Es ist ein Horrorszenario, das kein Entscheider erleben möchte: Der Diebstahl von vertraulichen Daten. Allerdings nicht durch Hacker, sondern die eigenen Mitarbeiter.
Die Verhaftung des ehemaligen Booz Allen Hamilton-Mitarbeiters Harold Martin - mutmaßlich im Zuge der NSA-Hack-Affäre - ist nur das aktuellste Beispiel für einen Inside Job, das zeigt, wie real die Bedrohung durch Täter innnerhalb von Unternehmen und Institutionen tatsächlich ist. Security-Experten sind sich deshalb einig: Unternehmen müssen sich vor möglichen internen Bedrohungen besser schützen.
Datenklau durch Mitarbeiter: Status Quo
Natürlich kommt es nicht jeden Tag vor, dass diebische Mitarbeiter ihre sensible, digitale Beute auf dem Schwarzmarkt verhökern - aber es passiert. Und die Vorfälle häufen sich, davon ist Andrei Barysevich vom Security-Dienstleister Flashpoint überzeugt. Das Unternehmen hat sich auf die Durchsuchung von Marktplätzen und Plattformen im Darknet spezialisiert und hält dort ganz gezielt nach sensiblen Unternehmensdaten Ausschau. In einem solchen Fall konnte Flashpoint den Mitarbeiter eines großen IT-Unternehmens identifizieren, der versucht hatte, wertvollen Source Code zu Geld zu machen. Genauer gesagt, wollte er den Programmcode für 15.000 Dollar veräußern.
Viele Unternehmen unterschätzen die Bedrohung, die von Innentätern ausgeht. Foto: ra2studio - shutterstock.com
In anderen Fällen konnte Flashpoint weitere Innentäter überführen - unter anderem waren Banken, Healthcare-Unternehmen und Anwaltskanzleien betroffen, unter den gestohlenen Datensätzen befanden sich entsprechend Konto- und Patienteninformationen sowie Daten zu künftigen Börsendeals.
In vielen dieser Fälle, so Barysevich, habe der Inside Job nur deshalb stattfinden können, weil sich niemand im Unternehmen dafür zuständig gefühlt habe, den Zugriff der Mitarbeiter auf geschäftskritische Daten zu kontrollieren. Das sei ein riesiges Problem, so der Sicherheitsexperte. Es sei allen Unternehmen daher nur dringend zu raten, den Zugriff von Mitarbeitern auf kritische Daten einzuschränken: Jeder Angestellte sollte nur auf die Daten zugreifen können, die er auch wirklich für seine Arbeit benötigt. Zudem sei es eine gute Idee, eine Unternehmenskultur zu implementieren, in der sich alle Mitarbeiter der Gefahr durch Innentäter bewusst sind.
IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Innentäter & Leaks: Steigendes Risiko durch Cloud & BYOD?
Auch beim Cloud-Security-Provider Bitglass hat man sich mit dem Thema Datenklau durch Mitarbeiter beschäftigt: Eine kürzlich veröffentlichte Studie kommt zu dem Ergebnis, dass ein Drittel der befragten Unternehmen im vergangenen Jahr Opfer eines Inside Jobs wurde, bei dem Daten entwendet wurden. Allerdings stecken dahinter nicht immer böse Absichten: In einigen Fällen war auch die Nachlässigkeit Einzelner der Grund für den Datenabfluss.
"Unabsichtlich herbeigeführte Datenlecks sind ebenfalls ein großes Problem", so Salim Hafid von Bitglass. Cloud-basierte Applikationen und BYOD-Policies hätten über die vergangenen Jahre das Risiko von versehentlichen "Leaks" drastisch erhöht. Das Resultat sei, dass mehr und mehr Unternehmensdaten ihren Weg aus dem Firmennetzwerk auf private Smartphones und in Filesharing-Netzwerke finden: "Eine Vielzahl von Unternehmen, die Cloud-Applikationen ausgerollt haben, verspüren überhaupt nicht das Bedürfnis, solche Fahrlässigkeiten zu unterbinden und verfügen deswegen über keinerlei Handhabe, die Bedrohungslage in dieser Hinsicht zu entschärfen."
Wenn Cloud Security dem CISO den Schlaf raubt
Security-Verantwortlichkeiten Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen.
Unmanaged Traffic Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf.
Managed Traffic Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert.
User-Eigenmacht Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten.
Kein Mut zur Lücke Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt.
Wahl der richtigen Security-Lösung Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?
Inside Jobs: Überwachungs-Tools gegen Datendiebstahl?
