der Organisation funktionsbezogen erhoben, wie auch private Informationen, die frei verfügbar sind. (Anm.: Gegebenenfalls ist hier der Betriebsrat mit einzubinden und vor allem auf die Einhaltung des Datenschutzes zu achten.) Auch werden Referenzen zu erhobenen möglichen Benutzernamen- und Kennwortkombinationen erhoben. Die IT Infrastruktur wird so weit als möglich auch erhoben und verortet.
Planung und Zuordnung Angriff:
Um die Effektivität zu gewährleisten wird im Rahmen Erhebung auch geachtet auf,
– nicht offen zugängliche/ verwendbare Informationen, wie Subdomänen
– Fehlkonfiguration von Clouddiensten
– Verwendete Authentifizierungsdienste & -mechanismen
– Schwachstellen im Netzwerk und Anwendungen
– Drehbuch für Telefonanrufe im Rahmen Social Engineering (Anm.: Gesprächsleitfaden, was erfragt werden soll)
Durchführung Angriff:
Der eigentliche Angriff auf erkannte Schwachstellen wird nur wenn gefordert und vereinbarungsgemäß durchgeführt. Die Form des Nachweises ist vertraglich festgelegt, wie das Erstellen einer Textdatei zum Beispiel, oder nur das Auslesen des Wertes einer Textdatei. Im Rahmen des Datenschutzes reicht das Auslesen von Informationen, wie auch die Unterbindung der Verfügbarkeit, um eine Datenschutzverletzung umzusetzen. Datenmanipulation und Löschung setzen wesentlich höhere Rechte voraus.
Dokumentation und Bericht:
In einem letzten Schritt werden die Art und Weise der durchgeführten Angriffe und ihre Auswirkungen und Ergebnisse dargestellt. Alle zu dem Zeitpunkt der Erfassung festgestellten Schwachstellen werden dokumentiert, wenn möglich werden die zur Behebung/ Umgehung möglichen Maßnahmen beschrieben. Im einem letzten Schritt werden für möglichst alle Schwachstellen Konsequenzen bei einer Nichtbehebung dargestellt, als Grundlage für eine Gewichtung und Risikobewertung.
Simulation
Wie schon weiter oben beschrieben versetzt sich das Red Team in die Situation eines möglichen Angreifers. Hier sind vier mögliche Angreifergruppen, mit unterschiedlicher Motivlage, erkennbar.
– Organisiertes Verbrechen
– Netzspionage
– Netzterrorist
– Netzaktivist
Abhängig vom Tätigkeitsfeld, finanziellen und technischen Ressourcen uvm. kann es zu unterschiedlichen Motivlagen von Angreifern kommen.
Vorteile
Zusammengefasst kann man sagen, dass der Einsatz eines Red Team zur Überprüfung des Datenschutzes folgende Ansätze zur Qualitätsverbesserung liefert. Mit einer Qualitätsverbesserung geht vor allem eine Effizienzsteigerung beim Mitteleinsatz einher.
- Überprüfung auf Wirksamkeit der eingesetzten Maßnahmen, Verfahren und Prozesse
- Schaffung eines (vergleichbaren) Risiko Klassifikationsschema
- Transparenz und Nachvollziehbarkeit im Bereich Schwachstellenmanagement
- Darstellung der Wirtschaftlichkeit