Der Feind am Arbeitsplatz nebenan

Kristin Lovejoy ist CTO der Consul Risk Management. Übersetzung und Bearbeitung: Catharina Bujnoch.

Jahrelang meinte man, das Unternehmensnetzwerk vor allem gegen Angriffe von draussen abschirmen zu müssen. Doch die Statistiken sprechen eine andere Sprache: Das häufigste Sicherheitsrisiko sind interne Hacker, darüber sind sich inzwischen auch die IT-Verantwortlichen im klaren. Die Abwehr ist schwierig. Denn während man sich Viren, Würmer, Trojaner oder Denial-of-Service-Attacken durch geeignete Filter und Verhaltensregeln recht gut vom Hals halten kann, gehen die internen Angriffe von Personen aus, die vertrauenswürdig erscheinen: Mitarbeiter oder ehemalige Mitarbeiter, Lieferanten, Partnerfirmen. Der Grund: Als Insider kennen sie die empfindlichsten Stellen des Unternehmens. Gleichzeitig gelten sie als vertrauenswürdig und haben ungehindert physischen Zugang zu den Ressourcen. Normalerweise stuft man nämlich Anwender respektive Rechner, die im LAN vernetzt sind, als zuverlässig ein. Meist gibt es wenig Nutzungsbeschränkungen für sie, denn würden sie ständig kontrolliert, wäre speditives Arbeiten unmöglich.

Die Motivation interner Hacker

Es gibt die verschiedensten Gründe, warum jemand zum internen Hacker wird. Am harmlosesten sind wohl diejenigen, die aus Neugier, Vorwitz oder aus «Sportsgeist» handeln. Oft sind sie sich gar nicht bewusst, dass sie damit zum Hacker werden. Vielmehr wollen sie sich selbst ihre Gewitztheit, beweisen. Konkrete Beispiele sind Ad-hoc-Einbruchstests oder auch Einbrüche in fremde Mail- oder Instant-Messaging-Accounts. Dabei können sie auf unternehmenskritische oder datenschutzrechtlich heikle Daten stossen, etwa Lohnsummen oder geheime Finanzzahlen. Gezielter gehen diejenigen vor, die von Rachsucht getrieben werden - weil sie sich über das Unternehmen geärgert haben, über einen Chef, einen Kollegen. Solche Personen sind gefährlich, denn sie warten geduldig auf ihre Chance und agieren zielgerichtet. Oft fallen entlassene Mitarbeiter in diese Kategorie, vor allem, wenn sie ihre Entlassung als Unrecht empfinden. Eine dritte Kategorie sind diejenigen, die vertrauliche Informationen stehlen wollen, um sie zu Geld zu machen. Der US-amerikanische Geheimdienst und das auf IT-Security spezialisierte Cert (Carnegie Mellon University Software Engineering Institute Coordination Center) haben 2005 einen Bericht zum Thema interne Hacker erstellt, in dem sie Motivation und Absichten der Täter durchleuchten. Aus ihren Statistiken geht hervor: Der durchschnittliche Hacker ist männlich, zwischen 17 und 60 Jahren alt und hat einen Job in der IT-Abteilung (86 Prozent). Diese Eckdaten sind allerdings wenig präzise und daher kaum hilfreich zur Eingrenzung einer Risikogruppe. Die Studie stellt weiter fest, dass 92 Prozent der Täter von Rachegedanken getrieben sind, und 62 Prozent den Angriff gezielt geplant haben. 57 Prozent der identifizierten Täter beschreiben sich selbst als «wütend». Viele geben Fingerzeige auf ihre Pläne: 80 Prozent haben vor der Tat verdächtiges oder zumindest ungewöhnliches Verhalten an den Tag gelegt, wie die - nachträgliche - Befragung von Kollegen oder Vorgesetzten ergab. Nur 43 Prozent hatten rechtmässigen Zugriff auf die gehackten Daten. 64 Prozent agierten remote, und - hier stehen die Security-Verantwortlichen besonders in der Pflicht - die allermeisten Vorfälle setzen weder technische Rafinesse noch besonderes Insider-Know-how voraus.

