Innentätern auf der Spur
Wer die Verfolgung aufnimmt, begibt sich auf sensibles Terrain.
Die eigenen Mitarbeiter, nicht zuletzt aus der Riege der Topentscheider, stellen für Unternehmen das größte IT-Sicherheitsrisiko dar. Technische Möglichkeiten, um den Bedrohungen von innen entgegenzutreten, gibt es zur Genüge. Dennoch ist die Lösung des Problems alles andere als trivial, gilt es doch die Persönlichkeitsrechte jedes Einzelnen zu wahren und rechtliche Regelungen bezüglich Mitarbeiterüberwachung einzuhalten.
Unternehmensdaten gegen Bedrohungen von innen abzusichern ist ein wichtiger Aspekt der Sicherheitsstrategie. Wie Clearswift, ein Spezialist für Data Loss Prevention (DLP), in seinem Insider Threat Index 2018 feststellt, sind in Europa die Insider-Bedrohungen leicht gesunken. Grund dafür seien die gestiegene Sensibilität für die Bedeutung geschäftskritischer Daten und die verschärften Vorgaben der DatenschutzGrundverordnung (DSGVO). Dennoch macht der Studie zufolge das unachtsame oder böswillige Verhalten von Mitarbeitern 38 Prozent der Vorfälle aus. Werden Zulieferer, Kunden und ehemalige Mitarbeiter in die Statistik einbezogen, liegt der Anteil interner Vorfälle sogar bei 75 Prozent. Clearswift hatte 400 IT-Entscheider aus Unternehmen mit mehr als 1000 Mitarbeitern in Deutschland, Großbritannien und den USA befragt. In Deutschland nehmen fahrlässig oder mutwillig agierende Angreifer aus dem eigenen Unternehmen mit 37 Prozent der Vorfälle den Spitzenplatz ein. Das berichten die Analysten von IDC in ihrem Report „IT-Security in Deutschland 2018“. Das Hauptmotiv für die internen Angriffe liegt meist in der Geldgier: Mit vertraulichen Unternehmensinformationen lässt sich oft viel verdienen.
Innentäter aus Leidenschaft
Es geht bei solchen Angriffen jedoch nicht immer um den schnöden Mammon. Die Ursachen und Motive interner Angriffe sind vielfältig und reichen von fehlender Schulung und Unkenntnis der Arbeitsprozesse bis zur Unzufriedenheit am Arbeitsplatz und Whistleblowing. Emotionen spielen also ebenfalls eine wichtige Rolle.
Die meisten Mitarbeiter, vor allem aber die Entscheider identifizieren sich im Lauf ihres Berufslebens stark mit ihrer Arbeit und betrachten sie oft als ihr persönliches Eigentum. Diese emotionale Bindung lässt sie oft vorsätzlich gegen Unternehmensrichtlinien verstoßen und macht sie so zu Innentätern. Das IT-Sicherheitsunternehmen Code42 berichtet in seinem „2018 Data Exposure Report“, dass fast drei Viertel der in Deutschland, den USA und Großbritannien befragten CEOs und knapp die Hälfte der betrieblichen Entscheider schon einmal geistiges Eigentum von einem früheren Arbeitgeber mitgenommen haben. Das Risiko schwerwiegender Datenlecks vervielfacht sich aber, wenn ausgerechnet diejenigen mit dem weitreichendsten Zugriff auf sensible Informationen gegen Regeln verstoßen. Doch wie lassen sich in einem solchen Umfeld die Gefahren reduzieren?
Abriegeln mit Data Loss Prevention
Der erste Schritt ist die Sensibilisierung und Schulung der Mitarbeiter bezüglich geltender Compliance-Richtlinien. Auch praxisnahe Trainings des korrekten Umgangs mit Unternehmensdaten verringern die Wahrscheinlichkeit von Verstößen – zumindest den versehentlichen. Derlei Maßnahmen helfen jedoch nicht gegen vorsätzlichen Datenklau. Dazu braucht es handfeste Sicherheitstechnologien.
DLP-Lösungen können automatisiert verhindern, dass sensible Daten das Unternehmen verlassen. Dazu werden Regeln definiert, wer auf welche Daten zugreifen und sie bewegen darf. Anhand der Geräte-, Netz- oder Cloud-Aktivitäten erkennen die Systeme, ob die Regeln eingehalten werden. Bei Verstößen wird meist der Zugriff oder Transfer geblockt, bevor die Daten das Unternehmen verlassen können – das sogenannte Stop-and-block.
