Datenlecks sind längst auf der täglichen Agenda der Nachrichtensendungen angekommen. Sie werden unter mehr oder weniger liebevoll ausgewählten Bezeichnungen bekannt: Swiss Leaks, Lux Leaks, Offshore Leaks oder Panama Leaks. Diejenigen, die die Daten stehlen, haben es oft auf die Konteninhaber der Finanzinstitute abgesehen.
Foto: Elenarts - shutterstock.com
Auch ein Nationalheiligtum, das Schweizer Bankgeheimnis, ist unter dem Druck der USA und von EU-Ländern weitgehend in sich zusammengefallen. Das Wissen über die anrüchigen Methoden der Schweizer Banken und die Namen von ausländischen Steuersündern speiste sich geradewegs aus solchen Lecks. Die Motivation derjenigen, die Informationen von Schweizer Banken absaugten, ist dabei gänzlich verschieden. Bradley Birkenfeld ist US-Amerikaner und war 2007 bei der UBS Bank in Genf angestellt. Er wollte mit seinem Whistleblowing an die amerikanische Steuerbehörde (IRS) nicht zuletzt seiner eigenen Strafverfolgung entgehen.
Der Informatiker Hervé Falciani, damals angestellt in der Genfer Bank HSBC, gab 2009 Gewissensgründe für die Weiterlieferung von Kontoinhabern an Frankreich an. Dieses Swiss Leak und die daraus resultierende Lagarde-Liste haben es zu Prominenz gebracht.
Bei der Privatbank Julius Bär wurden Interna verraten, aus Wut eines Angestellten über Fragen des Arbeitsvertrags. In vielen Fällen, war aber auch Geld das Motiv. Deutsche Landesfinanzämter zahlten Millionenbeträge für den Erwerb der Namen von möglichen Steuersündern. Zum Teil sind vorher Erpressungsversuche gegenüber den bestohlenen Banken gescheitert. Gemeinsam ist allen genannten Fällen, dass der Angreifer von Innen kam. Bei der Anbahnung solcher Datenkäufe ist selbst der Bundesnachrichtendienst (BND) aktiv geworden. Die teilweise kinoreifen Ereignisse zu denen es dabei kam, wurden nie öffentlich diskutiert.
So kann Data Loss Prevention helfen
Der Ausgangspunkt für Datensicherheit ist immer eine Risikobewertung. Welche Datensammlungen sind für das Unternehmen am kritischsten? Namen, Adressen, Kontonummern und Kontoumsätze gehören bei Banken sicherlich dazu. Im Allgemeinen handelt es sich hierbei um strukturierte Daten. Dies trifft aber auch nicht immer zu, so werden beim Lux Leak die illegalen Kopien von digital archivierten Schriftstücken vermutet. Das Verstecken von Daten in zunächst weniger auffälligen Datenformaten wie Bilddateien ist eine Methode der Verschleierung (Steganographie). Bradley Birkenfeld kannte durch seine beruflichen Tätigkeiten einige der größten Steuersünder persönlich. Schon hieraus wird deutlich, dass kaum ein einzelnes, insulares Data Loss Prevention (DLP)-Werkzeug alle Unsicherheiten beseitigen kann.
Ein programmatisches Vorgehen sieht anfangs vielmehr die Klassifizierung von Daten und Applikationen, die Inventarisierung von Datensammlungen und die Kennzeichnung der entsprechenden Datensätze vor. Für kritische Datensammlungen wird ein Beauftragter ernannt, der den Schutz der Daten vorantreibt. Ebenso am Anfang stehen die normalen Maßnahmen der Datenhygiene, wie sie aus verschiedenen gesetzlichen Vorschriften und Standards bekannt sind. Beispiele sind der Zugang zu Daten nach dem Need-to-Know-Prinzip oder der Schutz gegen Angriffe von außen, zum Beispiel in Form von Firewalls. Darüber hinaus ist das Bewusstsein unter den Mitarbeitern für Datensicherheit - insbesondere in Bezug auf Social-Engineering-Attacken - zu nennen. Mit den genannten Maßnahmen wären die genannten Angriffe von Insidern allerdings kaum verhindert worden.
