Schutz vor Insider Threat mit DLP, UBM, SIEM und Forensik

Absichern gegen Innentäter

26.11.2018
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Die Gefahr durch Datenlecks aus dem Inneren des Unternehmens darf nicht unterschätzt werden. Verschiedene Sicherheitskonzepte sollen dieses Problem lösen.

Unternehmensdaten gegen Bedrohungen von innen abzusichern, ist ein nicht zu unterschätzender Teil der Sicherheitsstrategie. Laut dem Insider Threat Index 2018 von Data Loss Prevention (DLP)-Anbieter Clearswift, sollen in Europa die Insider-Bedrohungen zwar leicht gesunken sein aufgrund gesteigerter Sensibilität für kritische Daten und deren Schutz durch die verschärften Vorgaben der DSGVO.

Dennoch mache die direkte Bedrohung durch böswillige oder unachtsame Mitarbeiter 38 Prozent der Vorfälle aus. Im erweiterten Unternehmen (inklusive Zulieferer, Kunden und ehemalige Mitarbeiter) sollen es sogar 75 Prozent sein. Für die Studie wurden 400 IT-Entscheider aus Unternehmen mit mehr als 1.000 Mitarbeitern in Deutschland, Großbritannien und den USA befragt.

Auch in Deutschland nehmen laut der IDC-Studie "IT-Security in Deutschland 2018" uninformierte oder fahrlässige Mitarbeiter mit 37 Prozent den Spitzenplatz der Risikofaktoren innerhalb von Unternehmen ein. Das Gefahrenpotential durch vorsätzliches Fehlverhalten oder Datenmissbrauch wird von 28 Prozent der 230 befragten Organisationen in Deutschland mit mehr als 20 Mitarbeitern als Security-Risiko bezeichnet.

Schwarze Schafe unter den Mitarbeitern sind eine ernstzunehmende Bedrohung für die Sicherheit der Unternehmensdaten.
Schwarze Schafe unter den Mitarbeitern sind eine ernstzunehmende Bedrohung für die Sicherheit der Unternehmensdaten.
Foto: fotografaw - shutterstock.com

Motivation für die internen Attacken ist laut einer weiteren internationalen Befragung von Clearswift aus dem Jahr 2017 oft die Geldgier. Demnach wären ein Drittel der befragten 500 Entscheidungsträger und 4.000 Angestellten in Deutschland, Großbritannien, den USA und Australien bereit, vertrauliche Unternehmemsinformationen ihres Arbeitgebers zu verkaufen, wenn der Preis stimme.

Innentäter aus Leidenschaft

Es geht jedoch nicht immer um den schnöden Mammon. Die Ursachen und Motive hinter der Gefährdung durch den eigenen Mitarbeiter sind vielfältig und reichen von fehlender Schulung und Unkenntnis der Arbeitsprozesse bis hin zu Unzufriedenheit am Arbeitsplatz und Whistleblowing. Emotionen spielen also ebenfalls eine wichtige Rolle.

In diesem Zusammenhang wirft der 2018 Data Exposure Report von Code42, Anbieter von Endpoint-Daten-Backup & Recovery, Sichtbarkeit und Forensik, ein interessantes Schlaglicht auf die Führungsebene. Der Anbieter hat dazu 1.034 Sicherheits- und IT- sowie 600 betriebliche Entscheider von Unternehmen mit mindestens 250 Mitarbeitern in DACH, dem Vereinigen Königreich und den USA befragt.

Der Umfrage zufolge entwickeln 65 Prozent der betrieblichen Entscheider ein starkes Gefühl des persönlichen Eigentums für ihre Arbeit. Diese emotionale Bindung führe zu vorsätzlichen Verstößen gegen Unternehmensrichtlinien und macht sie so zu Innentätern.

Obwohl 78 Prozent der CEOs der Meinung seien, dass geistiges Eigentum einer der wertvollsten Vermögenswerte in ihren Unternehmen sei, sollen laut der Code42-Umfrage 93 Prozent eine Kopie ihrer Arbeit auf einem persönlichen Gerät außerhalb des offiziell genehmigten Unternehmensspeichers aufbewahren.

Des Weiteren räumten fast drei Viertel der CEOs (72 Prozent) und 49 Prozent der betrieblichen Entscheider ein, schon einmal geistiges Eigentum von einem früheren Arbeitgeber mitgenommen zu haben.

Angesichts dieser Zahlen bekommt die interne Bedrohungslage eine neue qualitative Dimension. Das Risiko schwerwiegender Datenlecks vervielfacht sich, wenn diejenigen im Unternehmen mit dem weitreichendsten Zugriff auf die sensibelsten Informationen am wahrscheinlichsten gegen Sicherheitsmaßnahmen verstoßen, weil sie sich am intensivsten mit ihrer Arbeit identifizieren.

