Daten besser vor Spionage schützen

Wurde Ihr Unternehmen schon einmal Opfer gezielter Spionageversuche? Oder geriet vertrauliche Information durch versehentliches oder absichtliches Fehlverhalten von Mitarbeitern oder Geschäftspartnern in falsche Hände? Welche Folgen hätte das für Sie und Ihr Unternehmen? Einer Studie von Corporate Trust1 zufolge waren über 20 Prozent der befragten deutschen Unternehmen bereits von Spionagevorfällen betroffen.

Nimmt man die Zahl der nicht weiter konkretisierten oder nicht eindeutig nachweisbaren Fälle hinzu, so beläuft sich der Anteil auf über 54 Prozent. Mit einem Schadensanteil von knapp 25 Prozent sind hauptsächlich mittelständische Unternehmen Opfer solcher Machenschaften. In weit mehr als der Hälfte aller Fälle kommen die Täter aus der eigenen Belegschaft. Der Gesamtschaden wird auf 4,2 Milliarden Euro beziffert. Nicht zuletzt durch die zunehmende Globalisierung wird sich die Gesamtsituation in den kommenden Jahren noch verschärfen. Es ist also angebracht, die verfügbaren Schutzmaßnahmen etwas genauer zu betrachten.

Seit einiger Zeit werden im Markt Lösungen zum Schutz von Informationen auf der Basis von Dateien unter verschiedenen Bezeichnungen wie Information-Rights-Management (IRM), Digital-Rights-Management (DRM), Enterprise-Rights-Management (ERM) oder Enterprise-Digital-Rights Management (E-DRM) angeboten. Da sie sich in ihrer Funktion und den zugrunde liegenden Mechanismen stark ähneln, werden sie im Folgenden gemeinschaftlich als IRM bezeichnet. Diese Technik hat das Potenzial, einen signifikanten Beitrag zum verbesserten Schutz sensibler Informationen zu leisten.

Natürlich sind schon mehr oder weniger komplexe technische Schutzvorkehrungen im Einsatz. Hierzu zählen unter anderem ausgefeilte Berechtigungskonzepte in Anwendungen oder Dateiverzeichnissen, Überwachung von Schnittstellen, Verschlüsselung auf Datei- oder Device-Ebene sowie sichere Übertragungsprotokolle auf den verschiedenen Netzwerkschichten wie beispielsweise Transport Layer Security (TLS) oder Hypertext Transfer Protocol Secure (HTTPS). Nicht zu vergessen sind auch die organisatorischen Maßnahmen wie zum Beispiel Verhaltensrichtlinien oder Schulungsprogramme für Mitarbeiter zur Informationssicherheit.

Industriespionage in Deutschland
Die Security-Firma Corporate Trust hat zusammen mit Brainloop und dem TÜV Süd knapp 600 Unternehmen zu ihren Erfahrungen mit Industriespionen befragt. Zumeist antwortete der Geschäftsführer oder ein Vorstandsmitglied. Die Autoren der Studie "Industriespionage 2012 Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar" werten das als Indiz dafür, dass Security heutzutage Chefsache ist.

Jedes fünfte Unternehmen war bereits Spionageziel
Gut jedes fünfte Unternehmen wurde in den vergangenen drei Jahren zumindest einmal Opfer von Industriespionage. Gegenüber der vergangenen Erhebung aus dem Jahr 2007 hat sich der Wert leicht erhöht. Damals gaben 18,9 Prozent der Befragten mindestens einen Vorfall zu Protokoll.

Viele Verdachtsfälle
Ein erklecklicher Teil der Firmen hat die Vermutung, dass es bereits einen Fall von Industriespionage gab. Unterm Strich hat sich demnach mehr als jedes zweites Unternehmen in den vergangenen drei Jahren mit Industriespionage auseinandersetzen müssen.

Mittelstand ist besonders betroffen
Wird die Zahl der Spionagefälle mit der Zahl der Befragten aus kleinen, mittelständischen und großen Unternehmen korreliert, dann zeigt sich, dass verhältnismäßig oft werden mittelständische Firmen angegriffen werden.

Spionageziel Fertigung
Gefährdet sind insbesondere Unternehmen aus den Fertigungsbranchen und Finanzdienstleister.

Angriffe lassen sich orten
Die meisten Unternehmen können die Vorfälle lokalisieren, nur weniger blieben diesbezüglich ratlos zurück. Bei der Auswertung zeigt sich, dass große Gefahr vor allem in Europa und Nordamerika besteht.

Zumeist Schäden bis zu 100.000 Euro
Das Groß der Schäden beläuft sich auf Beträge zwischen 10.000 und 100.000 Euro. Sehr große finanzielle Verlust gibt es insbesondere in Konzernen zu beklagen.

Immenser Gesamtschaden
Wenngleich die einzelnen Vorfälle selten Riesensummen verschlingen, summiert sich der Gesamtschaden zu der imposanten Zahl von jährlich rund 4,2 Milliarden Euro. Im Vergleich zur Studie 2007 (2,8 Milliarden Euro) entspricht dies einem Anstieg um 50 Prozent.

Die Gefahr lauert im eigenen Haus
Oft sind die eigenen Mitarbeiter die Industriespione, wenngleich sie oft unbewusst Informationen weitergeben. Doch insgesamt zeigt sich, dass überall Gefahrenquellen lauern.

Die Einfallstore
Ein beliebtes Mittel der Spione sind Hackerangriffe. Während 2007 nur bei 14,9 Prozent aller Fälle ein Hackerangriff als konkrete Spionagehandlung zugrunde lag, waren es 2012 bereits 42,4 Prozent.

Die Folgekosten
Die finanziellen Schäden entstehen in der Regel durch Rechtstreitigkeiten und Imageschäden. Mehr als ein Drittel der Befragten berichtet von konkreten Umsatzeinbußen.

Mitarbeiter werden ausgespäht
Meistens sitzt der Täter im eigenen Haus. Externe Hacker arbeiten zudem häufig mit internen Mitarbeitern zusammen oder spähen Angestellte im Internet aus (Social Engineering) aus.

Sicherheit ist Chefsache
In vielen Firmen werfen die Geschäftsführer einen kritischen auf die Prozesse und Einrichtungen. Erwartbar war, dass auch die IT-Abteilungen eine bedeutende Rolle spielen, verfügen sie doch über das erforderliche technische Know-how.

Passwortschutz ist Standard
Passwort-geschützten IT-Systeme sind heute Standard in vielen Unternehmen, anders sieht es bei der Verschlüsselung aus.

Defizite werden nicht behoben
Obwohl den meisten Unternehmen bekannt ist, dass mobile Datenträger und Geräte besonders gefährdet sind, treffen wenige Firmen entsprechende Vorkehrungen.

Attacken Steueranlagen
Angriffe auf Steuerungsanlagen gefährden die Produktion. Der bekannteste Fall ist der Wurm Stuxnet, doch auch abseits der öffentlichkeitswirksamen Angriffe gibt es offenbar viele vergleichbare Vorfälle.

Umweltschäden drohen
Attacken auf die Steueranlagen können enorme Folgen zeigen. Fast immer ziehen sie finanzielle Verluste nach sich, häufig drohen bei entsprechenden Angriffen aber auch Umweltschäden.

Die gefährliche Seite der Mobility
Der Job der Security-Verantwortlichen wird nicht einfacher. Der Trend zum mobilen Endgerät erschwert die Absicherung der Installationen, und mit der Verbreitung leistungsstarker Smartphones sinkt zudem das Bewusstsein der Mitarbeiter für die IT-Sicherheit.

Was tun gegen Social Engineering?
Nacharbeiten sind in allen Segmenten erforderlich. Auf die relativ neue Bedrohung durch geschicktes Ausspähen von Mitarbeiter in sozialen Netzen habe viele Unternehmen noch keine Antwort gefunden.