Datendiebstahl von Innen & Gegenmaßnahmen
Gegenüber Angriffen von Innen können technische Maßnahmen ein geeignetes Hilfsmittel darstellen. Einige davon setzen beim Endgerät an. Bei der Hardware gehen die Maßnahmen in Richtung der Anschlüsse von externen Medienträgern. So sind bei einer vorbelasteten Schweizer Großbank an Rechnern, die kritische Informationen beherbergen, keine USB-Slots vorhanden. Mit der Steuerung und dem Logging der Datenübertragung auf bewegliche Medien oder Drucker kann der Abfluss nicht verhindert werden. Es kann so aber ein detektiver Schutzmechanismus etabliert werden. Bei Applikationen bieten sich Einschränkungen der Export-, Save-, und Reporting-Funktionalitäten an. Der gesamte Umgang mit Wechseldatenträgern und mobilen Geräten muss im Unternehmen aufbereitet und etabliert werden.
Ein Schritt in Richtung erhöhter Aufmerksamkeit kann mit Anwendungen erreicht werden, die das Nutzerverhalten erfassen und letztendlich Normales und Verdächtiges zu unterscheiden lernen. Untersucht werden dabei die Muster, mit denen Tastatur und Computermaus benutzt werden, welche Daten abgefragt werden und wie E-Mails versandt werden. Arbeitsrechtliche Bedenken sind dabei, je nach Rechtsprechung, augenfällig.
Software-Produkte die auf das Erkennen und Stopfen von Datenlöchern ausgerichtet sind, fallen dabei in eine von drei Gruppen:
In der ersten Gruppe wird der Kontext von Datenflüssen untersucht, also die Verbindung selbst, deren Quelle, Ziel, Datentyp und Zeitstempel. Solche Lösungen können in Zusammenarbeit mit Firewalls oder IDS/IPS-Systemen den Datenverkehr notfalls blockieren oder eine Alarmierung vornehmen.
Bei Content-basierten Lösungen wird der Informationsgehalt von übermittelten Daten untersucht. Suchbegriffe können dann Kontonummern oder Postleitzahlen sein und Schwellenwerte für deren Häufigkeit in einem Datensatz festgelegt werden. Der Abgleich zwischen als kritisch festgelegten Inhalten und den untersuchten Daten erfolgt dabei vielfach über Hash-Werte. Dieser Ansatz hat sich bei strukturierten Daten als wirksam erwiesen. Weniger wirksam jedoch ist dieser Ansatz bei der Nutzung von Steganography oder ähnlicher Verschleierung von Daten.
Beim Content-Tagging, der dritten Technik, werden Datensammlungen nur in entsprechende geschützten Bereichen bereitgestellt und bearbeitet. Workstations oder Server werden regelmäßig nach kritischen Datensätzen abgesucht und mit der festgelegte Distribution Policy verglichen. Werden getaggte Datensätze außerhalb des geschützten Bereichs entdeckt, kann automatisch eine Quarantäne, Verschlüsselung oder Entfernung der Daten erfolgen.
Fazit: Auf die Organisation kommt es an
Wie am Beginn stehen auch am Ende eines möglichst wirksamen Schutzes vor Datenlecks nicht die Technik, sondern organisatorische Schritte. Bei jeder Entdeckung eines verdächtigen Vorfalls muss eine Benachrichtigung und Bewertung in Gang gesetzt werden. Ein solches Incident Management spiegelt sich auch zunehmend in den gesetzlichen Anforderungen vieler Länder wieder, wobei Datenlecks oftmals meldepflichtig sind. Innerhalb des Unternehmens überträgt sich die Aufarbeitung von Datenlecks in Lessons-Learned-Kanäle und eine gelebte Fehlerkultur.
Nach geschönten Jahresabschlüssen wurde 2002 in den USA das Sarbanes-Oxley (SOX)-Gesetz verabschiedet und in der Folgezeit gerichtlich ausgeweitet. Eine Vorgabe daraus ist der Schutz von Whistleblowern und die Verpflichtung für diese, die entsprechenden Eskalationskanäle (zum Beispiel Whistleblower-Hotline) zu etablieren. Beim Funktionieren dieser Hilfsangebote wären möglicherweise die Handlungen von Bradley Birkenfeld und dem Angestellten der Bank Julius Bär unterblieben.
Auch die Personal- und Lieferantenauswahl sollten in die Überlegungen eingebunden werden. Bezeichnend sind die Szenen aus der ARD-Dokumentation „Der große Steuerbetrug – Die Erlebnisse eines Whistleblowers" von 2015. Fast verstörend jovial berichtet der Protagonist von der Illoyalität gegenüber seinem Auftraggeber.
Der Brexit kann, wie teilweise bereits angekündigt, mit der Errichtung von Steueroasen gegenfinanziert werden. Dann ist eine ähnliche Motivation von Angriffen auf steuerrelevante Daten aus dem politischen und prominenten Umfeld wahrscheinlich.