Foto: Symantec
Die mittelständischen Unternehmen in Deutschland investieren einer Studie von Symantec zufolge rund 10.500 Euro in Lösungen, mit denen sich interne Daten schützen, sichern und wiederherstellen lassen. Was bei diesen Investitionen häufig übersehen wird: Firewalls, Intrusion-Protection-Systeme oder das Backup von Daten helfen zwar gegen Angriffe von außen oder gegen technische Defekte, etwa den Crash von Servern und Speichersystemen.
Ebenso wichtig sind jedoch Vorkehrungen, die den Verlust von Daten durch eigene Mitarbeiter oder durch Beschäftigte von Partnerfirmen verhindern (Data Loss Prevention = DLP). Der Erhebung zufolge räumten 63 Prozent der mittelständischen Unternehmen in Deutschland ein, bereits einmal unternehmenskritische Informationen verloren zu haben. In 36 Prozent der Fälle waren es die eigenen Mitarbeiter unternehmenskritische Informationen geklaut haben. 16 Prozent der Ereignisse gehen auf zielgerichtete Aktionen illoyaler Beschäftigte zurück.
Besserung ist nicht in Sicht. Der anhaltende Trend zur Mobilität bietet Mitarbeitern und externen Dienstleistern den Zugriff auf sensible Systeme von fast jedem Ort der Welt aus. "Auch die Tendenz, Services in die Cloud auszulagern und damit interne Abläufe an externe Dienstleister zu übergeben, verstärkt die Gefahr des Datenmissbrauchs", warnt Márton Illés, Product Architect der ungarischen IT-Sicherheitsfirma Balabit.
Wer kontrolliert den Systemverwalter?
Ein Mitarbeiter, der in vielen Fällen schlichtweg übersehen wird, wenn es um Data Loss Prevention geht, ist der Systemadministrator. Das ist verwunderlich, nimmt er doch vor allem in mittelständischen Firmen, die sich keine große IT-Abteilung leisten können, eine Schlüsselposition ein: Er managt die Passwörter, verwaltet Server und Clients, konfiguriert Netzwerkgeräte und ist für die IT-Sicherheit zuständig. Kein Wunder, dass diese Super-User besonders häufig ins Visier von Cyberkriminellen geraten. Sie bestechen und erpressen Systemverwalter, um an Firmendaten zu gelangen.
Eine probates Gegenmittel sind Monitoring-Tools. Bekannte Hersteller sind Balabit, Cyber-Ark, e-DMZ Security und die französische Firma Wallix. Solche Systeme protokollieren, wer wann auf welche IT-Systeme und Datenbestände zugegriffen hat und welche Konfigurationseinstellungen er geändert hat. Zudem archivieren die Lösungen diese Informationen revisionssicher in so genannten Audit Trails.
Neben der lückenlosen Aufzeichnung administrativer Zugriffe bieten die Lösungen auch die Option, nur authentifizierten Personen den Zugang zu kritischen IT-Ressourcen einzuräumen. Zudem wird festgelegt, welche Dateien Administratoren zwischen dem Client- und einem Zielsystem übertragen können. Das erschwert den Datendiebstahl.
Hersteller |
Produkt |
Funktionen |
Betriebsystem - |
Balabit
|
Balabit Shell Control Box (SBC) |
- Lösung für Kontrolle aller Aktivitäten von Systemverwaltern, auch von externen IT-Dienstleistern - Support für Vielzahl von Protokollen, inklusive SSH, inklusive X11-Forwarding, RDP5, RDP6, VNC, Telnet, TN3270 - Unterstützt Vier-Augen-Prinzip - Arbeitet als Hardware-Appliance unabhängig von Servern und Client-Rechnern im Netz Protokollierung ("Mitschneiden") aller Admin-Sessions - Automatisches Backup der erfassten Daten - Aufgezeichnete Sessions werden in Audit-Trails gespeichert, die sich gezielt nach Ereignissen durchsuchen lassen |
Hardware-Appliance auf Basis von Sun-Microsystems-Server |
Newton (USA, Massachusetts) |
Privileged Session Manager und Privileged Identity ManagementSuite |
- Lösung für Verwalter alter Arten von privilegierten Benutzer-Accounts: Anwendungen, Systemen im Firmennetz - Kontrolle von Super-Usern, etwa Systemverwaltern von Windows- und Linux-Servern und Netzwerkgeräten - Aufzeichnung von Sessions von privilegierten Usern möglich - Ablage von Sitzungsdaten in manipulationssicherem Speicher - SIEM-Integration - Support für Vielzahl von |
Server: Windows 2003 und 2008 Server |
Morrisville (USA, North Carolina) |
Total Privileged Access Management Suite |
- Modulares Paket mit Lösungen für Passwort-, Session- und Command-Management - Für Überwachung der Aktivitäten von internen und externen Administratoren - Aufzeichnung und Archivierung aller Sessions - Proxy-Funktion zur Abschottung von IT-Systemen gegen direkte Zugriffe - Support von SSH, RDP, Web-Anwendungen, Windows, Linux/Unix, AS/400 |
Hardware-Appliance |
Stuttgart (Deutschland) |
TBS Backplane Service |