Gemeinsamkeiten

Von Sabotageakten können Daten oder Systeme betroffen sein. Etwa, wenn mit roher Gewalt die Verkabelung eines Netzwerks oder ausgesuchte Hardware zerstört wird, oder indem die Stromversorgung gekappt wird. Auch Diebstahl trifft sowohl Daten als auch Hardware. Jemand sucht nach brisanten Informationen, etwa Kreditkartennummern von Kunden, oder nach geheimen Umsatzzahlen des Unternehmens, oder nach Plänen künftiger Produkte. Beim Hardwareklau kommt eigentlich alles in Betracht, was nicht niet- und nagelfest ist. Das Einschleusen bösartigen Codes ist ebenfalls weit verbreitet. Das können Zeitbomben sein, also Programme, die zu einem bestimmten Datum das System zum Kollaps bringen, oder «logische» Bomben, die ein System schädigen, falls bestimmte Rahmenbedingungen eintreten. Die bekanntesten Schädlinge sind vermutlich Viren. Die holt zwar in den meisten Fällen ein ahnungsloser Mitarbeiter per Mausklick ins Haus, doch sind auch Fälle bekannt, wo der Mitarbeiter gar nicht ahnungslos war, sondern das virenverseuchte Mail-Attachment absichtlich aktiviert hat. Dann gibt es diejenigen, die verbotene Software auf den Rechnern installieren. User mit erweiterten Zugriffsrechten können auf diese Weise Trojaner installieren. Mehr kriminelle Energie braucht, wer Sicherheitslöcher in Kommunikationsprotokollen ausnutzen will etwa in TCP/IP. Dann drohen DNS-Spoofing, geknackte Sessions, Denial of Service und ähnliches. Sicherheitslücken finden sich auch im Betriebssystem, allen voran Windows, und auch durch sie lässt sich das System manipulieren. Einmal mehr haben User mit erweiterten Zugriffsrechten leichteres Spiel, weil sie die Lücken kennen und wissen, welche gepatcht wurden - und welche nicht. Schliesslich spielt Social Engineering eine wesentliche Rolle. Via Mail, Instant Messaging oder Telefonanruf gibt man sich als Mitarbeiter oder gar Administrator aus und erschwindelt sich so User-ID, Passwörter oder Zugang zu weiteren Daten.

Privilegien bedeuten Risiken

Sinnvollerweise knöpft man sich als Security- oder IT-Verantwortlicher zunächst die privilegierten User vor, konkret: Administratoren und Super-User. Wie alle anderen sind auch sie nur Menschen, und bekanntlich machen Menschen Fehler. Meist versehentlich, aber manchmal auch absichtlich.

Speziell die Administratoren haben Zugang zu den Herzstücken der IT. Ihr Fehlverhalten kann massive Folgen haben, kann, wenn die IT-Infrastruktur eine tragende Rolle spielt, den operationellen Betrieb des gesamten Unternehmens lahmlegen. Interne Angriffe kosten die US-Firmen jährlich 400 Milliarden Dollar, hat die Organisation «Association of Certified Fraud Examiners» errechnet, 348 davon gehen auf das Konto privilegierter User. Mit anderen Worten: Die Unternehmen verlieren sechs Prozent ihres Jahresumsatzes aufgrund interner Attacken. Dummerweise lässt sich die Gefahr nicht so einfach eliminieren. Denn in der IT gilt das Prinzip, die für den jeweiligen Job erforderlichen minimalen Rechte zuzugestehen. Dadurch reduziert sich das Risiko, dass zu viele Aktivitäten das Gesamtsystem beeinträchtigen könnten. In der Praxis bedeutet das, dass man den IT-Administratoren keine Rechte aberkennen kann, denn sonst können sie ihre eigentlichen Aufgaben nicht mehr ausführen. Damit bleibt nur, die privilegierten User permanent zu überwachen. Korrekte Regeln und Vorschriften vorausgesetzt, lässt sich das Fehlverhalten identifizieren und analysieren. Wichtig für das Unternehmen ist es, die Log-Daten für nachfolgende Untersuchungen unbedingt zu archivieren. Weil herkömmliche interne Kontrollmechanismen leicht zu umschiffen sind, müssen User mit weitreichendem Zugriff auf Systeme und Daten dafür zur Rechenschaft gezogen werden können. Mit Hilfe von Kontenverwaltungsregeln und -techniken kann der individuelle Datenverkehr, nicht nur der gesamte Netzwerk-Noise, überwacht werden. Wer gekündigt wird oder selbst kündigt, dessen Account muss deaktiviert werden. Das klingt selbstverständlich, und wird doch oft vergessen. Die meisten internen Angriffe werden remote lanciert. Sicherungsmechanismen für jeden Layer - und dazu gehören Überwachung und Logs aller Remote-Aktivitäten -, sind daher Pflicht. Wie sich gezeigt hat, verhalten sich interne Hacker vor dem eigentlichen Angriff oft anders als sonst. Darum sollte bewusst auf verdächtiges oder ungewöhnliche Verhalten eines Mitarbeiters am Arbeitsplatz geachtet werden. Zudem müssen Prozesse definiert werden, wie jemand, dem das Verhalten auffällt, das melden kann. Über entsprechende Weiterbildungsprogramme können Mitarbeiter für interne Attacken sensibilisiert werden. Solche Schulungen sollten alle Angestellten sowie Zulieferer durchlaufen. Sie sollen verstehen, warum es Security-Regeln und -Prozesse braucht, wie sie durchgesetzt werden und wie das Nichtbefolgen geahndet wird. Unbedingt zu beachten ist, dass das Bewusstsein um die Bedeutung der Security mit der Zeit schwindet. Die Schulungen müssen also regelmässig wiederholt werden. Weil es schwierig ist, den Return on Investment solcher Programme zu beziffern, wird dafür jedoch oft zu wenig Geld bewilligt - ein kurzsichtiges Verhalten.