Doch wie lässt sich in einem solchen Umfeld das Gefahrenpotential minimieren?

Abriegeln - DLP

Der erste Ansatzpunkt, um Insider Threats zu verhindern, sind die Insider selbst. Sensibilisierung und Schulung bezüglich geltender Compliance-Richtlinien und praxisnahe Trainings im korrekten Umgang mit Unternehmensdaten verringern zumindest die Wahrscheinlichkeit versehentlicher Verstöße. Derlei Maßnahmen helfen jedoch nicht gegen vorsätzlichen Datenklau. Dafür braucht es handfeste Sicherheits-Technologien.

Data Loss Prevention (DLP)-Lösungen sollen automatisiert verhindern, dass sensible Daten das Unternehmen verlassen. Dazu werden bestimmte Regeln definiert, wer auf welche Daten zugreifen und sie bewegen darf. Aufgrund dieser Regeln werden laufend die Geräte-, Netzwerk- oder Cloud-Aktivitäten beobachtet. Bei Verstößen wird meist der Zugriff oder Transfer geblockt, bevor die Daten das Unternehmen verlassen können - das sogenannte Stop-and-block.

Diese Regeln müssen im Vorfeld per Hand festgelegt werden und es kann unter Umständen einige Zeit in Anspruch nehmen, die richtige Balance in Sachen Berechtigungen zu finden. Sind sie zu streng, verhindern beispielsweise False Positives, dass eigentlich berechtigten Personen der Zugriff gewährt wird. Sind die Regeln zu locker, steigt das Risiko für Datenlecks. Zudem können durch die Blockade Prozesse längerfristig stoppen, was sich negativ auf das Geschäft auswirkt.

Die Regelwerk einer DLP-Lösung muss detailliert ausbalanciert werden, um das Business nicht zu behindern.
Die Regelwerk einer DLP-Lösung muss detailliert ausbalanciert werden, um das Business nicht zu behindern.
Foto: Alexander_Borisenko - shutterstock.com

Symantec mindert dieses Problem in seiner DLP-Lösung auf verschiedene Arten. So kann zum Beispiel der Benutzer bei vorher als unkritisch definierten oder mehrdeutigen beziehungsweise nicht eindeutigen Verstößen gegen Datenrichtlinien über ein Popup-Fenster auf dem Bildschirm aufgefordert werden, eine Aktion zu rechtfertigen. Hierdurch kann der Prozess fortgesetzt werden, wenn die Rechtfertigung gegeben ist. Offensichtlich bösartige Aktivitäten oder hochsensible Daten werden hingegen weiterhin geblockt.

Zudem können durch eine identitätsbasierte Verschlüsselungs- und Digital-Rights-Management-Lösung mit Integration zwischen DLP, Verschlüsselung und VIP-Authentifizierung Dokumente über mehrere Kanäle (Austauschserver, SharePoint, USB, Cloud, E-Mail) verschlüsselt werden. So können nur autorisierte Benutzer diese Daten einsehen, während andere weiterhin an der Kommunikation bzw. Kollaboration teilnehmen, ohne jedoch auf die vertraulichen Ressourcen zugreifen zu können.

Clearswift nutzt sogenanntes "Adaptive DLP", um zu strenges Stop-and-block zu verhindern. Hier werden sensible Informationen in Echtzeit und kontextsensitiv (was wird von wem wohin übertragen) beispielsweise beim Versand einer E-Mail oder dem Kopieren von Daten auf einen USB-Stick, entfernt oder verschlüsselt, ohne den Vorgang als Ganzes zu unterbinden.

Abschätzen - UBA

Eine weitere Möglichkeit, Datenlecks zu identifizieren und zu stopfen, bevor sie geschehen, ist User Based Analytics, kurz UBA. Das Verfahren kann Teil einer umfangreicheren Security Information and Event Management (SIEM)-Lösung sein, es gibt jedoch auch einige eigenständige Ansätze.

Dabei wird das Verhalten der Mitarbeiter überwacht und mit ihren "normalen" Verhaltensweisen, die historisch hinterlegt sind, und dem aktuellen Kontext verglichen. Gibt es Abweichungen, die sich nicht erklären lassen, wird dies als hohes Risiko klassifiziert und die Lösung schlägt bei der IT Alarm. Bei der Bewertung durch die UBA-Lösung spielen zahlreiche Faktoren eine Rolle. Darunter Fragen wie "Hat der Mitarbeiter in seiner Funktion einen Grund, auf diese Ressourcen zuzugreifen?", "Greift er zu dieser Tageszeit normalerweise darauf zu?" oder "Ist das bewegte Datenvolumen ungewöhnlich hoch?"

