Blog

Coders Conquer Security: Share & Learn Series - Sensitive Data Exposure

Jaap Karan Singh
Veröffentlicht am 04. Sep. 2019

Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.

Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.

Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.

In dieser Folge lernen wir:

  • Wie Angreifer die Offenlegung sensibler Daten auslösen können
  • Warum die Offenlegung sensibler Daten so gefährlich ist
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer die Offenlegung sensibler Daten aus?

Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.

Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?

Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.

Warum ist die Offenlegung sensibler Daten gefährlich?

Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.

Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.

Eliminierung der Gefährdung sensibler Daten

Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.

Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.

Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.

Weitere Informationen zum Umgang mit sensiblen Daten

Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Ressource anzeigen
Ressource anzeigen

Sensible Daten liegen immer dann vor, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in unverschlüsseltem, ungeschütztem oder schwach geschütztem Zustand einer nicht autorisierten Person zugänglich gemacht werden.

Interessiert an mehr?

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Weitergeben:
Autor
Jaap Karan Singh
Veröffentlicht am 04. Sep. 2019

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Weitergeben:

Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.

Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.

Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.

In dieser Folge lernen wir:

  • Wie Angreifer die Offenlegung sensibler Daten auslösen können
  • Warum die Offenlegung sensibler Daten so gefährlich ist
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer die Offenlegung sensibler Daten aus?

Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.

Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?

Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.

Warum ist die Offenlegung sensibler Daten gefährlich?

Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.

Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.

Eliminierung der Gefährdung sensibler Daten

Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.

Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.

Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.

Weitere Informationen zum Umgang mit sensiblen Daten

Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Ressource anzeigen
Ressource anzeigen

Füllen Sie das folgende Formular aus, um den Bericht herunterzuladen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.

Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.

Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.

Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.

In dieser Folge lernen wir:

  • Wie Angreifer die Offenlegung sensibler Daten auslösen können
  • Warum die Offenlegung sensibler Daten so gefährlich ist
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer die Offenlegung sensibler Daten aus?

Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.

Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?

Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.

Warum ist die Offenlegung sensibler Daten gefährlich?

Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.

Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.

Eliminierung der Gefährdung sensibler Daten

Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.

Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.

Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.

Weitere Informationen zum Umgang mit sensiblen Daten

Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Starten

Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Bericht ansehenDemo buchen
Ressource anzeigen
Weitergeben:
Interessiert an mehr?

Weitergeben:
Autor
Jaap Karan Singh
Veröffentlicht am 04. Sep. 2019

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Weitergeben:

Die Offenlegung sensibler Daten war in den letzten Jahren für einige der bekanntesten und folgenreichsten Datenschutzverletzungen verantwortlich, wie z. B. die katastrophale Verletzung bei Marriott, bei der über 300 Millionen Kundendaten gestohlen wurden, und weitere 150 Millionen, als Equifax angegriffen wurde. Es ist ein mittleres Maß an Raffinesse erforderlich und manchmal auch eine spezielle Ausrüstung auf Seiten des Angreifers, aber in vielen Fällen ist es für einen Hacker nicht übermäßig schwer, es durchzuziehen, und es gibt Tools, um einige der Angriffsfunktionen zu automatisieren.

Die Offenlegung sensibler Daten tritt immer dann auf, wenn Informationen, die nur für eine autorisierte Ansicht bestimmt sind, in einem unverschlüsselten, ungeschützten oder schwach geschützten Zustand einer unbefugten Person zugänglich gemacht werden. Meistens handelt es sich dabei um Daten, die Hacker stehlen wollen, wie z. B. Kreditkartennummern, Benutzeridentifikationen, Geschäftsgeheimnisse und persönliche Informationen, die durch Gesetze und Branchenvorschriften geschützt sein könnten.

Hacker können sensible Informationen stehlen, wenn sie unverschlüsselt gespeichert sind oder indem sie indirekt das Verschlüsselungsschema angreifen. Anstatt zu versuchen, starke Verschlüsselung direkt zu entschlüsseln, stehlen sie stattdessen Kryptoschlüssel oder greifen Daten an, wenn sie in einen unverschlüsselten Zustand versetzt werden, z. B. wenn sie für den Transport vorbereitet werden.

In dieser Folge lernen wir:

  • Wie Angreifer die Offenlegung sensibler Daten auslösen können
  • Warum die Offenlegung sensibler Daten so gefährlich ist
  • Techniken, die diese Sicherheitslücke beheben können.

Wie nutzen Angreifer die Offenlegung sensibler Daten aus?

Die Offenlegung sensibler Daten geschieht normalerweise, wenn Websites keine starke Ende-zu-Ende-Verschlüsselung zum Schutz der Daten verwenden oder wenn es ausnutzbare Schwachstellen im Schutzschema gibt. Es kann auch passieren, wenn die verwendete Verschlüsselung besonders schwach oder veraltet ist.