Die Regeln müssen im Vorfeld von Hand festgelegt werden. Dabei kann es einige Zeit in Anspruch nehmen, die richtige Balance bei den Berechtigungen zu finden. Sind sie zu streng, verhindern False Positives, dass eigentlich berechtigte Personen zugreifen können. Sind sie zu locker, steigt das Risiko für Datenlecks. Zudem können durch eine Blockade Prozesse längerfristig gestoppt werden, was sich negativ auf das Geschäft auswirkt.
Die IT-Sicherheitsanbieter haben sich einiges einfallen lassen, um diese Probleme in ihren DLP-Lösungen in den Griff zu bekommen. Bei Symantec etwa kann der Benutzer bei Auffälligkeiten über ein Popup-Fenster aufgefordert werden, seine Aktion zu rechtfertigen. Der Prozess wird fortgesetzt, wenn die Erklärung plausibel ist. Dabei lassen sich hochsensible Daten gegebenenfalls weiter blocken.
Zudem können mit einer identitätsbasierten Verschlüsselungs- und Digital-Rights-Management-(DRM-)Lösung, die DLP, Verschlüsselung und VIP-Authentifizierung integriert, Dokumente über mehrere Kanäle (Austausch-Server, Sharepoint, USB, Cloud, E-Mail) verschlüsselt werden. So können nur autorisierte Benutzer diese Daten einsehen, während auch andere weiter an der Kommunikation und Zusammenarbeit teilnehmen, ohne aber auf die vertraulichen Ressourcen zugreifen zu können.
Clearswift nutzt sogenanntes Adaptive DLP, um zu strenges Stop-and-block zu verhindern. Hier werden sensible Informationen kontextsensitiv und in Echtzeit entfernt oder verschlüsselt – etwa beim Versand einer E-Mail oder dem Kopieren von Daten auf einen USBStick. Der Vorgang als Ganzes wird jedoch nicht unterbunden, um den laufenden Betrieb nicht einzuschränken.
Abschätzen mit User Based Analytics
Eine weitere Möglichkeit, Datenlecks frühzeitig zu identifizieren und zu stopfen, ist User Based Analytics, kurz UBA. Das Verfahren kann Teil einer umfangreicheren Lösung für das Security Information and Event Management (SIEM) sein, es gibt jedoch auch eigenständige Ansätze.
Hier wird das Verhalten der Mitarbeiter überwacht und mit ihren gängigen Verhaltensmustern, die hinterlegt sind, und mit dem aktuellen Kontext verglichen. Gibt es Abweichungen, die sich nicht erklären lassen, erkennt das System ein hohes Risiko und schlägt bei der IT Alarm. Ein UBA-System stellt Fragen wie: Hat der Mitarbeiter in seiner Funktion einen Grund, auf diese Ressourcen zuzugreifen? Greift er zu dieser Tageszeit normalerweise darauf zu? Ist das bewegte Datenvolumen ungewöhnlich hoch? Das UBA-System von Splunk etwa generiert für jeden Nutzer, jedes Gerät und jede Anwendung eine Datengrundlage, die kontinuierlich und automatisch dazulernt. Auf deren Basis werden dann Abweichungen vom normalen Verhalten identifiziert. Quest Software nutzt eine ähnliche Herangehensweise.
Über den Einsatz von Machine Learning (ML), künstlicher Intelligenz (KI) und Scoring-Algorithmen wird das Verhalten von Usern und Entities analysiert. Diejenigen mit dem höchsten Risiko in einer Umgebung werden identifiziert.
Natürlich sind diese und ähnliche Überwachungsmethoden datenschutzrechtlich heikel. Quest-Manager Bert Skorupski: „Datenschutzrechtlich gibt es einen schmalen Grat zwischen dem Schutz der Unternehmens-IT und dem der Persönlichkeitsrechte von Mitarbeitern.“Es sei erforderlich, das Nutzerverhalten der Mitarbeiter zu dokumentieren, um auffälliges Verhalten zu erkennen. Jedoch gebiete der Datenschutz, dass diese Dokumentation nur einem kleinen Kreis von Experten zugänglich gemacht werden dürfe. Auch dies dürfe nur dann geschehen, wenn Sicherheitsverletzungen forensisch geklärt werden müssten.
