Der Feind im eigenen Haus

11.07.2005
Gegen Gefahren von außen wird die IT inzwischen meist recht aufmerksam verteidigt. Es mangelt jedoch oft noch an der Abwehr interner An- und Übergriffe. Neue Tools sollen geschäftskritische Informationen auch gegen Risiken schützen, die von Mitarbeitern ausgehen.

"Der Innentäter ist noch immer als größtes Risiko zu beachten", schrieb das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang des Jahres in seinen zehn Thesen zum Schutz unternehmenskritischer Infrastrukturen. Während die Absicherung der IT nach außen wegen der Hacker-, Wurm-und Virengefahr in den vergangenen Jahren regelrecht boomte, fristet die innere Sicherheit ein Nischendasein. Das soll sich bald ändern: Von den USA ausgehend, entsteht ein Softwaremarkt, der Lösungen für dieses spezifische Problem verspricht.

70 Prozent aller Straftaten gegen die IT eines Unternehmens oder mit Hilfe der IT werden laut der US-Bundespolizei von Innentätern begangen. Selbst wenn das FBI zu hoch geschätzt hätte und nur jeder dritte Angreifer im Unternehmen säße, stünde die Verteilung der Sicherheitsbudgets in einem krassen Widerspruch zur tatsächlichen Bedrohung.

Extrusion-Prevention-Tools allein reichen nicht aus, sie erhöhen aber die Hemmschwelle für den internen Datenmissbrauch, sagt Gartner-Analyst Carsten Casper
Extrusion-Prevention-Tools allein reichen nicht aus, sie erhöhen aber die Hemmschwelle für den internen Datenmissbrauch, sagt Gartner-Analyst Carsten Casper

Inzwischen beginnen jedoch Unternehmen, die Gefahr von innen ernst zu nehmen. Ein Grund sind die regulatorischen Vorgaben in den USA. Verantwortlich ist einerseits der Sarbanes-Oxley Act, der die Einrichtung und Überwachung interner Kontrollmechanismen fordert. Zudem müssen Unternehmen Verstöße unmittelbar melden. Im medizinischen Bereich hat etwa das "HIPAA" abgekürzte Gesetz den Datenschutz für Patienteninformationen verschärft. Der Bundesstaat Kalifornien verpflichtet zudem alle Unternehmen (Senate Bill 1386), bei Verlust von persönlichen Informationen die Betroffenen davon zu unterrichten. In gleicher Weise sind speziell Finanzdienstleister vom "Gramm-Leach-Bliley Act" betroffen. Das alles sorgt für Bewegung in den Sicherheitsbudgets, denn die angedrohten Strafen sind hoch.