Foto: Klaus Eppele/Fotolia.com
Datenverluste sind ein Tabuthema. Wer Kunden- oder Geschäftsinformationen verliert, möchte darüber nicht reden, zumindest nicht öffentlich. Wird doch einmal etwas bekannt, will niemand schuld sein. Vorbeugend lässt sich einiges gegen das "Abfließen" von Daten unternehmen; die "Pille danach" gibt es nicht, zumal oft Wochen oder Monate vergehen können, bis etwas bemerkt wird.
Im Ernstfall reagieren Security-Verantwortliche oft kopflos und wissen nicht mit der Situation umzugehen. "Wenn es brennt, löschen Sie ja auch im seltensten Fall selbst, sondern rufen lieber die Feuerwehr", sagt Robert Haist, Penetrationstester beim Tübinger Sicherheitsdienstleister SySS. Deshalb sei es wichtig, sich professionelle Hilfe zu holen oder idealerweise auf ein bereits vorher eingerichtetes internes Krisenteam samt Notfallplan zurückgreifen zu können. "Wir sind de facto nichts anderes als ein mietbares Notfallteam. 90 Prozent unserer Arbeit vor Ort besteht aus Informations-Management - was sollte wie, wann und an wen kommuniziert werden", erläutert der Experte.
Foto: SySS
Erst im zweiten Schritt gehe es um die konkreten IT-forensischen Analysen des (möglichen) Sicherheitsproblems. Doch wie bekommen Dienstleister wie SySS überhaupt mit, dass und wo etwas passiert ist? "Ohne ein langjähriges Vertrauensverhältnis haben wir keine Chance, etwas zu erfahren", sagt Dirk Reimers, Sicherheitsberater bei Secunet Security Networks. Er verantwortet Penetrationstests und IT-Audits nach einem entdeckten Datenleck. Nur diejenigen Kunden, zu denen die Geschäftsbeziehung lange Jahre gewachsen sei, bemühten sich bei derartigen Vorfällen aktiv um Hilfe - sofern sie denn überhaupt mitbekämen, dass sie ein Problem haben: "Es kommt selten vor, dass ein Vorfall unmittelbar entdeckt wird. Viele Unternehmen hatten noch nie einen Penetrationstest und stoßen deshalb nur zufällig auf ein Sicherheitsleck", schildert Haist. Er macht zudem das fehlende Angebot für die vergleichsweise geringe Zahl von Hilfesuchenden verantwortlich. Die meisten Dienstleister versuchen, es bei den Firmen erst gar nicht so weit kommen zu lassen. Geschieht es dann doch, stehen die Unternehmen im Regen. "Es gibt kaum Anbieter, die sich auf Dienstleistungen nach einem entdeckten Datenleck spezialisiert haben", so Haist. Die wenigen, die es gebe, litten zudem unter akutem Personalmangel: "Wir suchen im Moment wieder fünf Forensik- und Incident-Response-Experten." Ausgebildete Fachkräfte seien gegenwärtig kaum zu bekommen. Damit geselle sich zu der Scheu, nach einem Sicherheitsproblem überhaupt Hilfe zu suchen, auch noch die Unwissenheit über mögliche Anlaufstellen.
Der Meldemarathon nach dem GAU
Diese "Bremseffekte" werden durch die langen Meldewege noch verstärkt. In vielen Fällen ist bereits die dritte oder vierte Hierarchiestufe erreicht, bevor jemand etwas unternimmt. Vermutet ein Mitarbeiter ein Sicherheitsproblem oder stellt konkret fest, dass Daten in die falschen Hände gelangt sein könnten, berichte er an den IT-Leiter oder CIO, dieser dann an den Vorstand. In Großunternehmen kämen häufig auch noch Revision und Aufsichtsrat ins Spiel, bevor ein Dienstleister eingeschaltet werde. Solange keine zusätzlichen Mittel für eine forensische Analyse bewilligt werden müssen, kommt es in kleinen und mittelständischen Firmen laut Haist zwar auch vor, dass sich der CIO direkt an den Dienstleister wendet - aber auch das dauere oft.