Splunk UBA, generiert dazu für jeden Nutzer, jedes Gerät und jede Anwendung eine kontinuierlich und eigenständig lernende Daten-Grundlage, auf Basis derer Abweichungen von "normalem" Verhalten identifiziert werden. Das Tool weist jedem Nutzer beziehungsweise Account einen Wert zu, der die jeweilige Intensität der Bedrohung widerspiegelt, wodurch präventive Maßnahmen gegen die "Top böswilligen Anwender" getroffen werden können.

Quest Software nutzt für seine UBA-Variante "Change Auditor Threat Detection" eine ähnliche Herangehensweise. Über den Einsatz von Machine Learning (ML), künstlicher Intelligenz (KI) und Scoring-Algorithmen werden Benutzer- und Entity-Verhalten analysiert und diejenigen mit dem höchsten Risiko in einer Umgebung identifiziert.

Die Profilerstellung via UBA beinhaltet personenbezogene Daten und ist daher bezüglich Datenschutz eine heikle Angelegenheit.
Die Profilerstellung via UBA beinhaltet personenbezogene Daten und ist daher bezüglich Datenschutz eine heikle Angelegenheit.
Foto: Pressmaster - shutterstock.com

Dass diese und ähnliche Überwachungsmethoden gerade im Licht deutscher Datenschutzbestimmungen sehr heikel und erklärungsbedürftig sind, dürfte niemanden überraschen. Bert Skorupski, Senior Manager, Sales Engineering bei Quest Software, kommentiert aus Hersteller-Sicht: "Es ist datenschutzrechtlich oftmals ein schmaler Grat zwischen dem Schutz der Unternehmens-IT und dem Schutz der Persönlichkeitsrechte der Mitarbeiter."

Es sei erforderlich, das Nutzerverhalten der Mitarbeiter zu dokumentieren, um gegebenenfalls auffälliges Verhalten zu erkennen. Jedoch gebiete der Datenschutz, dass diese Dokumentation nur einem kleinen Kreis von IT-Security-Experten zugänglich gemacht werden dürfe. Dies solle außerdem nur dann passieren, wenn diese Monitoring-Analysen notwendig seien, um eine Sicherheitsverletzung forensisch zu klären.

Aus rechtlicher Perspektive gestaltet sich die Sache jedoch noch schwieriger. Petra Gummermann, Rechtsanwältin CIPP/E bei Cyberlegal, umreißt einen Teil der notwendigen Maßnahmen: "Vereinfacht ausgedrückt gibt die DSGVO den Rahmen für die Möglichkeiten zur Dokumentation von Mitarbeiterverhalten vor: Rechtsgrundlage, Dauer der Verarbeitung und Ausrichtung am jeweiligen Zweck." Kontinuierliches, pauschales Überwachen aller Mitarbeiter sei praktisch nie gerechtfertigt.

Es müsse ein zwingender Sicherheitsaspekt, der das Monitoring notwendig mache, bestehen und die Überwachung in individuellen Einwilligungs- oder übergreifenden Betriebsvereinbarungen transparent und detailliert festgehalten werden. Des Weiteren gelte es, unter Anderem rechtskonforme Speicher-, Dokumentations- und Löschkonzepte aller erhobenen personenbezogenen Daten zu implementieren. Neben der DSGVO seien zudem auch weitergehende Vorgaben beispielsweise des Betriebsverfassungsgesetztes (BetrVG) und neuen Bundesdatenschutzgesetzes (BDSG-neu) einzuhalten. Sollte ein Unternehmen also erwägen, derartige Überwachungsmaßnahmen einzusetzen, sollte dringend im Vorfeld eine umfassende Rechtsberatung eingeholt werden.

Abschwächen - SIEM

So wasserdicht das DLP-Regelwerk und ausgefeilt die UBA-Kriterien auch sein mögen, oft finden Angreifer doch einen Weg, die Sicherheitsmaßnahmen zu umgehen. In diesem Fall brauchen Unternehmen einen Mechanismus, der frühzeitig über die Schwachstelle informiert, sodass Gegenmaßnahmen ergriffen und der Schaden minimiert werden kann. Hier kommt das angesprochene Security-Information- und Event-Management (SIEM) ins Spiel.