Sicherheit der Geschäftsprozesse ist gefährdet

Und dennoch kommt die eingangs zitierte Studie zu diesen äußerst bedenklichen Ergebnissen. Zum einen mag das daran liegen, dass möglicherweise die genannten Schutzvorkehrungen noch effektiver eingesetzt und überwacht werden könnten. Andererseits besitzen sie systembedingt aber auch Grenzen, werden mit zunehmender Effizienz unverhältnismäßig komplex oder decken die Sicherheitsbedürfnisse nicht über den vollständigen Verlauf der Geschäftsprozesse ab, wie folgende Beispiele zeigen:

• Kontrollverlust durch Vernetzung: Die Überwachung aller Schnittstellen und Kommunikationskanäle ist sehr aufwendig oder praktisch nicht möglich. Es gibt unzählige bekannte und gegebenenfalls auch nicht berücksichtigte Verbreitungswege für Informationen.

• Kontrollverlust außerhalb der Reichweite der Schutzmaßnahme: Auch wenn Informationen verschlüsselt übertragen wurden, verlieren sie beim autorisierten Zugriff ihren (technischen) Schutz vollständig. Ist beispielsweise eine Datei erst einmal entschlüsselt, so hat der Anwender vollen Zugriff auf die Inhalte und kann diese beliebig weitergeben, ändern oder löschen.

• Komplexitätsproblem bei der Datenfilterung: Filter in Lösungen zur Data Leakage Prevention (DLP) müssen komplexe Analysen von Daten in verschiedensten Sprachen und Dateiformaten (beispielsweise Text- oder Binärformate) durchführen. Ein vollständiger Schutz ist nur theoretisch erreichbar.

• Fehlhandlungen von Benutzern: Informationen können unabsichtlich oder vorsätzlich weitergegeben werden. Unbeabsichtigtes Fehlverhalten wird oftmals noch durch Usability-Probleme in den technischen Lösungen begünstigt.

IRM verschlüsselt Dateien und steuert Berechtigungen

Genau an diesen Stellen setzt IRM an. Es wird die Strategie verfolgt, die Schutzvorkehrungen möglichst nahe am eigentlich zu schützenden Objekt, also der zu schützenden Information, zu platzieren. Konkret bedeutet dies, dass eine Verschlüsselung auf Basis von Dateien erfolgt, die somit unabhängig vom verwendeten Speicher- oder Transportmedium ist. Zudem können detaillierte Berechtigungen für die weitere Verwendung der enthaltenen Informationen vergeben werden. Hierzu zählen die klassischen Rechte zum Lesen und Ändern von Inhalten sowie die Möglichkeit, das Ausdrucken, das Kopieren markierter Bereiche in die Zwischenablage (Copy-and-Paste-Funktion), das Speichern und die Konvertierung in andere Dateiformate zu unterbinden.

Die Besonderheit ist hierbei, dass die Rechteerteilung zeitlich befristet erfolgen kann und sogar ein nachträglicher Entzug von Berechtigungen grundsätzlich möglich ist. Zum einen ermöglicht dies beispielsweise, externen Mitarbeitern die Zugriffsrechte für vertrauliche Dateiinhalte nur für eine gewisse Projektphase zu erteilen. Nach Ablauf der Frist kann die betreffende Person nicht mehr zugreifen, obwohl sie immer noch im Besitz der Datei ist. Zum anderen können im Fall der Störung eines bislang bestehenden Vertrauensverhältnisses, zum Beispiel wenn einem Mitarbeiter fristlos gekündigt wurde, nachträglich die Rechte entzogen werden, ohne dass man selbst auf die Datei zugreifen können muss.

Publishing und Consuming

IRM-Systeme können in der Regel so eingerichtet werden, dass die Bedienung durch die Benutzer einfach und intuitiv erfolgen kann und Bedienungsfehler weitgehend ausgeschlossen sind. Bei der Verwendung von IRM wird zwischen zwei grundsätzlichen Vorgängen unterschieden:

• der Erzeugung geschützter Dateien, auch Publizieren (Publishing) genannt, und

• dem Zugriff beziehungsweise der Verwendung dieser Dateien, dem sogenannten Konsumieren (Consuming).

Wie bereits erwähnt sind im Markt IRM-Produkte verschiedener Hersteller verfügbar. Teilweise handelt es sich dabei um vollständige Client-Server-Lösungen und andernteils um Erweiterungen für diese Systeme, beispielsweise zur Unterstützung weiterer Dateitypen wie des Portable Document Format (PDF).