Um diesem Trend entgegenzuwirken, bieten etliche Security-Provider inzwischen Produkte und Lösungen an, die den Zugriff auf die sensibelsten Daten eines Unternehmens überwachen. Das in Ungarn beheimatete Security-Unternehmen Balabit hat beispielsweise ein Tool namens Blindspotter entwickelt, das darauf angelegt ist, jedes verdächtige Verhalten von Mitarbeitern im Unternehmensnetzwerk aufzudecken. Dazu kann das Tool nicht nur Maus- und Keyboard-Eingaben überwachen, sondern auch festhalten, wo der Mitarbeiter auf die Daten zugreift und welche Applikationen geöffnet werden, sagt Balabit-CTO Balázs Scheidler. Auf Basis ihrer Beobachtungen errechnet die Software einen Score für verdächtig aussehende Aktivitäten und kann diese im Zweifelsfall auch durch einen Verbindungsabbruch beenden. Ein ziemlich weitgehender Ansatz also, den man bei Balabit verfolgt, wie auch CTO Scheidler klarmacht: "Wir bekommen ziemlich intime Einblicke, was die Mitarbeiter tun. Konventionelle Tools sind dazu nicht in der Lage."
Dass eine derartige Echtzeit-Überwachung von Mitarbeitern nicht überall auf Gegenliebe stoßen dürfte, ist klar - von den jeweiligen gesetzlichen Grenzen eines solchen Vorgehens einmal ganz abgesehen: "Für Unternehmen ist Transparenz und offene Kommunikation gegenüber den Mitarbeitern, die auf eine solche Weise überwacht werden, von essentieller Bedeutung", so Scheidler. Die Überwachung müsse auch nicht alle Mitarbeiter umfassen, sondern könne ausschließlich auf Bereiche mit High-Level-Access - also beispielsweise Administratoren - angewandt werden, die potenziell attraktive Ziele für Hacker, Cyberkriminelle oder Innentäter darstellen.
Überwachung am Arbeitsplatz
Überwachung am Arbeitsplatz Die Möglichkeiten der Mitarbeiterüberwachung in den Unternehmen nehmen zu – und viele Chefs, aber auch externe Kriminelle nehmen sie gerne in Anspruch. Vorsicht vor diesen fiesen Tricks!
Keylogging Vorsicht vor Keyloggern, also der Erfassung und dem Tracking von Tastatur- und Mauseingaben.<br /><br /> Aktuelle Keylogger, die häufig in Unternehmen zum Einsatz kommen, sind "Predator Pain" und "HawkEye" - neben dem Keylogging bieten diese Programme zusätzliche Funktionen wie dem Erkennen von Login-Vorgängen im Browser und im E-Mail-Client. HawkEye wird kommerziell offen vermarktet, Predator Pain ist nur in Untergrundforen zu bekommen. Besonders in Industrienationen wie den USA, Australien, Kanada, Japan, Spanien oder Italien wurden in den vergangenen Monaten verstärkte Keylogger-Aktivitäten festgestellt. Gerade in High-Tech-Branchen, wo es vielfach um Wissensdiebstahl geht.
Heimliche Screenshots Sind entsprechende Programme installiert, werden in regelmäßigen Abständen Fotos vom aktuellen Bildschirm, unter anderem auch laufenden Videos, ohne Wissen des Anwenders angefertigt und versendet.
Videoüberwachung Ob Webcam, eingebaute Mikrofone oder die klassische Überwachungskamera (die natürlich in Miniaturausführung vorliegt und versteckt wurde): Wenn es um die Liveübertragung der Büroaktivitäten geht, ist der Kreatitivät keine Grenzen gesetzt.
Sniffing Wird die gesamte Netzwerkkommunikation mitgeschnitten und überwacht, ist das erst einmal aus IT-Security-Gesichtspunkten heraus durchaus sinnvoll. Sobald aber einzelne Clients und Benutzer auf diese Weise ausgespäht werden, gelangen wir schnell in die verbotene Zone.
Überwachungsmalware Alle vorgestellten Spähmethoden und weitere "individuell angepasste" gelangen häufig auch über Schädlinge in Unternehmensnetze und bis auf den Bürorechner. Dann weiß außer eines wildfremden Kriminellen weder Ihr Chef noch Sie selbst, dass Sie überwacht werden. Also immer aufpassen!
"Eines der derzeit komplexesten Security-Probleme"
Unternehmen, die Grund zur Annahme haben, dass ein Innentäter am Werk ist, beziehungsweise war, sollten in jedem Fall auf die Unterstützung von Security-Profis zurückgreifen, empfiehlt Eric O’Neill, Security-Stratege bei Carbon Black: "Das sollten Sie nicht alleine in Angriff nehmen, denn das wäre einer Aufklärung nicht dienlich. Solche Vorfälle können sich als heikel erweisen."
Insbesondere dann, wenn es sich bei dem Innentäter um einen solchen handelt, der in böswilliger Absicht handelt und versucht, seine Spuren zu verwischen. Denn um überhaupt abschätzen zu können, welche Daten gestohlen wurden, sei es unerlässlich, so der Experte, die Beweise für einen Inside Job zu finden und sicherzustellen. Übertreiben sollten es Unternehmen mit ihrem Eifer dabei allerdings nicht, so O‘Neill: "Bestimmte Prozeduren könnten dafür sorgen, dass die Mitarbeiter sich wie in einem Polizeistaat vorkommen. Auf der anderen Seite besteht bei vielen Unternehmen und auch Regierungs-Institutionen immer noch ein blinder Fleck, wenn es um die Bedrohung durch Innentäter geht. Das ist eines der derzeit komplexesten Security-Probleme überhaupt."
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten