Der Feind im Inneren

Evi Hierlmeier ist Freie IT-Journalistin; Marton Illés ist Product Architect bei der IT-Sicherheitsfirma BalaBit IT Security. Kriminelle Handlungen hinterlassen Spuren. Das gilt in der realen Welt, wenn die Spurensicherung an einem Tatort nach verwertbaren Beweisen sucht, und in der digitalen Welt erst recht. Um nachvollziehen zu können, wer, wann und wo auf welche Daten zugegriffen hat, müssen diese Zugriffe im täglichen Netzwerkbetrieb akribisch und vor allem revisionssicher aufgezeichnet werden. Bislang werden jedoch in den wenigsten Unternehmen nachvollziehbare Protokolle geführt, die mehr aufzeichnen als nur den Login/Logout im System. Dieser lässt jedoch keinerlei Schlüsse zu, was in der Zwischenzeit passiert ist. Die Aktivitäten der Administratoren, aber auch eventuell eingebundener externer Dienstleister oder Mitarbeiter mit entsprechenden Rechten, werden nur selten protokolliert - und wenn, dann in einer gesetzlich nicht validen Form. «Die Kosten pro Datenvorfall gehen bei vielen Banken in die Millionen», betont Martin Grauel, Consultant bei der IT-Sicherheitsfirma BalaBit IT Security. «Davon schlucken Aufdeckung und Analyse eines Vorfalls oft den Löwenanteil. Nicht selten wird die Ursachenforschung am Ende eingestellt, weil sie einfach zu teuer ist oder die Aussicht auf Erfolg zu gering.» Aber um einen Schuldigen sicher zu identifizieren, zur Verantwortung zu ziehen und Ansprüche geltend machen zu können, braucht es revisionssichere Aufzeichnungen. Nur dann lassen sich Regressansprüche gerichtlich durchsetzen.

Es ist ein offenes Geheimnis: Angriffe von innen sind keine Seltenheit. Die Daten werden sozusagen über legale Wege geklaut: Entweder, weil die Kundendaten fahrlässig auf öffentlich zugänglichen Servern lagern, oder interne Mitarbeiter greifen im Rahmen ihrer Berechtigungen auf Systeme zu und dort Kundendaten ab. Intern heisst jedoch nicht zwingend, dass der Täter direkt im Unternehmens-gebäude sitzt, es muss auch nicht notwendigerweise ein Angestellter sein. Zulieferer, Dienstleister und freie Projektmitarbeiter arbeiten in den aktuellen Unternehmensszenarien eng mit fest angestellten Kollegen im Netzwerk zusammen. Der anhaltende Trend zur Mobilität bietet Zugriff auf sensible Systeme von fast jedem Ort der Welt. Diese Entwicklung potenziert auch die Gefahren von innen. «Auch der Trend, Services in die Cloud auszulagern und damit interne Abläufe an externe Dienstleister zu übergeben, verstärkt die Gefahr des Datenmissbrauchs», so Martin Grauel. Dennoch wird in Schutzmassnahmen gegen externe Bedrohungen wie Firewalls weit mehr investiert als in Vorkehrungen gegen «innere» Gefahren - etwa im Verhältnis 70 zu 30 Prozent. Vor der Gefahr von aussen schützen die verschiedensten Systeme, angefangen bei klassischen bzw. Next Generation Firewalls über Virenscanner oder Intrusion-Detection/Prevention-Systeme bis zu komplexen Unified-Thread-Management-Lösungen. In Tools, welche die internen Unternehmensabläufe zuverlässig kontrollieren und beweissicher dokumentieren, investieren selbst Finanzinstitute vergleichsweise selten.