Petra Gummermann, Rechtsanwältin bei Cyberlegal, klärt auf: „Vereinfacht ausgedrückt gibt die DSGVO den Rahmen für die Möglichkeiten zur Dokumentation von Mitarbeiterverhalten vor: Rechtsgrundlage, Dauer der Verarbeitung und Ausrichtung am jeweiligen Zweck.“Ein kontinuierliches, pauschales Überwachen aller Mitarbeiter sei praktisch nie gerechtfertigt. Es müsse ein zwingender Sicherheitsaspekt bestehen, der das Monitoring notwendig mache. Auch sei die Überwachung in individuellen Einwilligungs- oder übergreifenden Betriebsvereinbarungen transparent und detailliert festzuhalten.
Laut Gummermann müssen zudem rechtskonforme Speicher-, Dokumentations- und Löschkonzepte für alle erhobenen personenbezogenen Daten implementiert werden. Neben der DSGVO seien auch weitergehende Vorgaben beispielsweise des Betriebsverfassungsgesetzes (BetrVG) und des neuen Bundesdatenschutzgesetzes (BDSG-neu) einzuhalten.
Mitunter finden Angreifer Wege, DLP- und UBA-basierte Sicherheitsmaßnahmen zu umgehen. Für diesen Fall brauchen Unternehmen einen Mechanismus, der sie über die Schwachstelle informiert, so dass Gegenmaßnahmen ergriffen und der Schaden in Grenzen gehalten werden können. Hier kommt das SIEM ins Spiel. Laut Gartner dient es dazu, Daten, die von Sicherheitskomponenten, der Netzinfrastruktur sowie Systemen und Anwendungen generiert werden, zusammenzufassen und an einer zentralen Stelle auszuwerten.
Meist handelt es sich dabei um Log-Dateien und Rohdaten, die aber um andere Datenformen wie Netzwerkpakete, NetFlow oder kontextuelle Informationen über Nutzer, Assets etc. angereichert werden können. Diese Daten werden normalisiert, so dass sich Informationen aus verteilten Quellen zentral in Beziehung setzen und analysieren lassen. So ist es möglich, sicherheitsrelevante Vorfälle, Abfragen und Analysen historischer Auswertungen, ältere Untersuchungsergebnisse und auch das Compliance-Reporting gleichermaßen einzubeziehen.
Bedrohungen sofort erkannt
Damit können Ereignisse nachträglich rekonstruiert, aber auch aktuelle sicherheitsrelevante Bedrohungen in Echtzeit erkannt werden. In der Bereitstellung sind SIEM-Lösungen meist flexibel, es können in der Regel weitere Komponenten für UBA, Risiko-Management oder Netz-Monitoring zugeschaltet werden. IBM etwa bietet seine Lösung „QRadar“sowohl on Premise als auch in der Cloud (SIEM as a Service) sowie als physische oder virtuelle Appliance an. Gleiches gilt für den Sicherheitsspezialisten LogRhythm, der SIEM als Teil seiner „Threat Lifecycle Management Platform“, aber auch als physische oder virtuelle Appliance offeriert. Zudem können die einzelnen Komponenten der Lösung als separate Bausteine genutzt werden, um verschiedene Architekturen zu unterstützen. Sie werden wahlweise on Premise, als Infrastructure as a Service (IaaS) oder im hybriden Betrieb bereitgestellt.
SIEM-Lösungen sind aufwendig zu implementieren. Es müssen viele verschiedene Datenquellen zusammengeführt und Sicherheits-Tools konfiguriert werden. Auch die Administration fällt komplex und ressourcenintensiv aus. Zudem können Public-CloudInitiativen zu Problemen führen, da einige SIEM-Lösungen diesen Teil der Infrastruktur noch nicht einbeziehen können und so der ganzheitliche Charakter der Absicherung verloren geht. Für kleinere Betriebe bietet es sich daher an, auf einen Managed Service ausweichen.
Absuchen mit Forensik
Wer sich gegen Insider-Bedrohungen absichern will, sollte in der Lage sein, Schwachstellen schnell zu finden und zu schließen. Hierzu bieten sich Forensiklösungen an, die Datenbewegungen historisch nachvollziehen können. Man denke beispielsweise an den Skandal der Abgasmanipulation von Autoherstellern oder an die Ermittlungen gegen den SPD-Politiker Sebastian Edathy, dem 2014 der Besitz kinder- pornografischen Bildmaterials vorgeworfen wurde. Mit einer Forensiklösung könnte man genau nachvollziehen, wer wann wo welche Version welcher Dateien in Besitz hatte.