Ganz gleich, wie viel Zeit inzwischen vergangen oder wie groß das mögliche Ausmaß eines Datenlecks auch ist: Das Ziel jeder Auditierung ist es, die Lücke zu schließen, mögliche neue Schwachstellen aufzuspüren und im besten Fall eine langfristig angelegte Security-Strategie für die Zukunft auszuarbeiten. Das ist kein leichtes Unterfangen: "Nur in fünf bis zehn Prozent der untersuchten Fälle hängt mit einem Incident nur eine einzige Schwachstelle zusammen - meist wird diese lediglich als Eintrittspunkt ins System genutzt, um weitere Datenbanken oder Systeme anzugreifen", erzählt Haist. Er habe mit seinem Team mitunter zehn Monate in einem Unternehmen verbracht, um alle Systeme zu untersuchen, zu patchen und zukunftstauglich zu machen. Gerade in kleinen und mittleren Unternehmen (KMU) seien die Infrastrukturen oft auf einem veralteten, unsicheren Soft- und Hardwarestand. Aber selbst Großunternehmen sind nicht gefeit: "Die Probleme ziehen sich durch alle Unternehmensgrößen und auch quer durch alle Branchen", berichtet der SySS-Experte.
Der Innentäter
Bleibt die Frage: Wer greift die IT-Systeme an und möglicherweise sensible und vertrauliche Daten ab? "Nicht immer ist ein unbefugter Zugriff von außen verantwortlich", erläutert Reimers. "Ein häufiges Szenario sei der Datenabfluss von innen - sowohl vorsätzlich als auch unbeabsichtigt. "Das bekommen Unternehmen nur selten mit, da der entsprechende Mitarbeiter die Berechtigung besaß, bestimmte Daten auszulesen." Hier gehe es dann zumeist darum, später nachweisen zu können, dass auf bestimmte Daten zugegriffen wurde, sollten diese beispielsweise beim Wettbewerber landen. Ebendieser Nachweis gelingt in der Praxis aber oft nicht: "Was bleibt, ist die Hoffnung, dass der Mitarbeiter es nicht noch einmal macht." Nur in größeren Unternehmen mit mehr als 500 Angestellten sei eine Log-Management- und Monitoring-Infrastruktur so weit gediehen, dass sich nachvollziehen lasse, wer wann auf welche Daten zugegriffen habe. Wo es daran fehle, liege das meist an dem enormen Verwaltungsaufwand, der oft weder personell noch finanziell zu stemmen sei. Darüber hinaus müssten bei derartigen IT-Systemen die Mitarbeiterrechte (Stichwort Leistungskontrolle) gewahrt werden, was entsprechende Betriebsvereinbarungen voraussetze, so Reimers. "Ab und zu haben unsere Kunden noch einen alten Linux-Server in der Ecke stehen, auf dem sich Logfiles der vergangenen fünf Jahre befinden", erzählt Haist. Die Regel sei das jedoch nicht. Was die Nachvollziehbarkeit von Angriffen angeht, stellt er klar: "Wir sind technische Berater, keine Privatdetektive und auch nicht die Polizei. Das Weitgehendste, was wir tun, ist, einen Bericht zu liefern, in dem steht: Der Username YZ auf Rechner XY hat Folgendes getan." Niemals werde in der forensischen Analyse direkt auf Menschen geschlossen, zumal nie ausgeschlossen werden könne, dass ein bestimmter Client im Zuge eines vorsätzlichen Datenzugriffs beispielsweise durch den Command-and-Control-Server eines Botnets fremdgesteuert worden sei.
Der Außentäter
Attacken von außen sind leichter zu erkennen als solche von innen: Ein erhöhtes Datenaufkommen von und zu einer externen IP-Adresse beispielsweise lasse sich durchaus als Anzeichen eines unerlaubten Zugriffs werten, erklärt Reimers. Die genaue Herkunft bleibe hingegen zumeist völlig im Dunkeln - Tunneling, Botnetz-Aktivitäten und mehrfache Proxy-Umleitungen seien an der Tagesordnung. Die meisten Angreifer-Clients befänden sich laut IP-Adresse in Asien und Russland, so Haist - aber auch das müsse eben wegen der Verfügbarkeit zahlreicher technischer Hilfsmittel nicht bedeuten, dass sich auch die Angreifer selbst dort aufhalten: "Wir stellen fest, dass die digitale Industriespionage zunimmt." Die über öffentliche Netze verfügbaren Datenmengen sorgten für eine Zunahme der Spionageinteressen und damit auch für mehr Attacken von außen. Insgesamt sei die Zahl der von SySS untersuchten Sicherheitsvorfälle aber seit Jahren konstant.
Was ist strafbar, was nicht?
Foto: PricewaterhouseCoopers
Eine Stagnation der Fallzahlen beobachtet auch Ralph Noll, IT-Forensiker bei der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (PwC) - zumindest im Bereich der Wirtschaftskriminalität: "Bei IT-forensischen Untersuchungen zeigt sich in etwa der Hälfte der Fälle, dass die Täter aus den eigenen Reihen stammen. Unsere Studie zur Wirtschaftskriminalität, in der wir geschädigte Unternehmen befragen, bestätigt diese Quote." Er bemängelt, dass trotz dieser Zahlen die Innentäter in Abwehrstrategien häufig nicht berücksichtigt würden: "Die IT-Sicherheitsmaßnahmen konzentrieren sich jedoch vor allem auf die Abwehr externer Täter."
Datenintegrität wahren
Wirtschaftsprüfer wie Noll nehmen im Zuge der Prüfung von Korruptions- oder Veruntreuungsfällen häufig die IT-Systeme genau unter die Lupe, um festzustellen, wann welche Daten wohin geflossen sind. "Hat ein Kunde eine Straftat entdeckt, wünscht er sich schnellstmöglich eine vollständige Aufklärung", berichtet der IT-Forensiker, der in strafrechtlich relevanten Fällen oft auch direkt mit den Ermittlungsbehörden zusammenarbeitet. Hier unterscheiden sich die mit Berufspflichten ausgestatteten Wirtschaftsprüfer von den kein öffentliches Amt ausübenden Penetrationstestern und IT-Auditoren.
Obwohl die Zahl der untersuchten Daten-unfälle derzeit nicht zunimmt, werden die forensischen Untersuchungen bei den PwC-Wirtschaftsprüfern umfangreicher. Durch den wachsenden "Gerätezoo" in den Unternehmen steige auch die Zahl der zu untersuchenden digitalen Daten, berichtet Noll.
Krisenteams im Einsatz
Wenn ein Verdacht auf Datendiebstahl bestehe, sei es zwingend erforderlich, umgehend neutrale Experten einzuschalten - auch um die Integrität beispielsweise von Logfiles zu wahren. "Interne Untersuchungen reichen meist nicht aus", stellt er klar und betont, dass im Sinne der Glaubwürdigkeit und Unabhängigkeit - vielfach aber auch im Rahmen gesetzlicher Vorgaben - ein objektiver Blick auf IT-Systeme unabdingbar ist. Das heißt aber nicht, dass betroffene Unternehmen intern gar nicht tätig werden sollen: Ein Notfallteam lässt sich im Idealfall sofort einsetzen, um anhand eines Notfallplans Informationsflüsse und Maßnahmen zu steuern.
Oft ist es die finale Aufgabe im Rahmen eines Audits durch Dienstleister wie SySS und Secunet, einen solchen Plan auszuarbeiten respektive aktuellen Gegebenheiten anzupassen. "Es lassen sich keine pauschalen Aussagen darüber treffen, wie die Notfallstrategie genau auszusehen hat", erläutert Haist. Verantwortliche sollten sich aber zumindest schon einmal Gedanken über mögliche Szenarien machen.
Das Wichtigste aus seiner Sicht ist ein Notfallteam, ein sogenanntes CERT (Computer Emergency Response Team) aus PR-Leuten, IT-Experten und Juristen, die im Fall der Fälle sofort wüssten, wer wann worüber wie zu informieren ist und welche weiteren Experten eingeschaltet werden müssen. Und wenn es nur um die Aufstellung einer Telefonliste gehe, die im entscheidenden Moment viel Zeit spare. "Manchmal suchen wir erst einen halben Tag lang nach den Telefonnummern von dem und dem Ansprechpartner, bevor wir mit der eigentlichen Arbeit beginnen können", so der Penetrationstester. Wirtschaftsprüfer Noll bestätigt, dass er selbst bei Großunternehmen nicht immer einen Notfallplan vorfindet, in dem die wichtigsten Telefonnummern stehen. Sein Fazit: "Leider sorgen immer noch viele Unternehmen erst vor, wenn sie bereits geschädigt wurden." So unheimlich und komplex das Thema Datenabfluss also erscheinen mag, die erste Hilfe nach dem GAU beginnt immer schon mit den kleinen Dingen.