Datenklau durch Mitarbeiter

Inside Jobs: Was Unternehmen tun können

Florian Maier beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig. Er schreibt hauptsächlich für die Portale COMPUTERWOCHE und CIO.
Es ist ein Horrorszenario, das kein Entscheider erleben möchte: Der Diebstahl von vertraulichen Daten. Allerdings nicht durch Hacker, sondern die eigenen Mitarbeiter.

Die Verhaftung des ehemaligen Booz Allen Hamilton-Mitarbeiters Harold Martin - mutmaßlich im Zuge der NSA-Hack-Affäre - ist nur das aktuellste Beispiel für einen Inside Job, das zeigt, wie real die Bedrohung durch Täter innnerhalb von Unternehmen und Institutionen tatsächlich ist. Security-Experten sind sich deshalb einig: Unternehmen müssen sich vor möglichen internen Bedrohungen besser schützen.

Datenklau durch Mitarbeiter: Status Quo

Natürlich kommt es nicht jeden Tag vor, dass diebische Mitarbeiter ihre sensible, digitale Beute auf dem Schwarzmarkt verhökern - aber es passiert. Und die Vorfälle häufen sich, davon ist Andrei Barysevich vom Security-Dienstleister Flashpoint überzeugt. Das Unternehmen hat sich auf die Durchsuchung von Marktplätzen und Plattformen im Darknet spezialisiert und hält dort ganz gezielt nach sensiblen Unternehmensdaten Ausschau. In einem solchen Fall konnte Flashpoint den Mitarbeiter eines großen IT-Unternehmens identifizieren, der versucht hatte, wertvollen Source Code zu Geld zu machen. Genauer gesagt, wollte er den Programmcode für 15.000 Dollar veräußern.

Viele Unternehmen unterschätzen die Bedrohung, die von Innentätern ausgeht.
Viele Unternehmen unterschätzen die Bedrohung, die von Innentätern ausgeht.
Foto: ra2studio - shutterstock.com

In anderen Fällen konnte Flashpoint weitere Innentäter überführen - unter anderem waren Banken, Healthcare-Unternehmen und Anwaltskanzleien betroffen, unter den gestohlenen Datensätzen befanden sich entsprechend Konto- und Patienteninformationen sowie Daten zu künftigen Börsendeals.

In vielen dieser Fälle, so Barysevich, habe der Inside Job nur deshalb stattfinden können, weil sich niemand im Unternehmen dafür zuständig gefühlt habe, den Zugriff der Mitarbeiter auf geschäftskritische Daten zu kontrollieren. Das sei ein riesiges Problem, so der Sicherheitsexperte. Es sei allen Unternehmen daher nur dringend zu raten, den Zugriff von Mitarbeitern auf kritische Daten einzuschränken: Jeder Angestellte sollte nur auf die Daten zugreifen können, die er auch wirklich für seine Arbeit benötigt. Zudem sei es eine gute Idee, eine Unternehmenskultur zu implementieren, in der sich alle Mitarbeiter der Gefahr durch Innentäter bewusst sind.

Innentäter & Leaks: Steigendes Risiko durch Cloud & BYOD?

Auch beim Cloud-Security-Provider Bitglass hat man sich mit dem Thema Datenklau durch Mitarbeiter beschäftigt: Eine kürzlich veröffentlichte Studie kommt zu dem Ergebnis, dass ein Drittel der befragten Unternehmen im vergangenen Jahr Opfer eines Inside Jobs wurde, bei dem Daten entwendet wurden. Allerdings stecken dahinter nicht immer böse Absichten: In einigen Fällen war auch die Nachlässigkeit Einzelner der Grund für den Datenabfluss.