Active Directory Rights Management Services von Microsoft

Eine der populärsten IRM-Lösungen sind derzeit die Active Directory Rights Management Services (AD RMS) von Microsoft (MS), anhand derer die technische Funktionsweise nun etwas detaillierter aufgezeigt wird. Wie der Name bereits ausdrückt, ist für den Betrieb eine Active-Directory-(AD)-Umgebung zwingend erforderlich. Zusätzlich werden ein AD RMS Server und AD RMS Clients benötigt. Der AD RMS Server ist als Server-Rolle ab Windows Server 2008 verfügbar, der Client ist im Lieferumfang ab Windows 7 enthalten. Für Windows XP ist er separat erhältlich und muss auf den entsprechenden Arbeitsstationen nachinstalliert werden. Die benötigte Verschlüsselungsinfrastruktur ist bereits vollständig integriert, was bedeutet, dass keine weiteren Komponenten wie beispielsweise eine Public Key Infrastructure (PKI) vorausgesetzt werden. Unterstützt werden die Dateitypen von MS Office, es können also Word-, Excel- und Powerpoint-Dateien entsprechend geschützt werden. Zusätzlich lässt sich IRM auch für E-Mails (Outlook) und die Verwendung mit Sharepoint konfigurieren. Die entsprechenden Anwendungen müssen also vorhanden sein.

Das Publizieren geschützter Dateien erfolgt direkt aus der jeweiligen Office-Anwendung heraus. Mittels des AD-RMS-Clients wird transparent für den Benutzer der entsprechende Dateiinhalt mit dem symmetrischen Verfahren Advanced Encryption Standard (AES) verschlüsselt. Unter anderem werden der hierbei verwendete Schlüssel und die vergebenen Berechtigungsinformationen anhand des RSA-Verfahrens (Rivest, Shamir, Adleman) asymmetrisch mit dem öffentlichen Teil des AD-RMS-Server-Schlüssels verschlüsselt und in einer sogenannten Publishing License (PL) zusammengefasst. Diese PL und die AES-verschlüsselten Inhalte ergeben zusammen die geschützte Office-Datei. Aktuell werden AES-256 und RSA-2048 unterstützt.

Drei Methoden für Benutzerrechte

Für die Vergabe von Berechtigungen gibt es grundsätzlich drei Möglichkeiten. Erstens können die Rechte durch den Benutzer direkt im Dokument mit Hilfe der entsprechenden Office-Anwendung definiert und zugewiesen werden. Hierbei bleibt die Verantwortung für die Korrektheit vollständig beim User, was diesem zwar die maximale Freiheit bei der Rechtevergabe lässt, aber auch mehr Risiko der Fehleranfälligkeit birgt. Zweitens gibt es die Möglichkeit, die Berechtigungen anhand von im AD verwalteten Verteilerlisten zu spezifizieren. Es erfolgt dann lediglich die Auswahl einer solchen Liste, ähnlich der Verwendung von Verteilern beim Versenden von E-Mails, und die anschließende Festlegung der Rechte. Drittens können Berechtigungen in Form von Templates von dafür autorisierten Benutzern vordefiniert werden. Der publizierende User wählt in diesem Fall nur noch eines der vorgegebenen Templates aus.

Beim Konsumieren der Datei stellt die betreffende Office-Anwendung zunächst fest, dass ein IRM-Schutz besteht, und gibt sie an den AD-RMS-Client weiter. Dieser extrahiert die PL und sendet sie an den AD-RMS-Server. Dort wird die PL entschlüsselt und nach erfolgreichen Überprüfungen eine sogenannte Use License (UL) erzeugt. Diese enthält im Wesentlichen die Zugriffsberechtigungen für die zu konsumierende Datei und den zur Entschlüsselung der Inhalte benötigten AES-Schlüssel. Beides ist mit dem öffentlichen Schlüssel des anfragenden Benutzers RSA-verschlüsselt.

