Wie man sich vor Insider-Bedrohungen schützen kann

Man sollte meinen, dass wenn es Organisationen gibt, die sich vor Spionen, Diebstählen und Sabotage wirkungsvoll schützen können, es wohl Geheimdienste mit ihren enormen Apparaten sind. Umso erstaunlicher ist es, dass gerade die NSA mehrmals zum Opfer von peinlichen Veröffentlichungen wurde. So berichtete zuletzt die New York Times Ende letzten Jahres über einen weiteren Vorfall im Zusammenhang mit der Hackergruppe Shadow Brokers – eben jener Gruppe, die bereits 2013 eine Windows-Schwachstelle aufgedeckt hatte, die letztlich WannaCry ermöglichte.

Wie fanden die geheimen Informationen ihren Weg von der NSA (die ja spätestens durch den Fall Edward Snowden hätte gewarnt sein müssen) zu den Hackern? Es gibt einige Hinweise, die den Quellcode der Shadow Brokers auf den NSA-Vertragspartner Harold Martin zurückführen, der im August 2016 verhaftet wurde. Die US-Behörden behaupten, er habe insgesamt 50 Terabyte (!) NSA-Akten sowie zahlreiche Papierdokumenten entwendet und diese dann alle in seinem Haus aufbewahrt. Martins Rechtsanwalt hingegen beschrieb ihn als „unersättlichen Lerner“ und so etwas wie einen Hamsterer. Mittlerweile sitzt er im Gefängnis.

Ob er aber auch für die jüngsten Datenlecks verantwortlich ist, kann nicht mit Sicherheit gesagt werden. Entsprechend verbreitet ist auch die Theorie über einen Maulwurf in der NSA. So berichtete die Washington Post über einen weiteren Datendiebstahl eines Mitarbeiters, der inzwischen ebenfalls verhaftet worden sei. Wer nun für was verantwortlich ist, lässt sich kaum nachvollziehen. Fest steht aber auf alle Fälle: Die NSA hat ein massives Insider-Bedrohungsproblem. Und damit steht sie nicht alleine da. Während große Datenpannen mit personenbezogenen Daten von Verbrauchern Schlagzeilen machen, kann der – meist „stillere“ – Diebstahl geistigen Eigentums Unternehmen in ihrer Existenz bedrohen. Erinnern wir uns etwa an den Fall des ehemaligen Google-Mitarbeiters Anthony Levandowski, der angeblich proprietären Code und andere Geschäftsgeheimnisse zu seinem neuen Arbeitgeber Uber mitgebracht hat. Oder an die beiden Wissenschaftler bei GlaxoSmithKline, die Geschäftsgeheimnisse per E-Mail an ihre Komplizen verschickt haben sollen. Oder an Greg Chung, der 30 Jahre bei Boeing gearbeitet hat und während dieser Zeit 300.000 Seiten vertrauliche Dokumente gestohlen und nach China verkauft hat (wofür er zu 15 Jahren Gefängnis verurteilt wurde). Oder, oder, oder.

Alle diese Datendiebstähle treffen die Unternehmen in ihrem Innersten, in ihrer Wettbewerbsfähigkeit und haben entsprechende direkte Auswirkungen auf das Geschäftsergebnis oder sogar deren Existenz.

Wie Insider zur Gefahr werden können

Insider haben besonderen Zugang zu vertraulichen Dokumenten und Daten (oft sind sie selbst deren Schöpfer) und stellen ein einzigartiges Problem für die Sicherheitsverantwortlichen dar. Die Spezialisten des Computer Emergency Response Team der Carnegie Mellon Universität (CMU CERT) forschen seit Jahren im Bereich der Insider-Bedrohungen und bezeichnen Insider wie Levandowski, Martin und Snowden als „berechtigte Unabhängige“. Die Forscher sind davon überzeugt, dass Mitarbeiter, denen besonderer Zugang zu sensiblen Daten und Code gewährt wurde, ein Gefühl des Privilegs oder gar Anspruchs auf das geistige Eigentum entwickeln. Oft führt ein Trigger-Ereignis – etwa eine verweigerte Beförderung, Desillusionierung im Job oder finanzielle Probleme – diese Insider auf die „dunkle Seite“.

Unglücklicherweise sind diese berechtigten Insider in der perfekten Lage, auf die Zieldaten zuzugreifen, da sie täglich mit diesen Dokumenten arbeiten müssen und entsprechend Zugriff haben. Sie können die Dokumente kopieren oder ausdrucken, ohne dabei Verdacht zu erregen.