"Unabsichtlich herbeigeführte Datenlecks sind ebenfalls ein großes Problem", so Salim Hafid von Bitglass. Cloud-basierte Applikationen und BYOD-Policies hätten über die vergangenen Jahre das Risiko von versehentlichen "Leaks" drastisch erhöht. Das Resultat sei, dass mehr und mehr Unternehmensdaten ihren Weg aus dem Firmennetzwerk auf private Smartphones und in Filesharing-Netzwerke finden: "Eine Vielzahl von Unternehmen, die Cloud-Applikationen ausgerollt haben, verspüren überhaupt nicht das Bedürfnis, solche Fahrlässigkeiten zu unterbinden und verfügen deswegen über keinerlei Handhabe, die Bedrohungslage in dieser Hinsicht zu entschärfen."

Inside Jobs: Überwachungs-Tools gegen Datendiebstahl?

Um diesem Trend entgegenzuwirken, bieten etliche Security-Provider inzwischen Produkte und Lösungen an, die den Zugriff auf die sensibelsten Daten eines Unternehmens überwachen. Das in Ungarn beheimatete Security-Unternehmen Balabit hat beispielsweise ein Tool namens Blindspotter entwickelt, das darauf angelegt ist, jedes verdächtige Verhalten von Mitarbeitern im Unternehmensnetzwerk aufzudecken. Dazu kann das Tool nicht nur Maus- und Keyboard-Eingaben überwachen, sondern auch festhalten, wo der Mitarbeiter auf die Daten zugreift und welche Applikationen geöffnet werden, sagt Balabit-CTO Balázs Scheidler. Auf Basis ihrer Beobachtungen errechnet die Software einen Score für verdächtig aussehende Aktivitäten und kann diese im Zweifelsfall auch durch einen Verbindungsabbruch beenden. Ein ziemlich weitgehender Ansatz also, den man bei Balabit verfolgt, wie auch CTO Scheidler klarmacht: "Wir bekommen ziemlich intime Einblicke, was die Mitarbeiter tun. Konventionelle Tools sind dazu nicht in der Lage."

Dass eine derartige Echtzeit-Überwachung von Mitarbeitern nicht überall auf Gegenliebe stoßen dürfte, ist klar - von den jeweiligen gesetzlichen Grenzen eines solchen Vorgehens einmal ganz abgesehen: "Für Unternehmen ist Transparenz und offene Kommunikation gegenüber den Mitarbeitern, die auf eine solche Weise überwacht werden, von essentieller Bedeutung", so Scheidler. Die Überwachung müsse auch nicht alle Mitarbeiter umfassen, sondern könne ausschließlich auf Bereiche mit High-Level-Access - also beispielsweise Administratoren - angewandt werden, die potenziell attraktive Ziele für Hacker, Cyberkriminelle oder Innentäter darstellen.

"Eines der derzeit komplexesten Security-Probleme"

Unternehmen, die Grund zur Annahme haben, dass ein Innentäter am Werk ist, beziehungsweise war, sollten in jedem Fall auf die Unterstützung von Security-Profis zurückgreifen, empfiehlt Eric O’Neill, Security-Stratege bei Carbon Black: "Das sollten Sie nicht alleine in Angriff nehmen, denn das wäre einer Aufklärung nicht dienlich. Solche Vorfälle können sich als heikel erweisen."

Insbesondere dann, wenn es sich bei dem Innentäter um einen solchen handelt, der in böswilliger Absicht handelt und versucht, seine Spuren zu verwischen. Denn um überhaupt abschätzen zu können, welche Daten gestohlen wurden, sei es unerlässlich, so der Experte, die Beweise für einen Inside Job zu finden und sicherzustellen. Übertreiben sollten es Unternehmen mit ihrem Eifer dabei allerdings nicht, so O‘Neill: "Bestimmte Prozeduren könnten dafür sorgen, dass die Mitarbeiter sich wie in einem Polizeistaat vorkommen. Auf der anderen Seite besteht bei vielen Unternehmen und auch Regierungs-Institutionen immer noch ein blinder Fleck, wenn es um die Bedrohung durch Innentäter geht. Das ist eines der derzeit komplexesten Security-Probleme überhaupt."

Mit Material von IDG News Service.