Industriespionage
08.04.2008, 08:26 Uhr
Risiken lauern im Innern
Industrie- und Wirtschaftsspionage geht neue Wege: Technologien und Dienste aus dem privaten Umfeld der Mitarbeiter sind eine Hauptgefahr.
Isabell Unseld arbeitet für McAfee Central and Eastern Europe.
Unternehmenswissen war noch nie so beweglich wie heute, denn es liegt in aller Regel in digitaler Form vor. Damit wächst für Firmen die Gefahr, Opfer von Industriespionage zu werden. Die Word-Dokumentation eines geheimen Produktionsverfahrens mit 330000 Zeichen auf 150 Seiten beispielsweise umfasst gerade einmal ein MB, passt also bequem in ein E-Mail-Attachment.
Grundsätzlich kann Industriespionage von innen oder von aussen erfolgen. Der Binnentäter hat direkten Zugang auf das Unternehmensnetz. Entweder kann er direkt auf die Hardware eines Rechners zugreifen oder lokal auf das Netzwerk. Für Letzteres muss er nicht unbedingt Mitarbeiter des Unternehmens sein. Ein Partner oder freier Mitarbeiter kann seinen Zugang ausnutzen und sich Zugriff auf relevante Datenserver verschaffen - vorausgesetzt, er ist böswillig und technisch dazu in der Lage. Daneben werden auch die externen Täter immer gefährlicher.
Gefährlich Mail-Mimikri
Um sich unbefugten Zugang zu verschaffen, braucht es nicht nur komplizierte Schadprogramme, um den Rechner zu kontrollieren. Wichtige Informationen sind zusätzlich meist mit Passwörtern vor Dritten geschützt. Doch diese verraten unachtsame Anwender nicht selten gleich selbst. Der dazu nötige Identitätsdiebstahl kennt verschiedene Wege. So sind etwa Keylogger ein altbekanntes Mittel zur Protokollierung von Tastatureingaben. Deren Installation übernimmt häufig das Opfer selbst durch ein infiziertes E-Mail-Attachment: Aufwendige E-Mails imitieren täuschend ähnlich die Corporate Identity des Unternehmens und erscheinen so als interne Mitteilung.
Neue Möglichkeiten der Unternehmenskommunikation wie Voice over IP (VoIP) oder Videoconferencing sind weitere Einfallstore für Malware. So können vermeintliche VoIP-Tools den in diesen Bereichen immer noch unsicheren Nutzer nur zu leicht zu einer Installation eines fälschlichen Plug-Ins oder Updates veranlassen. Ist die Malware erst einmal installiert, braucht sich der Angreifer nur noch auf die Lauer zu legen. Früher oder später kriegt er zum Beispiel das Passwort für den Ftp-Server in die Finger und kann dieses später auch für den Zugriff auf Unternehmensdaten nutzen.
Normalerweise müsste in einer klassischen Netzwerksicherheitslösung eine Sicherheitspolicy zwar verhindern, dass ausführbare Anwendungen installiert werden. Doch dazu muss die zentrale Verwaltung auch wirksamen Zugriff auf das System haben.
Mangelnde Datendisziplin
Neue webbasierte Dienste des Datenaustausches, die ursprünglich aus dem privaten Bereich stammen, bieten Möglichkeiten, an Unternehmensdaten zu gelangen. Filesharing beispielsweise wird auch in Unternehmen praktiziert und ist nicht mehr nur auf die Welt der Musik- und Video-Downloads beschränkt. Nicht wenige Mitarbeiter laden sensible Daten ins Internet hoch und greifen über Filesharing Software gemeinsam mit anderen Anwendern darauf zu. Wenn sich Unbefugte hier einklinken, geraten Daten nach aussen.
