Wenn der Täter von innen kommt

Kommentieren Drucken

Vor nicht allzu langer Zeit ist ein Sicherheitsvorfall bekannt geworden, der eine besonders kritische Seite der Informationssicherheit betrifft, nämlich den Angriff von innen. Hier hat ein IT-Dienstleister, der im Bundesgesundheitsministerium beschäftigt war, über einen Zeitraum von 2010 bis 2012 vertrauliche Informationen abgegriffen und weiterverkauft.

Solche Vorfälle kommen unbestreitbar häufiger vor und die meisten werden auch nicht öffentlich. Mal ist es tatsächlich ein Spion, mal ein unzufriedener Mitarbeiter, der bewusst Schaden anrichten will und mal ein Mitarbeiter, der ohne böse Absicht einen Sicherheitsvorfall verursacht. Von besonderer Qualität ist aber in dem genannten Beispiel, dass der Innentäter aus der IT-Abteilung kam und als Administrator mit besonderen Berechtigungen für den Zugriff auf Systeme und Daten ausgestattet war.

An dieser Stelle gibt es oft die fatale Haltung, dass man gegen einen Administrator als Innentäter bis auf organisatorische Maßnahmen nichts tun kann, da ein Administrator ja sowieso praktisch alle Zugriffsrechte für seine Arbeit benötigt und man diese ihm daher nicht ohne weiteres wegnehmen könne.

Angesichts des Schadens, der durch eine Kompromittierung kritischer Daten entstehen kann, muss eine solche Haltung nicht nur als falsch, sondern sogar als grob fahrlässig bezeichnet werden.

Hier ist es wesentlich, sich auf einen wesentlichen Grundgedanken der Informationssicherheit zu besinnen, nämlich das Need-to-know-Prinzip (d.h. Kenntnis nur bei Bedarf), das eine wesentliche Basis für den Schutz vertraulicher Daten darstellt. Letztendlich geht es dabei um die Minimierung der Angriffsfläche, da natürlich jeder Nutzer, der einen berechtigten Zugriff auf Daten hat, theoretisch auch zu einem Innentäter werden könnte.

Die technischen Maßnahmen sind nicht überraschend:

  • Klassifikation von Daten: Wenn nicht bekannt ist, welche Daten vertraulich sind und wer auf diese Daten zugreifen darf, kann man die Daten auch nicht schützen.
  • Angemessene Authentisierung des Nutzers für den Zugriff auf vertrauliche Daten.
  • Verschlüsselung von vertraulichen Daten unter Verwendung von Schlüsseln, die nur den berechtigten Nutzern bekannt sind: Auf diese Weise kann auch ein Administrator nicht mehr einfach auf die Daten zugreifen.
  • Feingranulare Rollen- und Berechtigungskonzepte für Nutzer und Administratoren: Je mehr Macht ein Nutzer oder ein Administrator hat, desto gefährlicher ist in der Regel der Missbrauch dieser Macht.
  • Überwachung und Protokollierung des Zugriffs auf vertrauliche Daten und manipulationssichere Aufbewahrung der Protokolle.

Die genannten Maßnahmen können grundsätzlich auch auf Ebene des Dateisystems ablaufen, was entweder eine entsprechende Unterstützung durch das Betriebssystem oder eine Erweiterung eines traditionellen File-Servers erfordert.

Typische organisatorische Maßnahmen sind neben Belehrungen der Mitarbeiter die Verwendung des Vier-Augen-Prinzips für den Zugriff auf vertrauliche Daten. Im Extremfall kann ein Vier-Augen-Prinzip auch durch technische Maßnahmen erzwungen werden. Meist muss man aber nicht so weit gehen. Bereits die Anwendung einer Auswahl der genannten Maßnahmen und insbesondere die Verschlüsselung vertraulicher Daten (unter der Voraussetzung einer geeigneten Schlüsselverwaltung) kann das Sicherheitsniveau signifikant steigern.

Bleibt das Risiko Mensch. Nachlässige Nutzer sind nicht selten die Ursache, wenn trotz aufwendiger technischer Maßnahmen vertrauliche Daten kompromittiert werden.

Weitergehende technische Maßnahmen aus dem Bereich Data Loss Prevention (DLP) können hier in einem gewissen Umfang auch einen unberechtigten Transport vertraulicher Daten erkennen und verhindern sowie beispielsweise eine Verschlüsselung erzwingen.

Viel wichtiger sind hier aber die Sensibilisierung und das Training der Nutzer sowie die Entwicklung einer Routine beim Umgang mit Sicherheitswerkzeugen. Wenn es für Nutzer vollständig normal wäre, Dokumente hinsichtlich der Vertraulichkeit einzustufen und reflexartig vertrauliche Dokumente für Transport und Ablage zu verschlüsseln, wäre der eingangs genannte Sicherheitsvorfall wahrscheinlich zumindest nicht mit dem tatsächlich aufgetretenem Schaden verbunden gewesen.

zugeordnete Kategorien: IT-Sicherheit, LAN, Web-Techniken
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.