Laut CMU CERT weisen Insider oft ein digitales Verhalten auf, das beachtet werden sollte (z.B. Zugriff auf Verzeichnisse zu ungewöhnlichen Zeiten oder das Versenden von Dateien per E-Mail an Außenstehende), aber auch nicht-digitale Indizien wie z.B. überhöhte Ausfallzeiten und Spesenabrechnungen. Zusammengenommen können diese Verhaltensmuster der IT-Sicherheit die nötigen Hinweise geben um entsprechende Vorkehrungen zu treffen, damit der Datendiebstahl eingedämmt oder sogar zu gestoppt werden kann.

Granulare Nutzerverhaltensanalyse

Trotz dieser schwierigen Ausgangslage haben IT-Sicherheitsteams einige Vorteile bei der Verteidigung gegen Insider: Sie können beobachten, woran wichtige Mitarbeiter arbeiten und wie kritische Informationen genutzt werden. Vorausgesetzt, sie wissen, wo sich diese sensiblen Daten befinden. Deshalb müssen IT-Verantwortliche sämtliche Dokumente, die vertrauliches geistiges Eigentum enthalten, identifizieren und klassifizieren sowie deren Verwendung beobachten. Besondere Wachsamkeit muss dabei den kritischen Dateien, Ordnern und Postfächern gelten.

Dabei führt kein Weg an intelligenter Nutzerverhaltensanalyse (User Behaviour Analysis/UBA) vorbei. Diese Technologie ist in der Lage, Benutzerdaten und Netzwerkaktivitäten zu überwachen und Abweichungen von Standardmustern zu erkennen. Gerade wenn es um die potenziell gefährlichen berechtigten Insider geht, sollten UBA-Lösungen in der Lage sein, Informationen über die Inhalte generieren, diese einzubinden und mit der Zugriffshistorie zu kombinieren, damit die IT-Abteilung ungewöhnliche Aktivitäten auswerten kann. Nur im richtigen Kontext werden Muster sichtbar und tatsächlich verdächtiges Verhalten identifizierbar.

Werfen das Verhalten und die Muster Fragen auf, sollten die IT-Sicherheitsverantwortlichen mit dem entsprechenden Mitarbeiter sprechen: Die Forscher des CMU CERT weisen darauf hin, dass es durchaus abschreckend wirken kann, potenzielle Insider wissen zu lassen, dass sie beobachtet werden. Die Wissenschaftler haben auch entdeckt, dass Insider oft persönliche Probleme (Ehe, Alkohol, Familie) in ihren E-Mails erwähnen, die sie für Insider-Diebstahl empfänglich machen können. Das Scannen nach bestimmten Schlüsselwörtern in E-Mails sowie das Überwachen von E-Mail-Aktivitätsmustern kann helfen, diese möglichen Anzeichen aufzudecken. Bei der NSA und anderen Sicherheitsbehörden müssen Mitarbeiter damit rechnen, dass sie überwacht werden. In Unternehmen ist dies natürlich nicht ohne Weiteres möglich. Hier sollte stets eine Abstimmung und enge Zusammenarbeit mit dem Betriebsrat erfolgen. Zumal diese E-Mails alleine auch nichts aussagen. Auch hier kommt es auf den Kontext an: Stehen diese Mails in Zusammenhang mit parallelen ungewöhnlichen Dateiaktivitäten, sieht alles nach dem Beginn einer Insider-Bedrohung aus.

Ein effektiver Ansatz beinhaltet mehr als die UBA-Technologie und muss Unterstützung etwa aus der Personal- und Rechtsabteilung beinhalten. Die Geschäftsführung muss zudem den Wert des geistigen Eigentums des Unternehmens deutlich machen, beispielsweise durch restriktive Zugriffsrechte nach dem need-to-know-Prinzip oder NDAs. Wertvolles Eigentum muss entsprechend geschützt werden. Genau diesem Ansatz liegt auch die neue EU-Know-how-Richtlinie zugrunde: Geschäftsgeheimnisse werden nur noch als solche betrachtet, wenn sie durch „den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen“ geschützt werden. Ein weiterer Grund also, den Schutz seiner wertvollsten Assets, den Daten, voranzutreiben.

Autor: Thomas Ehrlich, Country Manager DACH von Varonis Systems