Nach Definition von Gartner dient es dazu, Event-Daten, die von Sicherheitskomponenten, der Netzwerkinfrastruktur, Systemen und Anwendungen generiert werden, zusammenzufassen und an einer zentralen Stelle auszuwerten. Die hauptsächliche Datenquelle sind Log-Dateien. Es können jedoch auch andere Datenformen wie Netzwerkpakete, NetFlow oder kontextuelle Informationen über Nutzer, Assets usw. innerhalb und außerhalb des Unternehmens verarbeitet werden, um die Logs und Rohdaten anzureichern.

Diese Daten werden anschließend normalisiert, das heißt sie werden vereinheitlicht und die Relationen in der Datenbank so zerlegt, dass Anomalien nicht auftreten können und Redundanzen vermieden werden, sodass sich Informationen aus verteilten Quellen zentral in Beziehung setzen und analysieren lassen. Dies ermöglicht schließlich die Korrelation von sicherheitsrelevanten Events in Echtzeit, Abfragen und Analysen historischer Auswertungen sowie die Untersuchung von Vorfällen und Compliance-Reporting.

SIEM sammelt und korreliert eine Vielzahl an Informationen zu Vorfällen aus verschiedenen Datenquellen im Unternehmen.
SIEM sammelt und korreliert eine Vielzahl an Informationen zu Vorfällen aus verschiedenen Datenquellen im Unternehmen.
Foto: LeoWolfert - shutterstock.com

Damit können sowohl nachträgliche Ereignisse rekonstruiert als auch in Echtzeit auf aktuelle sicherheitsrelevante Bedrohungen reagiert werden.

In der Bereitstellung sind SIEM-Lösungen meist sehr flexibel und es können oft weitere Komponenten für UBA, Risikomanagement oder Netzwerk-Monitoring zugeschaltet werden.

So bietet beispielsweise IBM seine QRadar-Lösung als On-Premise-Lösung über eine alleinstehende oder verteilte Architektur, als physische oder virtuelle Appliances, Software oder in der Cloud als SIEM-as-a-Service an.

Gleiches gilt für Wettbewerber LogRhythm, der SIEM als Teil seiner Threat Lifecycle Management Platform als Software, physische oder virtuelle Appliances offeriert. Zudem können die einzelnen Kern-Komponenten der Lösung als separate Bausteine genutzt werden, um verschiedene Architekturen zu unterstützen. Sie lässt sich on-premise, als Infrastructure-as-a-Service (IaaS) oder in hybridem Betrieb bereitstellen.

Allen vollwertigen SIEM-Lösungen ist jedoch gemein, dass die Inbetriebnahme relativ aufwändig ist. Es müssen viele verschiedene Datenquellen und Sicherheits-Tools zusammengeführt, implementiert und konfiguriert werden. Das macht die Einführung teuer und langwierig, während die Administration recht komplex und ressourcenintensiv ausfällt. Kleinere Unternehmen könnten daher gezwungen sein, auf die Variante als Managed Service ausweichen. Zudem kann die Public Cloud zu Problemen führen, da einige SIEM-Lösungen diesen "fremden" Teil der Infrastruktur noch nicht einsehen können und so der ganzheitliche Charakter der Absicherung verloren geht.

Absuchen - Forensik

Ein wichtiger Teil des Schutzes gegen Insider-Bedrohungen ist das Nachvollziehen von Schwachstellen, um sie in der Zukunft zu schließen. Hierzu bieten sich Forensik-Lösungen an, die Datenbewegungen eindeutig historisch nachvollziehen können. Man denke beispielsweise an den Abgasskandal oder die Edathy-Affäre. Mit einer Forensik-Lösung könnte man genau nachvollziehen, wann wer wo welche Version welcher Dateien in Besitz hatte.

Forensik-Anwendungen sind meist an andere Sicherheitslösungen angeschlossen und ermöglichen das rasche Durchsuchen der zugehörigen Datenquellen nach bestimmten Dateien.

Code42 Forensic File Search ist dazu beispielsweise mit der hauseigenen Endpoint-Daten-Backup & Recovery-Lösung gekoppelt. Während des Backup-Vorgangs (in der Regel alle 15 Minuten) über den Client auf den Endgeräten legt die Cloud-Anwendung einen parallelen Index an. In diesem Index werden die Metadaten einer Datei wie etwa ihr MD5-Hashwert, eine Art 128 Bit langer "Fingerabdruck", oder das Änderungsdatum hinterlegt. Im Ernstfall kann der Administrator oder Datenschutzbeauftragte über die Google-ähnliche Suchleiste der Lösung per Volltext-Suche diesen Index durchforsten.

