Wann sind Daten „sauber“ = gefahrlos nutzbar?
Daten unterschiedlicher Vertrauenswürdigkeit laufen täglich in großen Mengen über verschiedene Kanäle in jede Organisation. Downloads der Anwender aus dem Internet, E-Mail-Anhänge zum Beispiel in der Personalabteilung von Unbekannten Bewerbern, Schadensberichte mit Fotos oder Videos – über anonyme Whistleblowerkanäle, eigene Fachverfahren, Upload Portale, Unterlagen von Partnern oder Kunden, mobile Datenträger et cetera – auch wenn man die Inhalte gerne ansehen möchte oder sogar verpflichtet ist, sie zu verarbeiten, können Angriffsvektoren in den Daten versteckt sein. Nahezu alle Datenformate können ausgefeilte Angriffe enthalten – auch jedes Bild zum Beispiel als Logo eingebettet in Office-Dokumente übermittelt in einem verschlüsselten Archiv! Keine Daten annehmen, ist keine Option. Es gilt alle zulaufenden Daten geeignet, also „sauber“, in die Nutzung zu bringen!
Eine vollständige Datenwäsche benötigt alle Nutzdaten im Klartext. Bestimmte Datentypen können kundenseitig verboten sein – zum Beispiel nicht signierte Executables oder Makros – und werden deshalb abgewiesen. Um die verbleibenden Daten in den Klartext zu überführen, sind Vorabanalysen notwendig, sodass sie dem jeweils richtigen Waschprogramm zugeführt werden können. Verschlüsselte Daten werden erkannt und entweder abgelehnt oder in einem separierten Kontext dem Anwender zur Entschlüsselung vorgelegt, um sie danach wieder in die Vorwäsche unter erweiterten Vertraulichkeitsauflagen einzuspeisen. Archive oder mit eingebauten Mitteln verschlüsselte Objekte werden natürlich auch in den Klartext überführt, entpackt und entschlüsselt. Alle Details der Vorwäsche und weiteren Waschvorgänge werden in den Metadaten des Objektes in den weiteren Prozess eingespeist.
Was leisten Antiviren-Systeme bei der Datenwäsche
Antiviren-Systeme sind geeignet, schon bekannte Angriffsvektoren in Dokumenten zu identifizieren. Die infizierten Dateien werden aber nicht verändert, also gereinigt in die Nutzung gegeben, sondern abgewiesen. Auch werden keine neuen, noch unbekannte Angriffsmuster erkannt. Sogenannte Zero Day Exploits sehen aber wie jeder andere ausführbare Code aus. Wird also jeglicher Code herausgewaschen, so ist sicher auch kein Zero Day Angriff mehr enthalten.
Da sich fast alle Antivirensoftware Hersteller gegenseitig Zugang zu ihren erkannten Virenpattern gewähren, kann man nach der Anwendung von meist drei ausgewählten Antiviren-Systemen keine Steigerung in der Erkennung erwarten. Eine signifikante Steigerung der Erkennung bringt es aber, die Datenobjekte vollständig rekursiv in ihre einzelnen Bestandteile zu zerlegen. Jedes einzelne Element wird separiert und wieder der Vorwäsche zugeführt. So werden auch verschlüsselte Elemente
in eingebetteten Objekten erkannt und deren Verwendung wieder in der Vorwäsche entschieden. Für die Gesamtsicherheit der Datenwäsche ist also nicht die Anzahl der eingesetzten Antiviren-Programme entscheidend, sondern die Arbeitsvorbereitung und wie infizierte Objekte weiterverarbeitet werden, sodass sie jeder nutzen kann.
Welches Waschmittel für welches Objekt
Digitale Wäsche besteht aus Zerlegen, Inspizieren, Durchleuchten, Entfernen von Unerwünschtem und dann wieder nutzbar Zusammensetzen. Ein Teil dieser Verfahren wurde bekannt unter dem Begriff Content Disarm and Recover (CDR). Sinnbehaftete Datenwäsche enthält aber noch mehr Funktionalität. Natürlich können alle Office-Dokumente in „pdf/A Typ 1b“-Dokumente konvertiert werden. Videos, Tonaufzeichnungen, CAD und viele andere Datentypen passen gar nicht in dieses Format. Sinnvoll sind hybride Verfahren, die es zum einen erlauben, entlang der Herkunft und weiterer Metadaten der Objekte die richtige Behandlung – also das Waschmittel – zu bestimmen und gleichzeitig die Fähigkeit besitzen, eine Standardisierung durchzusetzen und beliebige Sonderformate wie zum Beispiel medizinische Bildinformation kontextabhängig zu behandeln. So ist in vielen Unternehmen die Nutzung von Video und Voice auf mp4 beziehungsweise mp3 Formate standardisiert.
Zero Trust ruft nach Datenwäsche!
Daten von unbekannten, weniger vertrauenswürdigen oder unsichereren Quellen vertraut man in einer sicheren Arbeitsumgebung nicht. Im Zuge eines Zero-Trust-Ansatzes schützt man sich vor unsicheren E-Mail-Anhängen, Downloads, Daten von mobilen Datenträgern, dem verpflichtenden anonymen Informationskanal für Whistleblower et cetera. Bei Ende zu Ende verschlüsselter Kommunikation braucht man eine Vorwäsche.
Workflow und automatisierte Auslieferung
Das Sammeln der Metadaten über den gesamten Waschprozess wurde bereits angesprochen. Durch das Einhängen von Plug-in-Produkten wie zum Beispiel KI-Verfahren zur Bild- und Deepfake-Erkennung sowie Sprach- und Videoanalyse werden die Metadaten weiter angereichert. Mit diesen Metadaten wird der gesamte Workflow in der Datenwaschmaschine und die Auslieferung der gewaschenen Daten sowie die verschlüsselte Archivierung der identifizierten Schlechtdaten algorithmisch organisiert. Die Zugriffsrechte auf die gewaschenen Daten, die benötigte Verschlüsselung, die Zustellungsart und die Prioritäten sind durch die Metadaten algorithmisch definiert.
Netztrennung
Die Quelle nicht vertrauenswürdiger Daten verbindet man bei höheren Schutzzielen nicht mit der sicheren Umgebung über Ethernet. Angriffe, die nicht dateibasiert sind, könnten so das Schleusensystem „tunneln“. Deshalb sollte eine Waschmaschine auch die Möglichkeit der vollständigen Netztrennung haben.
Fazit
CDR-Technologie braucht eine Einbettung in funktionale Mehrwerte, um sinnvoll in die Firmenprozesse zu integrieren. Schleusentechnologie, die mit echter Netztrennung zwischen einer schmutzigen und einer sauberen Seite agiert, ist genauso wichtig wie das automatisierte Herauslösen von Metadaten, über die dann im Workflow die Zustellung und Sicherheitseinstellungen voll automatisiert stattfinden. Noch wichtiger ist aber die Analyse der Daten, um eine rekursive Extraktion aller eingebetteten Inhalte mit einer Erkennung der verschlüsselten Inhalte zu verbinden, die mit einer Sicherheitstechnologie auf den Endpoints und einer zentralen Wäsche kombinierbar ist, sodass Klartext-E-Mail-Anhänge zentral gewaschen werden, aber verschlüsselte Anhänge sicher erkannt, nach der Entschlüsselung und vor der Nutzung gewaschen werden. Mit der Datenwäsche itWash erreichen Sie diese Ziele.
Sie wollen testweise waschen?
In Kürze öffnet unser Waschsalon: Datenwaesche@itWatch.de
Die ersten 100 Registrierten nehmen an der Verlosung verschiedener Präsente teil.