Der Innentäter ist noch immer als größtes Risiko zu beachten", schrieb das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang des Jahres in seinen zehn Thesen zum Schutz unternehmenskritischer Infrastrukturen. Die Aussage ist beileibe nicht neu, aber immer noch aktuell. Während die Absicherung der IT nach außen wegen der Hacker-, Wurm- und Virengefahr in den vergangenen Jahren regelrecht boomte, fristet die innere Sicherheit ein Nischendasein. Das soll sich bald ändern: In den USA entsteht ein Venture-Kapital-gestützter Softwaremarkt, der Lösungen für dieses spezifische Problem verspricht.

Kollegen vertrauen einander

Auf rund 70 Prozent beläuft sich der Anteil der Straftaten, die von innen gegen die IT eines Unternehmens oder mit Hilfe der IT begangen werden. Der Wert entstammt einer mehrere Jahre zurückliegenden Umfrage der US-amerikanischen Bundespolizei FBI, hat sich jedoch inzwischen als Richtgröße in der IT-Szene etabliert. Selbst wenn der Anteil sehr hoch gegriffen scheint - würde nur jeder dritte Angreifer im Unternehmen sitzen, stände die Verteilung der Sicherheitsbudgets auch schon in einem krassen Widerspruch zur tatsächlichen Bedrohung. Der Denkfehler: Außen drohen böse Hacker; im Unternehmen hingegen arbeiten Kollegen, die man schon seit Jahren kennt und denen man vertraut.

Inzwischen beginnen jedoch einige Anwender, die interne Bedrohung ernst zu nehmen. Ein Grund sind die regulatorischen Vorgaben in den USA. Verantwortlich ist einerseits der Sarbanes-Oxley Act, der die Einrichtung und Überwachung interner Kontrollmechanismen fordert. Zudem müssen Unternehmen Verstöße unmittelbar melden. Im medizinischen Bereich hat etwa das "HIPAA" abgekürzte Gesetz den Datenschutz für Patienteninformationen verschärft. Der Bundesstaat Kalifornien verpflichtet zudem alle Unternehmen (Senate Bill 1386), bei Verlust von persönlichen Informationen die Betroffenen davon zu unterrichten. In gleicher Weise sind speziell Finanzdienstleister vom "Gramm-Leach-Bliley Act" betroffen. Das alles sorgt für Bewegung in den Sicherheitsbudgets, denn die angedrohten Strafen sind hoch.

Das junge Marktsegment formiert sich derzeit unter dem Namen "Extrusion Prevention" (siehe Kasten), wobei der Begriff im Jahr 2003 vom Anbieter Fidelis Security geprägt wurde. Nicht alle Softwarehersteller haben sich dem Schlagwort unterworfen, dennoch gibt es ziemlich präzise den Kern des Problems wider: Mitarbeiter am elektronischen Abtransport von Informationen zu hindern. Im klassischen Fall zapft der Kollege aus Wut, Gier oder schlicht aus Neugier die Ressourcen seiner Firma an - mit fatalen Folgen.

Der Diebstahl des Sourcecodes von Ciscos Betriebssystem "IOS" vor einem Jahr soll mit Hilfe eines Mitarbeiters gelungen sein, mutmaßen Sicherheitsexperten. Apple klagt derzeit auf die Nennung des Informanten, der US-amerikanische Blogger mit Screenshots von neuen, noch nicht angekündigten Tools versorgt haben soll. Der Autobauer BMW musste im Vorjahr feststellen, dass Konzeptbilder geplanter Modelle den Weg vom Server in die Presse gefunden haben. Erst vor kurzem gestand ein AOL-Angestellter, rund 92 Millionen E-Mail-Adressen von Kunden an Spammer verkauft zu haben. Einzelfälle?

Geschäftspartner kontrollieren

Die Abgrenzung zwischen Innen- und Außentätern ist indes heikel, etwa bei der Frage, ob ein per VPN angeschlossener Telearbeiter als interner oder externer Angreifer zu klassifizieren ist. "Auch die engere Verflechtung von Lieferanten mit ihren Kunden macht es immer schwieriger, eine klare Grenze zu ziehen", berichtet Carsten Casper, Analyst bei Gartner. Der Sicherheitsexperte verweist in diesem Zusammenhang auf kleine Mittelständler als typische Zulieferer, denen oft das Personal oder das Geld fehlt, ihre IT auf modernstem Niveau zu schützen.

Mehr Dienstleister, mehr Lücken

Die Schwachstelle ist dann nicht unbedingt die abgeschottete Konzernzentrale, sondern der Vorposten. Mit einer Firewall und einem Virenscanner sei das Thema Sicherheit laut Casper eben nicht umfassend abgehandelt. Kommen Verträge mit Dienstleistern und Outsourcern hinzu, steigt die Bedrohung an. Dabei ist es irrelevant, ob das externe Personal in Osteuropa, Indien oder Schweinfurt sitzt.

Bei der Technik zur Eindämmung von Informationslecks haben sich drei wesentliche Konzepte herauskristallisiert: Agenten, Proxies und Sniffer. Letztere kontrollieren - häufig als Appliance - in heterogenen Netzen die ausgehenden Datenpakete, teils in Echtzeit, teils zeitversetzt. Verstößt ein Dateiversand gegen die vorher definierten Regeln, schreitet das Programm ein oder protokolliert das Fehlverhalten. Proxies überwachen den Messaging-Verkehr und wenden ebenfalls Regeln auf den übertragenen Content an, für den zuvor Bewegungsprofile festgelegt werden müssen. Wegen ihrer Fokussierung auf den Messaging-Bereich sind sie jedoch nur für spezielle Szenarien nutzbar.

Agenten werden auf den Unternehmensrechnern eingesetzt und kontrollieren etwa Netzwerkservices, File-Systeme, die Zwischenablage, Speichermedien, den CD-Brenner und den USB-Stick am Arbeitsplatz. Soll beispielsweise der Inhalt einer als vertraulich gekennzeichneten Datei in ein Web-Mail-Fenster kopiert werden, unterbindet dies der Agent. In der Regel werden die Inhalte hierbei nicht analysiert.

Eine absolute Sicherheit gegen Datendiebstahl bieten auch die Spezialwerkzeuge nicht. Wenn ein Mitarbeiter etwa vertrauliche Informationen sehen und bearbeiten darf, wird er immer Mittel und Wege finden, diese aus dem Unternehmen hinauszuschmuggeln - und sei es mit Hilfe des inzwischen allgegenwärtigen Kamera-Handys. "Mit dem Einsatz derartiger Schutzprogramme macht die Firma den Insidern aber unmissverständlich klar, dass jemand aufpasst", sagt Gartner-Analyst Casper. Schon dies reduziere die Bedrohung und habe eine erzieherische Wirkung auf Mitarbeiter: "Die Hemmschwelle für einen Missbrauch wird höher."

Wer darf was?

Was vielfach immer noch fehlt, so Casper, ist eine vernünftige Klassifizierung der im Unternehmen vorhandenen Informationen. "Dies gestaltet sich schwierig, denn ?Information? ist ein abstrakter Begriff." Zudem müssen in dem Prozess sämtliche IT-Assets aufgelistet und Sicherheitsstufen festgelegt werden. "Erst einmal gilt es zu entscheiden, wer etwas darf, damit man ihn hinterher auch kontrollieren kann", sagt der Gartner-Analyst. Viele Unternehmen seien sich sehr wohl darüber im Klaren, dass eine Außensicherung allein nicht mehr ausreicht. Die Frage ist nur, welcher Bedrohung die höhere Priorität beigemessen wird.