Sicherheit: Der Feind im eigenen Haus

Alexander Freimark wechselte 2009 von der Redaktion der Computerwoche in die Freiberuflichkeit. Er schreibt für Medien und Unternehmen, sein Auftragsschwerpunkt liegt im Corporate Publishing. Dabei stehen technologische Innovationen im Fokus, aber auch der Wandel von Organisationen, Märkten und Menschen.
Gegen Angriffe von außen wird die IT inzwischen verteidigt, doch es mangelt an internen Kontrollen. Neue Tools sollen geschäftskritische Informationen schützen.

Hier lesen Sie ...

  • wieso der Informationsmissbrauch durch Mitarbeiter ein kritisches Thema für Unternehmen ist;

  • welche Unternehmen mit kriminellen Mitarbeitern bereits schlechte Erfahrungen gemacht haben;

  • mit welchen technischen Verfahren man Innentätern das Handwerk legen kann.

Der Mitarbeiter gilt nach wie vor als größtes Sicherheitsrisiko in Unternehmen (Foto: Photodisc).
Der Mitarbeiter gilt nach wie vor als größtes Sicherheitsrisiko in Unternehmen (Foto: Photodisc).

"Der Innentäter ist noch immer als größtes Risiko zu beachten", schrieb das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang des Jahres in seinen zehn Thesen zum Schutz unternehmenskritischer Infrastrukturen. Die Aussage ist beileibe nicht neu, aber immer noch aktuell. Während die Absicherung der IT nach außen wegen der Hacker-, Wurm- und Virengefahr in den vergangenen Jahren regelrecht boomte, fristet die innere Sicherheit ein Nischendasein. Das soll sich bald ändern: In den USA entsteht ein Venture-Kapital-gestützter Softwaremarkt, der Lösungen für dieses spezifische Problem verspricht.

Kollegen vertrauen einander

Auf rund 70 Prozent beläuft sich der Anteil der Straftaten, die von innen gegen die IT eines Unternehmens oder mit Hilfe der IT begangen werden. Der Wert entstammt einer mehrere Jahre zurückliegenden Umfrage der US-amerikanischen Bundespolizei FBI, hat sich jedoch inzwischen als Richtgröße in der IT-Szene etabliert. Selbst wenn der Anteil sehr hoch gegriffen scheint - würde nur jeder dritte Angreifer im Unternehmen sitzen, stände die Verteilung der Sicherheitsbudgets auch schon in einem krassen Widerspruch zur tatsächlichen Bedrohung. Der Denkfehler: Außen drohen böse Hacker; im Unternehmen hingegen arbeiten Kollegen, die man schon seit Jahren kennt und denen man vertraut.

Inzwischen beginnen jedoch einige Anwender, die interne Bedrohung ernst zu nehmen. Ein Grund sind die regulatorischen Vorgaben in den USA. Verantwortlich ist einerseits der Sarbanes-Oxley Act, der die Einrichtung und Überwachung interner Kontrollmechanismen fordert. Zudem müssen Unternehmen Verstöße unmittelbar melden. Im medizinischen Bereich hat etwa das "HIPAA" abgekürzte Gesetz den Datenschutz für Patienteninformationen verschärft. Der Bundesstaat Kalifornien verpflichtet zudem alle Unternehmen (Senate Bill 1386), bei Verlust von persönlichen Informationen die Betroffenen davon zu unterrichten. In gleicher Weise sind speziell Finanzdienstleister vom "Gramm-Leach-Bliley Act" betroffen. Das alles sorgt für Bewegung in den Sicherheitsbudgets, denn die angedrohten Strafen sind hoch.

Inhalt dieses Artikels