Datenverluste sind ein Tabuthema. Wer Kunden- oder Geschäftsinformationen verliert, möchte darüber nicht reden, zumindest nicht öffentlich. Wird doch einmal etwas bekannt, will niemand schuld sein. Vorbeugend lässt sich einiges gegen das "Abfließen" von Daten unternehmen; die "Pille danach" gibt es nicht, zumal oft Wochen oder Monate vergehen können, bis etwas bemerkt wird.

Im Ernstfall reagieren Security-Verantwortliche oft kopflos und wissen nicht mit der Situation umzugehen. "Wenn es brennt, löschen Sie ja auch im seltensten Fall selbst, sondern rufen lieber die Feuerwehr", sagt Robert Haist, Penetrationstester beim Tübinger Sicherheitsdienstleister SySS. Deshalb sei es wichtig, sich professionelle Hilfe zu holen oder idealerweise auf ein bereits vorher eingerichtetes internes Krisenteam samt Notfallplan zurückgreifen zu können. "Wir sind de facto nichts anderes als ein mietbares Notfallteam. 90 Prozent unserer Arbeit vor Ort besteht aus Informations-Management - was sollte wie, wann und an wen kommuniziert werden", erläutert der Experte.

Erst im zweiten Schritt gehe es um die konkreten IT-forensischen Analysen des (möglichen) Sicherheitsproblems. Doch wie bekommen Dienstleister wie SySS überhaupt mit, dass und wo etwas passiert ist? "Ohne ein langjähriges Vertrauensverhältnis haben wir keine Chance, etwas zu erfahren", sagt Dirk Reimers, Sicherheitsberater bei Secunet Security Networks. Er verantwortet Penetrationstests und IT-Audits nach einem entdeckten Datenleck. Nur diejenigen Kunden, zu denen die Geschäftsbeziehung lange Jahre gewachsen sei, bemühten sich bei derartigen Vorfällen aktiv um Hilfe - sofern sie denn überhaupt mitbekämen, dass sie ein Problem haben: "Es kommt selten vor, dass ein Vorfall unmittelbar entdeckt wird. Viele Unternehmen hatten noch nie einen Penetrationstest und stoßen deshalb nur zufällig auf ein Sicherheitsleck", schildert Haist. Er macht zudem das fehlende Angebot für die vergleichsweise geringe Zahl von Hilfesuchenden verantwortlich. Die meisten Dienstleister versuchen, es bei den Firmen erst gar nicht so weit kommen zu lassen. Geschieht es dann doch, stehen die Unternehmen im Regen. "Es gibt kaum Anbieter, die sich auf Dienstleistungen nach einem entdeckten Datenleck spezialisiert haben", so Haist. Die wenigen, die es gebe, litten zudem unter akutem Personalmangel: "Wir suchen im Moment wieder fünf Forensik- und Incident-Response-Experten." Ausgebildete Fachkräfte seien gegenwärtig kaum zu bekommen. Damit geselle sich zu der Scheu, nach einem Sicherheitsproblem überhaupt Hilfe zu suchen, auch noch die Unwissenheit über mögliche Anlaufstellen.

Der Meldemarathon nach dem GAU

Diese "Bremseffekte" werden durch die langen Meldewege noch verstärkt. In vielen Fällen ist bereits die dritte oder vierte Hierarchiestufe erreicht, bevor jemand etwas unternimmt. Vermutet ein Mitarbeiter ein Sicherheitsproblem oder stellt konkret fest, dass Daten in die falschen Hände gelangt sein könnten, berichte er an den IT-Leiter oder CIO, dieser dann an den Vorstand. In Großunternehmen kämen häufig auch noch Revision und Aufsichtsrat ins Spiel, bevor ein Dienstleister eingeschaltet werde. Solange keine zusätzlichen Mittel für eine forensische Analyse bewilligt werden müssen, kommt es in kleinen und mittelständischen Firmen laut Haist zwar auch vor, dass sich der CIO direkt an den Dienstleister wendet - aber auch das dauere oft.

Ganz gleich, wie viel Zeit inzwischen vergangen oder wie groß das mögliche Ausmaß eines Datenlecks auch ist: Das Ziel jeder Auditierung ist es, die Lücke zu schließen, mögliche neue Schwachstellen aufzuspüren und im besten Fall eine langfristig angelegte Security-Strategie für die Zukunft auszuarbeiten. Das ist kein leichtes Unterfangen: "Nur in fünf bis zehn Prozent der untersuchten Fälle hängt mit einem Incident nur eine einzige Schwachstelle zusammen - meist wird diese lediglich als Eintrittspunkt ins System genutzt, um weitere Datenbanken oder Systeme anzugreifen", erzählt Haist. Er habe mit seinem Team mitunter zehn Monate in einem Unternehmen verbracht, um alle Systeme zu untersuchen, zu patchen und zukunftstauglich zu machen. Gerade in kleinen und mittleren Unternehmen (KMU) seien die Infrastrukturen oft auf einem veralteten, unsicheren Soft- und Hardwarestand. Aber selbst Großunternehmen sind nicht gefeit: "Die Probleme ziehen sich durch alle Unternehmensgrößen und auch quer durch alle Branchen", berichtet der SySS-Experte.

Der Innentäter

Bleibt die Frage: Wer greift die IT-Systeme an und möglicherweise sensible und vertrauliche Daten ab? "Nicht immer ist ein unbefugter Zugriff von außen verantwortlich", erläutert Reimers. "Ein häufiges Szenario sei der Datenabfluss von innen - sowohl vorsätzlich als auch unbeabsichtigt. "Das bekommen Unternehmen nur selten mit, da der entsprechende Mitarbeiter die Berechtigung besaß, bestimmte Daten auszulesen." Hier gehe es dann zumeist darum, später nachweisen zu können, dass auf bestimmte Daten zugegriffen wurde, sollten diese beispielsweise beim Wettbewerber landen. Ebendieser Nachweis gelingt in der Praxis aber oft nicht: "Was bleibt, ist die Hoffnung, dass der Mitarbeiter es nicht noch einmal macht." Nur in größeren Unternehmen mit mehr als 500 Angestellten sei eine Log-Management- und Monitoring-Infrastruktur so weit gediehen, dass sich nachvollziehen lasse, wer wann auf welche Daten zugegriffen habe. Wo es daran fehle, liege das meist an dem enormen Verwaltungsaufwand, der oft weder personell noch finanziell zu stemmen sei. Darüber hinaus müssten bei derartigen IT-Systemen die Mitarbeiterrechte (Stichwort Leistungskontrolle) gewahrt werden, was entsprechende Betriebsvereinbarungen voraussetze, so Reimers. "Ab und zu haben unsere Kunden noch einen alten Linux-Server in der Ecke stehen, auf dem sich Logfiles der vergangenen fünf Jahre befinden", erzählt Haist. Die Regel sei das jedoch nicht. Was die Nachvollziehbarkeit von Angriffen angeht, stellt er klar: "Wir sind technische Berater, keine Privatdetektive und auch nicht die Polizei. Das Weitgehendste, was wir tun, ist, einen Bericht zu liefern, in dem steht: Der Username YZ auf Rechner XY hat Folgendes getan." Niemals werde in der forensischen Analyse direkt auf Menschen geschlossen, zumal nie ausgeschlossen werden könne, dass ein bestimmter Client im Zuge eines vorsätzlichen Datenzugriffs beispielsweise durch den Command-and-Control-Server eines Botnets fremdgesteuert worden sei.

Der Außentäter

Attacken von außen sind leichter zu erkennen als solche von innen: Ein erhöhtes Datenaufkommen von und zu einer externen IP-Adresse beispielsweise lasse sich durchaus als Anzeichen eines unerlaubten Zugriffs werten, erklärt Reimers. Die genaue Herkunft bleibe hingegen zumeist völlig im Dunkeln - Tunneling, Botnetz-Aktivitäten und mehrfache Proxy-Umleitungen seien an der Tagesordnung. Die meisten Angreifer-Clients befänden sich laut IP-Adresse in Asien und Russland, so Haist - aber auch das müsse eben wegen der Verfügbarkeit zahlreicher technischer Hilfsmittel nicht bedeuten, dass sich auch die Angreifer selbst dort aufhalten: "Wir stellen fest, dass die digitale Industriespionage zunimmt." Die über öffentliche Netze verfügbaren Datenmengen sorgten für eine Zunahme der Spionageinteressen und damit auch für mehr Attacken von außen. Insgesamt sei die Zahl der von SySS untersuchten Sicherheitsvorfälle aber seit Jahren konstant.