Industriespionage: Risiken lauern im Innern
Ein Blick nach Japan, wo solche Dienste noch stärker verbreitet sind, zeigt, wie auf diesem Wege Informationen abfliessen, die ein findiges Auge nur noch auswerten muss. Das japanische Winny, der bekannteste Peer-to-Peer-Dienst in Asien, ist ein gutes Beispiel hierfür: Angestellte installieren Winny für private Zwecke auf ihre Arbeitsrechner oder sie nehmen Arbeitsdaten auf den heimischen Rechner mit, der an Winny angeschlossen ist. Malware kann so auf alle Verzeichnisse zugreifen, nicht nur auf die eigentlich privaten Videodateien, die man guten Willens anderen zur Verfügung stellen möchte. Sind die Daten erstmal auf ein infiziertes Winny -Verzeichnis hochgeladen, sind sie frei verfügbar. Die Malware lädt Daten von Festplatten eines Benutzers auf andere Platten. In Fernost gingen so Daten aus Atomkraftwerken und vertrauliche Polizeiinformationen verloren.
Rund die Hälfte aller Veruntreuungen von sensiblen Daten in japanischen Unternehmen geht mittlerweile auf Winny-Malware zurück. Der Dienst ist gerade wegen seines privaten Charakters gefährlich. Auf privaten Rechnern lässt sich die Software nicht durch eine Sicherheits-Policy von lokalen Unternehmensrechnern verbannen. Nehmen Mitarbeiter kritische Daten nach Hause, gehen Daten nach aussen, ohne dass eine Firewall oder eine andere Sicherheitslösung dies blockieren kann.
Eine andere Spielvariante webbasierter Festplatten, die Industriespionage ermöglichen können, ist File transfer auf ftp. Der ftp-Server selbst ist vielleicht noch besser geschützt, weil er Teil des Unternehmensnetzes ist. Aber geraten auch hier Zugangsdaten in falsche Hände, stehen alle digitalen Türen offen.
Freier Handel für Schwachstellen
Neben solchen Methoden gibt es eine Fülle von Hintertürchen, die externe Spione ausnutzen können. Fast jedes Programm enthält eine Lücke, die weder Programmierer, Administratoren, noch Entwickler von Sicherheitslösungen auf der Rechnung haben - wenn sie sie überhaupt kennen. Hacker, die nach solchen Lücken suchen, haben angesichts der wachsenden Masse von Anwendungen und Übertragungswegen oft einen markanten Vorsprung. Zero-Day-Angriffe, also Tools, die eine noch nicht gepatchte Schwachstelle ausnutzen, können grossen Schaden verursachen.
Ist die Gefahr erst mal erkannt, ist sie durch ein Gegenprogramm schnell gebannt. Nachlässiges Einspielen von Patches hat aber schon oft dazu geführt, dass der Exploit noch lange wirksam blieb. Zero-Day-Attacken sind so beliebt, weil ihre Wirkung oft enorm ist und häufig auch bestehen bleibt. Unglücklicherweise werden immer mehr Schwachstellen durch gezieltes Scanning mit verblüffend einfachen und im Internet bereitstehenden Tools bekannt. Die Suche danach lohnt sich durch einen florierenden Schwarzmarkt mit solchen Exploits.
Binnentäter ausbremsen
Diese neuen Wege des Datenverlustes machen eine ausgeklügelte Verkehrsüberwachungen nötig. Abwehrmechanismen gegen Malware sind ebenso wichtig wie zentrale Sicherheitsrichtlinien, die am Endpoint die Installation von unbekannter Software verhindern. Doch auch ein anderer Ansatz wird immer wichtiger und schützt gleichzeitig gegen die Veruntreuung der Daten durch Binnentäter: Data-Loss-Prevention-Lösungen. Sie verhindern sowohl das absichtliche wie fahrlässige Weiterleiten von Daten. Solche Lösungen markieren alle Daten und legen genau fest, wie diese ausgegeben oder weitergeleitet werden dürfen. So lässt sich verhindern, dass zum Beispiel Daten auf eine private Festplatte überspielt werden und dort in den P2P-Strudel geraten. Wichtig ist, dass die markierenden Tags fest an die Informationen gekoppelt sind. Das verhindert das Umgehen der Regeln durch Kopieren, neue Namensgebung oder zum Beispiel Umspeichern einer DOC-Datei in eine PDF-Datei. Der Schutz gegen externe Spione muss auf vielen Beinen stehen. Informationsfluss im Inneren ist ein wichtiger Bestandteil davon.
Isabell Unseld