- Speziell auf die Überwachung der Aktivitäten von IT-Service- - Videoüberwachung möglich - Erstellen und Verwalten von Access Profilen - Ergänzung zu Oracle/Suns "Sun Secure Global Desktop" - Unterstützt Vier-Augen-Prinzip - Reporting für einzelne Sessions und rollenbasiertes Monitoring möglich - Rollenbasiertes Task-Ticket-System mit Zeitbudget |
Server: Linux (Red Hat 5, Suse EnterpriseLinux 11, Solaris 10) |
Paris (Frankreich) |
Wallix Admin Bastion (WAB) |
- Hardware-Appliance speziell für Überwachung von Remote-Management von IT-Systemen - Unterstützte Protokolle: Telnet, RDP, SSH, rlogin, SFTP - Rechte-basierte Zugriffskontrolle - Überwachung und Reporting aller Verbindungen und Sessions - Analyse verdächtiger Shell-Commands - Auswertungen und Statistiken, auch in grafischer Form |
Hardware-Appliance |
Endpoints und E-Mails absichern
Foto: Pixelio, Antje Delater
Doch auch dem normalen IT-User im Unternehmen stehen etliche Möglichkeiten offen, um interne Informationen abzuschöpfen. Dazu bedarf es keiner ausgefeilten IT-Kenntnisse. Ein USB-Stick oder eine externe Festplatte genügen. Laut der Studie von Corporate stellen hierzulande fast zwei Drittel der mittelständischen Firmen ihren Mitarbeitern Rechner mit unkontrollierten USB-Ports und DVD-Laufwerken. Auch via Internet und E-Mail können Daten nach außen gelangen. Die Nutzung der Online-Dienste ist nur selten eingeschränkt.
Eine relativ einfache Möglichkeit, um solche Aktionen zu unterbinden, besteht darin, den Zugriff auf Daten einzuschränken: Dem Mitarbeiter werden via System- und Anwendungs-Management nur Rechte an denjenigen Applikationen und Informationsbeständen eingeräumt, die er für seine Tätigkeit benötigt. Ein Vertriebsmitarbeiter etwa braucht keinen Zugang zu den Finanzdaten des Unternehmens. Ergänzend dazu empfiehlt sich der Einsatz von Data-Loss-Prevention-Systemen. Sie kontrollieren bei Bedarf den E-Mail-Text sowie Dateianhänge anhand eines Security-Regelwerks und von Schlüsselbegriffen.
Hilfreich können auch DLP-Lösungen aus Hard- und -Software sein, die Ports von Client-Systemen freischalten und sperren. Ein Beispiel ist das Tool "Device Monitoring" der russischen Firma Infowatch. Sie erfasst, welche Mitarbeiter welche Daten wo speichern: auf einem Stick, einer externen Festplatte oder über ein Wireless LAN auf einem privaten Notebook. Der Systemverwalter kann mit Hilfe von Regeln steuern, welche dieser Aktionen erlaubt und welche untersagt ist.
Loyalität schützt am besten
Ein umfassendes IT-Security-Konzept schützt geschäftskritischen Daten nicht nur vor externen Angriffen, sondern auch vor unerlaubten Zugriff durch eigenen Mitarbeiter, Geschäftspartner und Dienstleister. Data-Loss-Prevention- und Monitoring-Tools sind geeignete technische Hilfsmittel. Noch wichtige ist es jedoch, die Loyalität der Mitarbeiter zu wahren oder zu gewinnen. (jha)
Bernd Reder ist freier IT- und Netzwerkfach-Journalist in München
Datenpannen in Deutschland
• Dem Finanzdienstleister AWD wurden Anfang 2010 rund 12.000 Datensätze von Kunden und Mitarbeitern gestohlen. Diese wurden Interessenten zum Kauf angeboten. Die Daten enthielten unter anderem Informationen wie Name, Beruf, Kontaktdaten der Kunden sowie Details zu den Verträgen, die diese mit AWD abgeschlossen hatten.
• Im August waren 150.000 Datensätze von Online-Kunden der Drogeriekette Schlecker mit Vor- und Nachnamen, Adresse, Geschlecht, E-Mail-Adresse und Kunden-Profil über das Internet zugänglich. Gleiches galt für mehr als sieben Millionen E-Mail-Adressen von Newsletter-Empfängern. Das Unternehmen räumte ein, der Zugriff auf diese Informationen sei durch einen internen Angriff ermöglicht worden.
• Im Juni versandte der Fußballverein Werder Bremen an seine Mitglieder einen E-Mail-Newsletter. Darin enthalten war ein Link zur Datenbank mit den persönlichen Informationen von rund 35.000 Mitgliedern des Vereins. Rund zwei Stunden lang waren Daten wie Name, Adresse, Geburtsdatum und Kontonummer der Betreffenden für alle Empfänger des Newsletters verfügbar.
• Nach einem Bericht des Norddeutschen Rundfunks ermöglichte die Hamburger Sparkasse externen Finanzberatern den Zugang zu Kontodaten von Kunden - ohne dass diese, wie vom Gesetzgeber gefordert, dazu ihre Einwilligung gegeben hatten. Die Bank beschwichtigte, die Berater hätten ohne Wissen und Billigung des Geldinstituts die Informationen abgefragt. Den mangelnden Schutz von Kundendaten kommentierte die Bank nicht.