Hacker werden oft versuchen, Wege zu finden, um die Verschlüsselung zu umgehen, wenn sie nicht überall eingesetzt wird. Wenn beispielsweise eine Benutzeridentitätsdatenbank Informationen in einem verschlüsselten Zustand speichert, diese aber automatisch entschlüsselt, wenn sie abgerufen werden, könnte ein Hacker einen der bereits in diesen Blogs behandelten Angriffe wie SQL- oder XML-Injection nutzen, um die Datenbank anzuweisen, den Entschlüsselungsprozess durchzuführen. Dann wären die Daten für den Hacker entschlüsselt, ohne dass er zusätzlichen Aufwand betreiben müsste. Warum sollte man versuchen, eine Stahltür aufzubrechen, wenn man einfach den Schlüssel stehlen kann?

Schwache Verschlüsselung ist ebenfalls ein Problem. Wenn zum Beispiel Kreditkarten mit einem veralteten Verschlüsselungsschema gespeichert werden, könnte es ein Problem sein, wenn ein Hacker in der Lage ist, etwas wie eine lokale Dateieinschlussschwachstelle zu nutzen, um die gesamte Datenbank auf seinen Computer zu ziehen. Wenn die erfassten Daten mit einer starken Verschlüsselung wie AES-256 Bit geschützt wurden, wäre es viel schwieriger, sie zu knacken, wenn sie in den Besitz eines Hackers gelangen. Wenn jedoch eine schwächere oder veraltete Verschlüsselung verwendet wird, wie z. B. der ältere DES-Standard, dann kann ein Hacker mit spezieller Ausrüstung, wie z. B. einem Rack mit Grafikverarbeitungseinheiten (GPUs), diese einsetzen, um die Verschlüsselung in relativ kurzer Zeit zu knacken.

Warum ist die Offenlegung sensibler Daten gefährlich?

Die Offenlegung sensibler Daten ist gefährlich, weil dadurch unbefugte Benutzer geschützte Informationen sehen können. Wenn die Daten nicht wichtig wären, würden sie nicht geschützt werden, so dass jede Verletzung dieses Schutzes zu Problemen führen wird. Das ist keine Situation, mit der sich ein Unternehmen konfrontiert sehen möchte.

Wie viel Ärger eine Enthüllung sensibler Daten verursachen kann, hängt von der Art der Daten ab, die enthüllt werden. Wenn Benutzer- oder Kennwortdaten gestohlen werden, könnten diese für weitere Angriffe auf das System verwendet werden. Die Offenlegung persönlicher Daten könnte Benutzer sekundären Angriffen wie Identitätsdiebstahl oder Phishing aussetzen. Unternehmen könnten sich sogar durch hohe Geldstrafen und behördliche Maßnahmen gefährdet sehen, wenn die offengelegten Daten durch Gesetze wie den Health Insurance Portability and Accountability Act (HIPAA) in den USA oder die General Data Protection Regulation (GDPR) in Europa gesetzlich geschützt sind.

Eliminierung der Gefährdung sensibler Daten

Die Verhinderung der Offenlegung sensibler Daten beginnt mit der Sicherstellung einer starken, aktuellen und durchgängigen Verschlüsselung sensibler Daten in einem Unternehmen. Dies umfasst sowohl Daten im Ruhezustand als auch während der Übertragung. Es reicht nicht aus, sensible Daten zu verschlüsseln, während sie im Speicher liegen. Wenn sie vor der Verwendung oder vor dem Transport unverschlüsselt sind, können sie durch einen sekundären Angriff, der einen Server dazu bringt, sie zu entschlüsseln, offengelegt werden.

Daten im Transit sollten immer mit Transport Layer Security (TLS) geschützt werden, um eine Aufdeckung durch Man-in-the-Middle- oder andere Angriffe auf bewegte Daten zu verhindern. Und sensible Daten sollten niemals irgendwo im Netzwerk zwischengespeichert werden. Sensible Daten sollten entweder mit starker Verschlüsselung im Speicher liegen oder mit TLS-Schutz gesendet werden, damit Angreifer keine Schwachstellen ausnutzen können.

Machen Sie schließlich eine Bestandsaufnahme der Arten von sensiblen Daten, die von Ihrer Organisation geschützt werden. Wenn es für Ihre Organisation keinen Grund gibt, solche Daten zu speichern, dann entsorgen Sie sie. Warum sollten Sie sich potentiellem Ärger aussetzen, ohne einen möglichen Nutzen zu haben? Daten, die nicht von einer Organisation verwaltet werden, können auch nicht von ihr gestohlen werden.

Weitere Informationen zum Umgang mit sensiblen Daten

Als weitere Lektüre können Sie einen Blick darauf werfen, was OWASP über die Exposition sensibler Daten sagt. Sie können Ihr neu erworbenes Verteidigungswissen auch mit der kostenlosen Demo der Secure Code Warrior Plattform testen, die Cybersecurity-Teams zu den ultimativen Cyber-Kriegern ausbildet. Um mehr über die Beseitigung dieser Schwachstelle und eine Schurkengalerie anderer Bedrohungen zu erfahren, besuchen Sie den BlogSecure Code Warrior .

Inhaltsübersicht

PDF herunterladen
Ressource anzeigen
Interessiert an mehr?

Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchenHerunterladen
Weitergeben:
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge