"Der Innentäter ist noch immer als größtes Risiko zu beachten", schrieb das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang des Jahres in seinen zehn Thesen zum Schutz unternehmenskritischer Infrastrukturen. Während die Absicherung der IT nach außen wegen der Hacker-, Wurm-und Virengefahr in den vergangenen Jahren regelrecht boomte, fristet die innere Sicherheit ein Nischendasein. Das soll sich bald ändern: Von den USA ausgehend, entsteht ein Softwaremarkt, der Lösungen für dieses spezifische Problem verspricht.
70 Prozent aller Straftaten gegen die IT eines Unternehmens oder mit Hilfe der IT werden laut der US-Bundespolizei von Innentätern begangen. Selbst wenn das FBI zu hoch geschätzt hätte und nur jeder dritte Angreifer im Unternehmen säße, stünde die Verteilung der Sicherheitsbudgets in einem krassen Widerspruch zur tatsächlichen Bedrohung.
Inzwischen beginnen jedoch Unternehmen, die Gefahr von innen ernst zu nehmen. Ein Grund sind die regulatorischen Vorgaben in den USA. Verantwortlich ist einerseits der Sarbanes-Oxley Act, der die Einrichtung und Überwachung interner Kontrollmechanismen fordert. Zudem müssen Unternehmen Verstöße unmittelbar melden. Im medizinischen Bereich hat etwa das "HIPAA" abgekürzte Gesetz den Datenschutz für Patienteninformationen verschärft. Der Bundesstaat Kalifornien verpflichtet zudem alle Unternehmen (Senate Bill 1386), bei Verlust von persönlichen Informationen die Betroffenen davon zu unterrichten. In gleicher Weise sind speziell Finanzdienstleister vom "Gramm-Leach-Bliley Act" betroffen. Das alles sorgt für Bewegung in den Sicherheitsbudgets, denn die angedrohten Strafen sind hoch.
Die Risikoformen sind fast unbegrenzt. So werden Geschäftspartner beim Versand vertraulicher Dokumente per E-Mail auf „CC“ gesetzt. Angestellte spionieren und sabotieren im Auftrag von Konkurrenzunternehmen. Server mit geschäftskritischen Informationen stehen ungeschützt im Unternehmensnetz verfügbar. Gekündigte Mitarbeiter kopieren Informationen - von Adressverzeichnissen über Sourcecode bis hin zu strategischen Unterlagen - für den nächsten Job. Mitarbeiter kopieren Kundendaten und verkaufen diese an Spam-Versender.
Die Szenarien entspringen nicht der Fantasie. Der Diebstahl des Sourcecodes von Ciscos Betriebssystem "IOS" vor einem Jahr soll mit Hilfe eines Mitarbeiters gelungen sein. Apple klagt auf die Nennung des Informanten, der US-amerikanische Blogger mit Screenshots von noch nicht angekündigten Tools versorgt haben soll. BMW musste2004 feststellen, dass Konzeptbilder geplanter Modelle den Weg vom Server in die Presse gefunden hatten. Ein AOL-Angestellter gab zu, rund 92 Millionen E-Mail-Adressen von Kunden an Spammer verkauft zu haben. Die Abgrenzung zwischen Innen-und Außentätern ist indes heikel. Gilt ein per VPN angeschlossener Telearbeiter als internes oder externes Risiko? Auch die engere Verflechtung von Lieferanten mit ihren Kunden mache es schwierig, eine klare Grenze zu ziehen, urteilt Gartner-Analyst Carsten Casper. Die Schwachstelle ist dann nicht unbedingt die abgeschottete Konzernzentrale, sondern der Vorposten. Mit einer Firewall und einem Virenscanner sei das Thema Sicherheit eben nicht umfassend abgehandelt. Kommen Verträge mit Dienstleistern und Outsourcern hinzu, steige die Bedrohung an. Dabei sei es irrelevant, ob das externe Personal in Osteuropa, Indien oder Schweinfurt sitzt.
Unter Konzeptnamen wie "Extrusion Prevention" entsteht derzeit, vor allem in den USA, eine neue Gruppe von Softwareprodukten mit dem Ziel, Mitarbeiter am elektronischen Abtransport von Informationen zu hindern. Drei Ansätze verfolgen die Produkte:
Sniffer kontrollieren in heterogenen Netzen die ausgehenden Datenpakete, teils in Echtzeit, teils zeitversetzt. Verstößt ein Dateiversand gegen definierte Regeln, schreitet das Programm ein oder protokolliert das Fehlverhalten. Zu den Anbietern zählen etwa Fidelis Security Systems, Tablus, Vericept und Vontu.
Proxies (Anbieter: Iologics und Vidius) überwachen den Messaging-Verkehr und wenden ebenfalls Regeln auf den übertragenen Content an, für den zuvor Bewegungsprofile festgelegt werden müssen. Wegen ihrer Fokussierung auf den Messaging-Bereich sind sie jedoch nur für spezielle Szenarien nutzbar.
Agenten schließlich werden auf den Unternehmensrechnern eingesetzt und kontrollieren etwa Netzwerkservices, File-Systeme, die Zwischenablage, Speichermedien, den CD-Brenner und den USB-Stick am Arbeitsplatz. Soll beispielsweise der Inhalt einer als vertraulich gekennzeichneten Datei in ein Web-Mail-Fenster kopiert werden, unterbindet dies der Agent. Die Inhalte selbst werden hierbei normalerweise nicht analysiert. Agentensoftware bieten Reconnex, Secureware und Verdasys an.
Egal welches Konzept und welches Produkt: Absolute Sicherheit gegen Datendiebstahl bieten die Werkzeuge nicht. Wenn ein Mitarbeiter etwa vertrauliche Informationen sehen und bearbeiten darf, wird er immer Mittel und Wege finden, diese aus dem Unternehmen hinauszuschmuggeln -und sei es mit Hilfe eines Kamera-Handys. Zumindest haben die Agenten, Proxies oder Sniffer aber Signalwirkung, meint Gartner-Analyst Casper: Schon der Einsatz reduziere daher, über eine gewisse erzieherische Wirkung, die Bedrohung. Casper: "Die Hemmschwelle für einen Missbrauch wird höher."
Alexander Freimark, Redakteur Computerwoche (cwtopics@computerwoche.de)