Inside Jobs - Innentäter

Der blinde Fleck der IT-Sicherheit

Sven Erik Knop ist seit 2007 bei der Firma Perforce Software in Wokingham, UK tätig und arbeitet jetzt als Senior Technical Specialist für das Produktmarketing-Team. Zuvor war er als Entwickler und Datenbankadministrator tätig, und betreute dann als Berater und Trainer weltweit Kunden bei der Einführung und Optimierung der Versionsverwaltung. Er hält regelmäßig Vorträge bei Konferenzen und veröffentlicht Artikel zu Themen wie Continuous Delivery und Versionierung. 
Angriffe auf das geistige Eigentum der Unternehmen durch Innentäter werden immer noch unterschätzt. Effektiven Schutz gegen Inside Jobs versprechen Verhaltensanalysen.

Ob in der Automobilindustrie, im Maschinen- und Anlagenbau oder auch im Konsumgüterbereich - die Digitalisierung macht vor keiner Branche halt. Dies gilt auch für den Kern der Wertschöpfung eines jeden Unternehmens: sein geistiges Eigentum. In dem Maße, wie die Digitalisierung den Nutzen des geistigen Eigentums zu steigern hilft, setzt sie es gleichzeitig auch erhöhten Risiken wie Verlust oder Diebstahl aus. Dass es sich dabei nicht um eine rein theoretische Gefahr handelt, haben die Angriffe und Skandale der letzten Zeit gezeigt - mehr noch: Hundertprozentige Sicherheit ist in der digitalen Welt eine Illusion. Und genau deshalb ist IT-Sicherheit kein rein technisches Problem. Vielmehr ist sie als Teil des Risikomanagements der Unternehmen anzusehen und zu behandeln. Und hier müssen neben der Technik auch Menschen und Prozesse mit einbezogen werden. IT-Security-Anbieter und Analystenhäuser haben in ihren Angeboten und Aussagen auf diese Entwicklung reagiert und ergänzen die Bedrohungsabwehr um immer mehr Lösungen und Konzepte zur Bedrohungsanalyse oder -aufklärung - alles unter der Annahme, dass Angriffe erfolgreich sind.

Den Schaden, den Innentäter in Unternehmen anrichten, wird gerne unterschätzt. Dabei überwiegt die Anzahl der Inside Jobs die der Angriffe von außen bei weitem.
Den Schaden, den Innentäter in Unternehmen anrichten, wird gerne unterschätzt. Dabei überwiegt die Anzahl der Inside Jobs die der Angriffe von außen bei weitem.
Foto: Pepgooner - shutterstock.com

So erkennen Unternehmen einen Inside Job

Dabei konzentriert sich die Diskussion vor allem auf Angriffe von außen. Allerdings stehen Innen- und Außenangriffe nach Schätzungen des Bundesamts für Verfassungsschutz im Verhältnis 70 zu 30. Die Diskussion spiegelt also mitnichten die tatsächliche Bedrohungslage wider. Doch wie soll man die Risiken die von Innentätern ausgehen bewerten? Woran erkennt man einen Inside Job - vor allem vor dem Hintergrund des deutschen Arbeitsrechts, das eine Überwachung von Arbeitnehmern nur sehr eingeschränkt zulässt? Eine Antwort lautet: Man erkennt das Risiko eines Inside Jobs an verdächtigem Verhalten, genauer gesagt an Abweichungen des Verhaltens gegenüber dem "normalen" Verhalten eines Arbeitnehmers im historischen Vergleich.

Angenommen, ein Anwender wird beim Zugriff auf ein wichtiges Entwicklungsprojekt beobachtet, das er - gemessen an seinem historischen Zugriffsverhalten - normalerweise nicht aufruft. Außerdem greifen seine Kollegen ebenfalls nicht auf das Projekt zu. Diese Aktion könnte ein Verdachtsmoment sein. Würde sie jedoch isoliert betrachtet könnte sie einen falschen Alarm auslösen. Schließlich wäre es ja auch möglich, dass der Ingenieur vor kurzem eine neue Rolle oder Aufgabe übernommen hat. Doch was wäre wenn dieser eine Datei zu einer Tages- oder Nachtzeit aufgerufen hat, zu der er niemals zuvor gearbeitet hat? Wenn er darüber hinaus auf Dateien aus einem anderen - seit Monaten inaktiven - Projekt zugegriffen hat und wenn das bewegte Datenvolumen aus den verschiedenen Projekten ungewöhnlich hoch war? Je mehr Ereignisse mit hohem Risikowert ein einzelner Anwender in kurzer Zeit erzeugt, desto geringer ist die Wahrscheinlichkeit, dass es sich um einen Zufall oder falschen Alarm handelt.

User-based analytics unterstützen Verhaltensanalysen

Verhaltensanalysen beleuchten nicht das einzelne Ereignis, sondern Muster und Beziehungen die durch das Verhalten der Anwender entstehen. Dadurch lassen sich Risiken oder Bedrohungen Anwendern, Projekten und Zeiträumen unmittelbar zuordnen. Die Informationen sind stets und sofort verfügbar, so dass Aufwand und Kosten im Vergleich zu klassischen, forensischen Projekten deutlich sinken. Quelle dieser Informationen sind Versionierungslösungen zur Verwaltung geistigen Eigentums. Dabei fallen notwendigerweise Metadaten an, die als perfekte Grundlage für Verhaltensanalysen dienen können. Wer arbeitet gerade an welchem Objekt? Wer hat welche Datei ein- und ausgecheckt? Freilich geben solche anonymisierten Verhaltensanalysen nur Hinweise auf eine eventuelle Straftat, liefern also keine hieb- und stichfesten Beweise. Allerdings sind diese Hinweise begründet und erlauben dadurch eine fundierte Risikobewertung in Zusammenarbeit mit Arbeitnehmervertretern. Auf dieser Basis lässt sich entscheiden, ob dem Verdacht nachgegangen und die Anonymität im Einzelfall aufgehoben werden soll. Führende Analystenhäuser sehen hier sogar eine neue Produktkategorie am Horizont "leuchten": "user-based analytics" (UBA). So wichtig also Bedrohungsanalyse und -aufklärung zur Abwehr von Angriffen von außen sind, so wenig werden Unternehmen in Zukunft auf Verhaltensanalysen verzichten können. Denn nur so lassen sich Angriffe auf das geistige Eigentum von innen erkennen, bevor es zu spät ist.

Die UBA-Chance: Know-How entscheidet

Für Systemhäuser und Beratungsunternehmen bietet der wachsende UBA-Markt eine ungeheure Chance. Auch typische Reseller können sich hier von der Konkurrenz positiv abheben. Voraussetzung ist jedoch in allen Fällen, Know-how zum Thema Risikomanagement, Verhaltensanalysen und damit zusammenhängenden Regularien aufzubauen. Wer Kunden dabei helfen kann herauszufinden, welche Assets welchen Risiken unterliegen und wie sich Verhaltensanalysen ausschließlich als Sicherheitswerkzeug und nicht als Kontrollinstrument einsetzen lassen, gewinnt. (fm)