Die Vorgänge im Nachhinein zu analysieren und Beweise zu sichern sowie verwertbar zu machen, ist Aufgabe der IT-Forensiker. In akribischer Feinarbeit müssen Festplattendaten, flüchtige Speicherinhalte oder Log-Dateien gesichert werden. Dabei laufen die Experten immer Gefahr, relevante Beweise gerade durch solche Sicherungsmassnahmen zu verfälschen oder unwiederbringlich zu vernichten. Es ist ein Wettlauf gegen die Uhr: Relevante Daten müssen möglichst schnell aber gründlich identifiziert und gesichert werden. Oft genug sind die Beweise bereits vernichtet, bevor die Spurensuche beginnt. Vielfach sind die Finanzinstitute sogar selbst daran schuld: Ein Standardvorgehen ist beispielsweise, nach einem bemerkten Systemeinbruch das betroffene System herunterzufahren, um weiteren Schaden zu vermeiden. Dass so bereits potenziell wichtige Beweismittel - etwa Daten in flüchtigen Speichern - zerstört werden, vernachlässigen viele IT-Administratoren in diesem Moment. Um das zu verhindern, protokollieren Monitoring-Tools (siehe Tabelle) die internen administrativen IT-Prozesse und archivieren diese revisionssicher, also nicht manipulierbar. Für den Ernstfall liefern diese Protokolle unverfälschte Fakten, wer wo und wann im Unternehmensnetz welche Aktivitäten unternommen, wer was verändert, gelöscht oder kopiert hat. Ist die Lösung als Hardware-Appliance designed, erfolgen alle Zugriffe auf die Zielsysteme über dieses System, es sind keine Clients nötig. Das Management erfolgt ausschliesslich über die Appliance, was die Betriebskosten reduziert. Der Administrator, der über Standardprotokolle zur Serveradministration (etwa RDP, VNC, Telnet, SSH) auf die Zielserver zugreift, wird bei seiner normalen Tätigkeit nicht beeinträchtigt. Im Hintergrund überprüft die Lösung die Kommunikation jedoch genau - vom Verbindungsaufbau bis zur Beendigung der Session. Die Verbindungsdaten werden detailliert mitgeschnitten sowie archiviert und ermöglichen so eine exakte Nachverfolgung der Aktionen.

Im Falle eines verdächtigen Vorfalls lässt sich mit den Tools sehr schnell die relevante Administrations-session identifizieren. Die Verbindung kann sowohl visuell als auch auf Basis der Rohdaten analysiert werden. Letztere geben den Forensikern die Möglichkeit, den gesamten Netzwerkverkehr in ihre Analysen einzubeziehen. Alle Ergebnisse des Monitorings, also die Audit Trails, werden gemäss der zentralen Sicherheitsanforderungen wie Integrität, Vertraulichkeit und Authentizität verschlüsselt, signiert und mit Zeitstempeln versehen. Neben der lückenlosen Aufzeichnung bieten die Lösungen eine Vielzahl von Kontrollmöglichkeiten. Dazu gehören beispielsweise diverse Authentifizierungsoptionen. Diese stellen sicher, dass unabhängig vom Zielsystem nur berechtigten Personen Zugriff auf kritische Systeme gewährt wird. Im Gegensatz zum noch häufig genutzten, nicht-personifizierten Administrator-Account lässt sich der Täter einfacher identifizieren. Hier wird auch festgelegt, welche Dateien die Administratoren zwischen dem Client- und Zielsystem übertragen können.

Das Vier-Augen-Prinzip schützt zusätzlich: Dabei muss eine zweite Person die Verbindung freigeben und kann diese in Echtzeit mit beobachten. Diese und eine Reihe weiterer Kontrolloptionen bauen sowohl eine technische als auch eine psychologische Barriere gegen den Datenmissbrauch auf, die nicht zu unter-schätzen ist. «Es gab bei unseren Administratoren keine Vorbehalte, ein solches Tool einzuführen», erinnert sich der CIO eines Finanzinstituts, das die BalaBit Shell Control Box einsetzt. «Sie waren sich im Gegenteil der Möglichkeit bewusst, lückenlos nachweisen zu können, dass sie sauber gearbeitet haben.» Auch ein externer Dienstleister kann so seine Zugriffe auf die Kundensysteme offenlegen, damit der Forderung des Kunden nach Transparenz nachkommen - und sich selbst schützen.