Hackerangriff von Innen
So wird man zum Innentäter
Hacker inside: So greifen Insider an
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die möglichen Angriffe durch Innentäter bereits 2013 beschrieben und dabei vor allem drei Handlungsmuster festgehalten:
Data Leakage: Dieser Begriff umschreibt den Verlust, beziehungsweise den Diebstahl von Informationen durch Zugriffsmöglichkeiten auf Fileserver, Datenträger oder die IT-Systeme.
Social Engineering: Zwischenmenschliche Manipulation findet insbesondere zur Vorbereitung von Folgeangriffen statt, beispielsweise durch Ermittlung von Ansprechpartnern, Prozessbeschreibungen, IT-Architekturen oder Steuerprogrammen. Personen mit Zugang zu bestimmten Bereichen könnten zudem andere Mitarbeiter dazu verleiten, Software zu installieren, Konfigurationsänderungen vorzunehmen oder kryptografische Schlüssel herauszugeben. Das Ziel: die Eröffnung von Angriffspfaden.
Sabotage: Oftmals begründet durch politische oder wirtschaftliche Interessen ist dies eine Angriffsform, bei der eine erhöhte Bedrohung durch Innentäter ausgeht.
Dass sich bereits viele Unternehmen dieser Problematiken bewusst sind, zeigen zum Beispiel die Studienergebnisse von KPMG: Acht von zwölf der meistgenannten Ursachen für Internetkriminalität sind demnach Innentätern zuzuordnen.
Foto: KPMG
Besonders hervorzuheben ist in diesem Zusammenhang auch das unbeabsichtigte Fehlverhalten von Mitarbeitern. In einer Umfrage der vom BSI initiierten Allianz für Cybersicherheit war dies der meistgenannte Grund hinter "erfolgreichen" Hackerangriffen.
So brachte es beispielsweise ein technischer Mitarbeiter von Amazon zu unbeabsichtigtem "Innentäter-Ruhm" - und verursachte dabei einen Schaden von mehr als 150 Millionen Dollar. Was war passiert? Der Mitarbeiter führte eine routinemäßige Server-Wartung durch und beschloss zur Beschleunigung seiner Arbeitsaufgabe, mehr Server als üblich direkt in die Wartung zu setzen und mit neuer Software zu versorgen. Blöderweise verursachte diese Entscheidung eine Kettenreaktion durch die unzählige Webshops und Webdienste über Stunden nicht mehr erreichbar waren.
Fälle wie dieser sind in Unternehmen jeder Größe denkbar. Ebenso wie folgender Fall: Ein Mitarbeiter tauscht sich regelmäßig in verschiedenen Chats mit anderen Menschen über sein Hobby aus. Dort wird er von einem externen Hacker gefunden und kontaktiert. Ist erstes Vertrauen aufgebaut, schickt dieser eine infizierte Datei - und hört, beziehungsweise liest ab diesem Zeitpunkt mit. Diese Form des Social Engineering führt nicht unmittelbar zu einer missbräuchlichen Folgehandlung. Der Täter wartet nun ab, bis der Mitarbeiter über sein Facebook-Profil beispielsweise seine Hochzeitsreise ankündigt. Nach der Abreise in die Flitterwochen folgt der "Zugriff". Mit den Zugangsdaten des Urlaubers kann der Hacker nun voraussichtlich unbehelligt Daten stehlen.
Häufig geht mit der Veröffentlichung von Hacks und Kompromittierungen durch Innentäter auch ein enormer Imageschaden für Unternehmen einher. Kein Wunder: Wer vertraut schon einem Webshop, der die eigenen Kunden beziehungsweise deren Accounts nicht schützen kann? Ebay durchlebte diese schmerzhafte Erfahrung bereits im März 2014. Damals wurden über gehackte Mitarbeiter-Konten mehr als 145 Millionen Passwörter und E-Mail-Adressen gestohlen. Die Aktie des US-Unternehmens brach nach Bekanntwerden des Hacks massiv ein.
Fazit: So schützen sich Unternehmen
Compliance-Richtlinien alleine reichen nicht aus, um Innentäter beziehungsweise Hacks und Angriffe durch diese zu verhindern. Klare Verhaltensregeln - auch im Umgang von Kollegen und Führungskräften untereinander - sowie geeignete, interne Kontrollsysteme sind zusätzlich unabdingbar.
Die größte Herausforderung für die IT-Sicherheit bleibt die (frühzeitige) Erkennung krimineller oder schädlicher Aktivitäten. Allerdings kann bereits das einfache Monitoring von Mitarbeiteraktivitäten auf kritischen Systemen bei einem Sicherheitsvorfall die Kapazitäten der IT-Security-Abteilung sprengen. Zudem kann ein solches Vorgehen bei den überwachten Mitarbeitern zu großem Unmut führen, da ihre gesamte Arbeitsleistung unter Generalverdacht steht. Ein generelles Aufzeichnen aller Aktivitäten des Mitarbeiters - ohne dass dabei eine konkrete Gefahr für das Unternehmen besteht - verstößt ohnehin gegen das Computergrundrecht.
Der Versuch, IT-Sicherheit nur mit technischen Mitteln zu erreichen, ist sehr wahrscheinlich zum Scheitern verurteilt. Durch das Outsourcing von Abteilungen oder Dienstleistungen sinkt diese Wahrscheinlichkeit noch einmal. Denn weitere neue und ungeschulte Personen, die in die IT-Sicherheit einbezogen werden müssen, eröffnen zusätzliche Schwachstellen und Fehlerquellen im Unternehmen. Im Umgang mit kritischen Systemen und im IT-Sicherheitsmanagement ganz allgemein nimmt der Faktor Mensch nun einmal die Hauptrolle ein.
Unternehmen sollten sich in jedem Fall aktiv mit dem Thema Innentäter auseinandersetzen. Ein einfaches Monitoring oder Fokussieren auf Log-Files ist hier nicht ausreichend und vermittelt darüber hinaus allzu oft ein falsches Gefühl von Sicherheit. Ein schlichtes Log-File-Management-Monitoring bildet zudem keinen kompletten Nachweis zur Sicherstellung der EU-Datenschutz-Grundverordnung dar. Eine komplette Prozessabbildung durch Applikations-Log-Files wird nie möglich sein, zumal nicht sämtliche Prozessschritte der Anwender in einer einzelnen Applikation durchgeführt oder angezeigt werden können.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Durch aktive Schulungsmaßnahmen für die Mitarbeiter werden mögliche Fehlerquellen minimiert. Gleichzeitig erlaubt dieses Vorgehen eine Protokollierung der Mitarbeiter-Aktivitäten in der Produktionsumgebung. Beim Monitoring sollte weiterhin immer auf die Erfassung von Metadaten geachtet werden, so dass eine schnelle Auswertung und Datensparsamkeit gemäß BDSG gewährleistet werden kann. Die Kombination von Schulungs- und Monitoring-Applikationen ist somit ausdrücklich zu empfehlen. (fm)
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten