Die Angst vor Insider-Threats wächst. So äußerten sich 91 von 100 im Rahmen einer letztjährigen Deloitte-Studie befragten Finanzdienstleister besorgt über ihre Unfähigkeit, der Bedrohung von innen entgegenzuwirken. 71 Prozent wiederum führten den "Faktor Mensch" als Ursache für das Gros ihrer Sicherheitsvorfälle an. Die Sorge ist berechtigt, denn der Verlust oder Diebstahl von Daten kann neben hohen Kosten Compliance-bezogene Probleme und Geldstrafen zur Folge haben, aber auch erhebliche Produktivitätsverluste nach sich ziehen und das Firmenimage nachhaltig schädigen.
Unternehmen sollten sich daher nicht nur auf die Abwehr externer Gefahren konzentrieren, sondern auch ihren Mitarbeitern, Vertragspartnern und Managed-Service-Providern genauer auf die Finger sehen. Angesichts der hohen Zugriffsrechte, die diese Insider in der Regel zur Erfüllung ihrer Aufgaben benötigen, kann es allerdings eine echte Herausforderung sein, hier entsprechende Riegel vorzuschieben. Die Kollegen von der amerikanischen COMPUTERWOCHE-Schwesterpublikation "Network World" haben daher gemeinsam mit Bill Whitney, CTO bei Ion Networks, die gängigsten Methoden identifiziert, die Insider nutzen, um auf Firmenressourcen zuzugreifen, und beschreiben, wie sich damit verbundene Gefahren abwenden lassen.
Offener File-Transfer
Die meisten Firmen nutzten den offenen File-Transfer zum Patchen ihrer Netzinfrastruktur. Interne Techniker und Anbieter setzen diesen wenig gesicherten unbeschränkten Zugriff zur Fehlersuche sowie zum Einspielen von Fixes und Beheben von Problemen ein. Diese Freiheit lässt sich jedoch auch nutzen, um Dateien zu verändern, kritische Komponenten zu entfernen oder den Systembetrieb zu unterbrechen, was Ausfälle, Verunstaltungen der Firmen-Site, Datendiebstahl oder andere Schäden zur Folge haben kann.
Verärgerte oder ehemalige Mitarbeiter könnten ihr diesbezügliches Wissen für solche Aktionen nutzen, aber auch dem Unternehmen wohl gesonnene Beschäftigte machen versehentlich Fehler. Um dem vorzubauen, gilt es, den Up- und Download von Dateien zu kontrollieren - und alle Systemveränderungen sowie Angaben dazu, wer diese vorgenommen hat, abrufbar aufzuzeichnen. Um den offenen File-Transfer zu beschränken und zu überwachen, mussten bislang allerdings auf jedem einzelnen System individuelle Berechtigungen eingerichtet werden - was die IT-Teams entsprechend Nerven kostete. Mittlerweile gibt es jedoch neue Techniken, etwa VAC-Systeme (Vendor Access and Control), die den Zugriff beschränken und die Aktivitäten firmenweit oder auf bestimmten Systemen überwachen können.
Offene Telnet- und SSH-Ports
Unternehmen, die den Remote-Zugriff auf Systeme über Drittanbieter realisieren, sollten Telnet- und SSH-Ports entweder schließen oder hinreichend absichern. Ohne diesen Schutz benötigt ein Remote-Techniker lediglich eine einzige interne IP-Adresse, um ohne Wissen des Unternehmens in dessen Firmennetz zu gelangen. Sich darauf zu verlassen, dass der Remote-Techniker nur über begrenztes Wissen des firmenspezifischen IP-Adressen-Schemas verfügt, ist riskant - möglicherweise hat er ja direkt vor Ort bei der Firma gearbeitet. Zudem wird für Infrastruktur-Equipment häufig ein gemeinsames und leicht zu erratendes Passwort eingesetzt, was es Insidern erleichtert, sich Zugriff auf unautorisierte Geräte zu verschaffen.
Als Standardpraxis empfiehlt es sich, den Systemzugriff via Telnet und SSH für die Techniker von Drittanbietern auf den typischen Umfang ihrer Dienstleistungen zu beschränken - es sei denn, die Session wird aufgezeichnet oder von einem Firmenmitglied aktiv überwacht. Alternativ lassen sich zwischengeschaltete Systeme als Proxy für diese Sitzungen nutzen, um Kontrolle und Nachvollziehbarkeit zu gewährleisten.
Ports von Server-Konsolen
Techniker verbinden sich häufig über serielle Konsolen-Ports, die Router und Linux/Unix-Server bereitstellen. Um skalierbaren Zugriff zu ermöglichen, verbinden sich Unternehmen meist mit seriellen Konsolen-Ports, indem sie Terminal-Server benutzen. Letztere bieten jedoch standardmäßig nur minimale Sicherheit. Mit dem Zugriff auf einen einzigen Terminal-Server könnte sich ein Insider Zugriff auf tausende Systeme verschaffen und diese lahm legen. Daher ist es ratsam, Terminal-Server regelmäßig auf ihre Sicherheitsfähigkeiten hin zu überprüfen und die Konsolen-Ports von Systemen, auf denen sich sensible Finanz-, Kunden- oder Personaldaten befinden, mit Security-Devices abzusichern.
Unkontrollierter Extranet-Traffic
Extranets ermöglichen Unternehmen, ihre Netze gegenüber Anbietern, Kunden und Partnern zu öffnen, um eine Zusammenarbeit in Echtzeit zu unterstützen. Extranets funktionieren halbwegs vernünftig, so lange die Zahl der Systeme, die von Außenstehenden mitgenutzt werden sollen, überschaubar ist und sich der jeweilige Autorisierungsgrad auf diesen Rechnern genau kontrollieren lässt. Sind viele IT-Komponenten über Extranets verbunden, kann es jedoch problematisch werden: Häufig wird versehentlich zuviel Zugriff gewährt, auch lassen sich die Aktionen nicht genau überwachen und kontrollieren. VAC-Systeme können hier eine zusätzliche Kontrollschicht bieten, um Sabotage oder Datendiebstahl vorzubauen. (kf)