Dann wird die UL zurück an der AD-RMS-Client gesendet. Dieser entschlüsselt die erhaltene Information und anschließend den Dateiinhalt. Die Office-Anwendung öffnet die Datei, wertet die für den Benutzer vergebenen Rechte aus und verhält sich entsprechend diesen Vorgaben. Um den Anforderungen des mobilen Arbeitens gerecht zu werden, kann das System so konfiguriert werden, dass nicht bei jedem Öffnen der Dateien eine Verbindung zum AD-RMS-Server aufgebaut werden muss (Offline-Funktion). Die wesentlichen Funktionsmerkmale bleiben dabei zwar erhalten, aber es ergeben sich dennoch Einschränkungen. So wird beispielsweise der Entzug von Berechtigungen nicht unmittelbar wirksam.

An diesem Punkt werden nun die Anforderungen an die betreffenden Benutzeranwendungen klar. Diese müssen mit IRM-geschützten Dateien umgehen und mit dem AD-RMS-Client kommunizieren können. Für das Publizieren sind entsprechende Benutzerdialoge für die Aktivierung der IRM-Funktionalität und die eigentliche Berechtigungsvergabe bereitzuhalten. Beim Konsumieren müssen zudem die definierten Rechte in der Benutzerschnittstelle durchgesetzt werden. Dies kann auf verschiedene Arten erfolgen. Im einfachsten Fall erhält der User eine Fehlermeldung, wenn er eine Aktion durchführen will, für die er keine Berechtigung besitzt. Deutlich benutzerfreundlicher sind Lösungen, bei denen die entsprechenden Interaktionselemente deaktiviert werden.

Fehlende IRM-Standards erhöhen Entwicklungsaufwand

Sofern andere als MS-Office-Applikationen verwendet werden sollen, entsteht beim Einsatz von IRM, falls überhaupt möglich, im Regelfall Entwicklungsaufwand für die Anpassung der Benutzeranwendungen. Die dafür anfallenden Kosten sollten stets in Relation zum erzielten Nutzen betrachtet werden. Unschön ist hierbei auch der Umstand, dass aufgrund derzeit fehlender Standardisierung eine herstellerübergreifende IRM-Unterstützung die Entwicklungsaufwände weiter erhöht. Gegebenenfalls kann auf bereits vorbereitete Produkte zurückgegriffen werden. Beispielsweise bietet Gigatrust ein AD-RMS-fähiges Plug-in für den Adobe Reader an, und auch der Foxit Reader unterstützt AD RMS. Andererseits ist es aber nicht ohne Weiteres möglich, eine mit MS Office publizierte Datei mit OpenOffice zu konsumieren.

Benutzerverwaltung im Active Directory

Eine weitere Herausforderung stellt unter Umständen die Bedingung dar, dass alle teilnehmenden Benutzer im AD verwaltet werden müssen. Sollen beispielsweise externe Mitarbeiter in das IRM einbezogen werden, können diese entweder im internen AD verwaltet werden, oder es müssen Active Directory Federation Services (ADFS) oder anderweitige Trusts implementiert werden. Das erfordert allerdings meist nicht nur technische, sondern auch strategische und organisatorische Entscheidungen.

Fazit

Zusammenfassend lässt sich sagen, dass IRM nicht als Ersatz der eingangs genannten klassischen Schutzmethoden gesehen werden sollte. Es kann aber im Zusammenspiel mit diesen die Sicherheit von Unternehmensinformationen durch das Schließen weiterer Sicherheitslücken deutlich erhöhen. Grundvoraussetzung ist das Bewusstsein über die vorhandenen Informationswerte und deren Klassifikation hinsichtlich ihres Schutzbedarfs. Es ergibt wenig Sinn, pauschal alle Dateien mit IRM zu schützen. Klar ist auch, dass der erzielte Schutz seine Grenzen hat. Natürlich besteht immer die Möglichkeit, Bildschirminhalte abzufotografieren oder Bildschirmwerkzeuge zu verwenden, die Screenshots aufgrund von direkt aus der Grafikkarte ausgelesenen Daten erzeugen. Die Hürden für unabsichtlichen oder vorsätzlichen Missbrauch von Informationen werden aber vergleichsweise deutlich erhöht. (pg)