Dem Insider das Handwerk legen

Die Absicherung von IT-Infrastrukturen von aussen wird ständig schwieriger. Dieser Perimeter-Schutz bestehend etwa aus Firewall und Intrusion Preverntion System sei zwar weiterhin notwendig, aber schon lange nicht mehr ausreichend, meint Christian Fahlke, der die israelische Security-Firma Imperva in der Schweiz und in Österreich vertritt. «Es ist viel besser die Daten als solche zu schützen», führt er weiter aus. Dann könne man die Daten, die eigentlichen «Kronjuwelen» einer Firma, auch vor sogenannten Insidern schützen. Als Insider, welche die internen Systeme und Informationen gefährden, hat Imperva drei Sorten im Visier. Einerseits Mitarbeiter, die sich infiziert haben - etwa auf einer verseuchten Webseite -, und somit nichts dafür können, dass sie für den Informationsklau missbraucht werden. Andererseits gibt es auch den bösartigen Insider, der seine Privilegien nutzt, um wichtige Daten anzuzapfen. «Hierunter fallen die Steuer-CD-Brenner in Banken oder die Snowdens dieser Welt», erklärt Fahlke. Schliesslich gibt es noch die sogenannten privilegierten Insider. Das seien Administratoren, die nach einem Angriff beweisen wollen, dass sie nicht vorsätzlich Informationen abgezweigt haben. Die Lösung von Imperva - eine Appliance - soll deshalb die Daten selbst schützen und umfasst drei Teile: ein Web-Application-Schutz kümmert sich um gross angelegte Webattacken, die File-Security überwacht unstrukturierter Dateien und die Datenbank-Absicherung analysiert die Vorgänge in der Datenbank selbst. Nächste Seite: Neue Finma-Vorschriften verlangen den Schutz von Innen

Mit einer Lösung von Imperva, wäre der Dateien-Klau von Edward Snowden bei der NSA aufgeflogen, ist Fahlke überzeugt. Der als Sharepoint-Administrator angestellte Snowden wäre spätestens dann aufgefallen, als er begann, die darunterliegende Datenbank zu kopieren. Als Administrator hätte ihn diese gar nichts angehen dürfen und ein geschicktes Monitoring hätte dies unterbinden oder die Verantwortlichen vor den Aktionen warnen können.

Nicht nur wegen solcher Vorkommnisse steigt das Thema Insider-Schutz auf der IT-Security-Agenda nach oben. Gerade im Bankenumfeld schreibt die Schweizer Finanzaufsichtsbehörde Finma ab 2015 vor, dass Mitarbeiter, welche auf heikle Kundendaten Zugriff hätten, besonders ausgewählt, geschult und überwacht werden müssen. Fahlke zitiert deshalb gerne den 5. Grundsatz aus dem Anhang 3 der Finma-Regelungen RS 2008/21, welche 29.8.2013 beschlossen wurden und am 1.1.2015 für die helvetische Finanzbranche gültig sind. «Erhöhte Sicherheitsanforderungen mu?ssen fu?r privilegierte IT-Benutzer und Anwender mit funktionalem Zugriff auf Massen-CID ('Schlu?sselmitarbeitenden') gelten», heisst es da, wobei CID für Kundendaten steht. Und in Grundsatz 3 steht zudem, dass nur in wichtigen Fällen wenige Anwender auf bestimmte Datensätze zugreifen dürften. «Der Datenzugriff muss klar geregelt werden und darf nur auf einer strikten Need-to-know-Basis erfolgen», so die Regelung weiter. Eine solches Monitoring und Blocking von Zugriffen sei mit den Produkten von Impervamöglich, meint Fahlke.