So erhält er für jede Version jeder Datei eine Historie darüber, wer sie wann wo bearbeitet, umbenannt oder verschoben hat. Durch die Verzahnung mit dem Backup kann sogar von berechtigen Personen auf die jeweilige Datei-Version selbst zugegriffen und deren Inhalt direkt eingesehen werden. Allerdings funktioniert dies momentan nur für Endpunkte (Laptops und Desktop-PCs) sowie die Cloud-Services Google Drive und Microsoft OneDrive. Um die gesamte Funktionalität nutzen zu können ist zudem die Cloud-Backup-Komponente des Anbieters zwingend notwendig.

Ähnliche Funktionen bietet Quest IT Security Search (ITSS), das als Teil verschiedener Produkte des Herstellers verfügbar ist, darunter die "Enterprise Reporter Suite" oder der "Change Auditer". Auch hier wird eine Google-ähnliche Suchmaske geboten. Abhängig davon, welche anderen Lösungen angebunden sind, lässt sich Auskunft über bestehende Berechtigungen und deren Nutzung geben. Darunter fallen Zugriffsberechtigungen, gegebenenfalls getätigte Berechtigungsänderungen und alle Zugriffe auf die Dateien. ITSS gibt jedoch nicht direkt Einblick in die Dateien selbst.

Aus Fehlern lernen: Forensik-Lösungen helfen dabei, Datenpannen schnell aufzuklären und Schwachstellen schließen.
Aus Fehlern lernen: Forensik-Lösungen helfen dabei, Datenpannen schnell aufzuklären und Schwachstellen schließen.
Foto: Prath - shutterstock.com

Diese und vergleichbare Lösungen erlauben es, den Schaden, der durch Insider angerichtet wurde, zu evaluieren und rasch Gegenmaßnahmen zu treffen. Auch die Einhaltung von rechtlichen Vorgaben, wie die 72-Stunden-Frist gemäß DSGVO zur Benachrichtigung der betroffenen Personen bei einem schweren Datenleck, wird damit erleichtert.

Analog zu UBA-Lösungen stellt sich jedoch auch hier die Frage nach dem Datenschutz der Anwender. Wenn genau nachvollzogen werden kann, welcher Mitarbeiter zu welchem Zeitpunkt welche Datei bearbeitet hat, sind das personenbezogene Daten, und diese fallen unter die oben angerissenen rechtlichen Bedingungen gemäß DSGVO etc. Da keine unbegrenzte Aufzeichnung gestattet ist, entstehen Lücken in der einsehbaren Historie, was die Aussagekraft der forensischen Analysefunktionen beeinträchtigt. Hier bedarf es also einer genauen Betrachtung im Einzelfall, welche Möglichkeiten und Grenzen die Überwachung hat und ob sich der Einsatz vor diesem Hintergrund überhaupt lohnt.

Kritische Introspektive im Trend

"Insider Threats rücken mehr und mehr ins Bewusstsein der zuständigen Sicherheitsbeauftragten," kommentiert Thomas Henk, Head of Product Sales, Cyber Security, Mobility & IoT bei der Nuvias Deutschland GmbH, die aktuelle Sensibilität für das Thema im Markt. Auch die DSGVO habe dazu beigetragen, dass Unternehmen verstärkt ein Auge darauf hätten, wer intern welche Daten sehen und darauf zugreifen darf.

Der Value Added Distributor stellt fest, dass seine Partner immer häufiger aufgefordert würden, geeignete Strategien für Kunden zu entwerfen, um innerhalb von Datenströmen Richtlinien- und Compliance-Verletzungen rechtzeitig zu erkennen und möglichst auch in Echtzeit zu unterbinden.

Ein Allheilmittel für die interne Bedrohung gibt es laut Henk jedoch nicht, denn "die Tools und Lösungen variieren hinsichtlich der Anforderungen des Kunden." Dabei spielen Faktoren wie das eigene Sicherheitsniveau, das Budget, die Anzahl der Mitarbeiter mit Zugriff auf businessrelevante Daten und viele weitere Parameter eine große Rolle.

Zudem kommt das Thema am Ende des Tages in Henks Augen wieder auf seinen Ursprung zurück: "In seiner Gesamtheit betrachtet, spielt nach wie vor das Thema 'Awareness' eine große Rolle, damit sich jeder Mitarbeiter als wichtiger Bestandteil der IT-Sicherheitskultur eines Unternehmens begreift."

Der Risiko-Faktor Mitarbeiter selbst bleibt also im Moment noch essenzieller Teil für den Schutz gegen sich selbst. Und das macht Insider Threat weiterhin zu einer Herausforderung, die viel Zündstoff für Konflikte auf technischer, betrieblicher und rechtlicher Ebene bereithält.