Forensikanwendungen werden meist als Erweiterung anderer Sicherheitslösungen angeboten. Sie ermöglichen das rasche Durchsuchen von Datenquellen nach bestimmten Dateien. Ein Beispiel ist „Code42 Forensic File Search“, das mit der Endpoint-Daten-Backupund Recovery-Lösung desselben Anbieters gekoppelt ist. Während des Backup-Vorgangs (in der Regel alle 15 Minuten) der Daten aller Endgeräte legt die Cloud-Anwendung einen parallelen Index an. Darin sind die Metadaten einer Datei wie etwa ihr MD5Hashwert, eine Art 128 Bit langer Fingerabdruck, oder das Änderungsdatum hinterlegt.
Im Ernstfall kann der Administrator oder Datenschutzbeauftragte den Index per Volltextsuche durchforsten. So erhält er für jede Version jeder Datei Informationen darüber, wer sie wann und wo bearbeitet und wer sie umbenannt oder verschoben hat. Durch die Kopplung an das Backup können berechtigte Personen auch auf die jeweilige Dateiversion selbst zugreifen und deren Inhalt direkt einsehen.
Ähnliche Funktionen bietet „Quest IT Security Search“(ITSS), das als Teil verschiedener Produkte des Herstellers verfügbar ist, darunter die „Enterprise Reporter Suite“oder der „Change Auditor“. Auch hier wird eine Googleähnliche Suchmaske geboten. Abhängig davon, welche anderen Lösungen angebunden sind, lässt sich Auskunft über bestehende Berechtigungen und deren Nutzung geben. Darunter fallen Zugriffsberechtigungen, gegebenenfalls getätigte Berechtigungsänderungen und alle Zugriffe auf die Dateien. ITSS gibt jedoch nicht direkt Einblick in die Dateien selbst.
Diese und vergleichbare Lösungen erlauben es, den Schaden, der durch Insider angerichtet wurde, zu evaluieren und rasch Gegenmaßnahmen zu treffen. Auch die Einhaltung von rechtlichen Vorgaben wie der 72-Stunden-Frist gemäß DSGVO zur Benachrichtigung der betroffenen Personen bei einem schweren Datenleck wird damit erleichtert.
Analog zu UBA-Lösungen stellt sich jedoch auch hier die Frage nach dem Datenschutz für die Anwender. Wenn genau nachvollzogen werden kann, welcher Mitarbeiter zu welchem Zeitpunkt welche Datei bearbeitet hat, sind das personenbezogene Daten. Diese fallen unter die rechtlichen Bedingungen gemäß DSGVO etc. Da keine unbegrenzte Aufzeichnung gestattet ist, entstehen Lücken in der einsehbaren Historie, was die Aussagekraft der forensischen Analysefunktionen beeinträchtigt. Hier bedarf es also einer genauen Betrachtung im Einzelfall, welche Möglichkeiten und Grenzen der Überwachung gegeben sind und ob sich der Einsatz vor diesem Hintergrund überhaupt lohnt.
Kritische Introspektive im Trend
Unternehmen brauchen also ausgefeilte Strategien, um in Datenströmen Richtlinienund Compliance-Verletzungen rechtzeitig erkennen und in Echtzeit unterbinden zu können. Ein Allheilmittel gegen die interne Bedrohung gibt es nicht, meint Thomas Henk, Vertriebs-Manager bei Nuvias Deutschland: „Die Tools und Lösungen variieren hinsichtlich der Anforderungen der Kunden.“Dabei spielten Faktoren wie das vorhandene und gewünschte Sicherheitsniveau, das Budget, die Zahl der Mitarbeiter mit Zugriff auf Businessrelevante Daten und weitere Parameter eine wichtige Rolle.
Wichtig sei, dass sich jeder Mitarbeiter als wichtiger Bestandteil der IT-Sicherheitskultur seines Unternehmens begreife. Insider Threat bleibe eine Herausforderung, die weiterhin viel Zündstoff für Konflikte auf technischer, betrieblicher und rechtlicher Ebene bereithalte.